Via XXV Aprile 138 - 25038 ROVATO
+39 0307709666
info@safeshield.it

3. Lo stato attuale dell’information security

3. Lo stato attuale dell’information security
why-your-port-based-firewall-is-putting-your-network-at-risk-next-gen-firewall-for-enterprise-wlan

Andrea Antonielli
Ricercatore Osservatorio Information Security Privacy, Politecnico di Milano

Giorgia Dragoni
Ricercatrice Senior Osservatorio Information Security Privacy, Politecnico di Milano

L’investimento in information security richiede attenzione a differenti aspetti: l’identificazione, la protezione, la rilevazione, la risposta e il ripristino. In Italia la spesa in information security è ancora limitata e orientata a proteggere l’azienda, meno ad identificare le corrette misure per rilevare attacchi e mettere in atto opportune azioni di mitigazione

[rd_line margin_top=”10″ margin_bottom=”10″]

Le principali minacce e vulnerabilità che mettono in pericolo la sicurezza
Le più rilevanti minacce alla sicurezza delle informazioni provengono nella maggior parte dei casi da agenti che operano all’esterno del perimetro aziendale e sono collegate principalmente a fenomeni legati a “cybercrime” e “hacictivism”. Viene definito “cybercriminale” un soggetto che, spinto da motivazioni criminose, effettua, singolarmente o tramite una vera e propria associazione, attacchi informatici attraverso l’uso di Internet (ad esempio al fine di estorcere denaro o trafugare informazioni vitali per l’organizzazione).
Un “hacktivist” invece è colui che mira alla realizzazione di determinati obiettivi sociali e politici attraverso la pirateria informatica.
Secondo i dati del Rapporto CLUSIT, nel 2016 il cybercrime si è confermato la prima causa di attacchi gravi a livello globale, interessando il 72% del totale dei casi analizzati. Gli attacchi compiuti da cybercriminali registrano un aumento di quasi il 10%, confermando un trend che dura ormai da diversi anni.
Dalla Ricerca dell’Osservatorio Information Security & Privacy emerge però come le fonti di attacco siano spesso anche interne all’azienda: tra i soggetti che rappresentano un pericolo per la sicurezza spiccano infatti anche categorie di persone che hanno rapporti più stretti e continuativi con l’azienda, come i lavoratori attuali (indicati dal 49% delle organizzazioni intervistate) ed i collaboratori e consulenti aziendali (30%).
Le principali minacce riscontrate negli ultimi anni dalle aziende sono state:

  • Infezioni da malware: il termine “malware” identifica applicazioni dannose finalizzate ad arrecare danno alla vittima, per esempio tentando di accedere segretamente a un particolare dispositivo senza che l’utente ne sia a conoscenza per raccogliere informazioni, creare malfunzionamenti o criptarne i dati.
  • Attacchi di phishing: per “phishing” si intendono i tentativi di frode informatica volti a carpire i dati sensibili degli utenti. Generalmente un attacco di phishing si traduce nell’invio di e-mail, contenenti indicazioni e loghi “familiari”, con cui si invita la vittima a fornire informazioni riservate (ad esempio password, codici di accesso o dati della carta di credito).
  • Spamming: con tale espressione si intende normalmente l’invio imponente e indiscriminato di messaggi di posta elettronica senza il consenso del destinatario. Si tratta solitamente di e-mail aventi contenuto pubblicitario.
  • Attacchi ransomware: un “ransomware” è un particolare tipo di malware che, dopo aver limitato o impedito del tutto l’accesso al sistema infettato, per esempio criptando i file presenti su un dispositivo, richiede una somma di denaro da pagare per la sua rimozione. Tale tipologia di attacco offre un importante vantaggio ai cybercriminali, in quanto comporta una perdita monetaria relativamente contenuta per le vittime, le quali pertanto sono maggiormente inclini a pagare il riscatto al fine di rientrare in possesso del proprio dispositivo e dei propri dati.
  • Attacchi DoS/DDos: gli attacchi di tipo DoS (Denial of Service) sono finalizzati a interrompere la continuità di servizio, rendendo inaccessibili i servizi presi di mira. Possono essere messi in atto generando un numero eccessivo di richieste al server o un volume di traffico maggiore rispetto alla banda disponibile, saturando le risorse a disposizione. Gli attacchi di tipo distribuito (DDoS) vengono generalmente veicolati tramite un insieme di dispositivi connessi alla rete (botnet). I tipi di vulnerabilità che maggiormente impattano in maniera negativa sulla sicurezza aziendale riguardano la scarsa consapevolezza dei dipendenti

rispetto alle policy e alle buone pratiche di comportamento introdotte in azienda, la distrazione degli utenti, l’accesso in mobilità alle informazioni aziendali e la sempre più diffusa presenza di dispositivi mobili personali, spesso utilizzati anche per scopi lavorativi. Accanto alle vulnerabilità di tipo tecnologico, dovute per esempio all’obsolescenza dell’architettura IT o al mancato aggiornamento dei sistemi, che possono essere prese di mira da hacker per perseguire i propri scopi malevoli, si stima che una percentuale cospicua degli attacchi informatici siano causati dal comportamento umano. I dipendenti spesso agiscono in maniera ingenua o inconsapevole, facilitando i cybercriminali nel bypassare le misure di sicurezza messe in atto dall’azienda.
Sono numerose le organizzazioni che hanno subito, a causa di tali vulnerabilità, perdite o furti di dati.
Secondo quanto dichiarato dalle aziende coinvolte nella Ricerca, gli attacchi sono indirizzati nella maggior parte dei casi a trafugare informazioni operative interne (36%), informazioni price sensitive 121 (21%), dati sui clienti (21%) e sui pagamenti (15%), informazioni aziendali, credenziali di accesso e informazioni relative alla proprietà intellettuale industriale (12%). In misura minore, le perdite riguardano informazioni inerenti a gare o informazioni di mercato e competition.
I dati ritenuti maggiormente critici dalle organizzazioni sono le informazioni che riguardano i clienti e le informazioni sul personale aziendale, indicati rispettivamente dal 59% e dal 49% delle imprese intervistate, così come le informazioni finanziarie (38%).

Il mercato dell’information security in Italia
L’Osservatorio Information Security & Privacy ha coinvolto nella rilevazione 951 organizzazioni italiane di differenti dimensioni, 148 grandi imprese (sopra i 249 addetti) e 803 PMI (tra 10 e 249 addetti).
L’analisi di un ampio campione di imprese e il coinvolgimento delle principali aziende dell’offerta di sicurezza ha permesso di stimare il mercato delle soluzioni e dei servizi di information security in Italia, che nel 2016 valeva 972 milioni di Euro, con tasso di crescita del 5% sul 2015, sostanzialmente allineato a ciò che avviene a livello internazionale. Questo dato tuttavia non rassicura, la crescita esponenziale delle minacce richiede infatti una spinta molto più decisa verso la tutela del patrimonio informativo delle organizzazioni.
La spesa è concentrata nelle grandi imprese, che catalizzano il 74% della cifra complessiva. Il valore del mercato imputabile alle PMI, invece, è pari a 162 milioni di Euro per le imprese di media dimensione (tra 50 e 249 addetti) e a 95 milioni di Euro per le aziende più piccole (tra 10 e 49 addetti).
Il mercato preso in considerazione si riferisce alla spesa in information security delle organizzazioni con almeno dieci addetti ed è suddivisibile in tecnologia (28%), servizi di integrazione IT e consulenza (29%), software (28%) e Managed Services (15%).

Le progettualità e le policy messe in campo dalle organizzazioni
Come evidenziano diversi framework di riferimento141, esistono differenti aspetti da considerare per una gestione consapevole dell’information security:

  • Identificazione: capacità di comprendere come gestire il rischio cyber.
  • Protezione: capacità di sviluppare ed installare misure di sicurezza in grado di garantire la regolare erogazione dei servizi.
  • Rilevazione: capacità di svolgere le attività necessarie a riconoscere un evento di cybersecurity al suo verificarsi.
  • Risposta: capacità di pianificare e compiere azioni in relazione ad un evento identificato.
  • Ripristino: capacità di gestire piani in grado di garantire la resilienza dei sistemi e la facoltà di ristabilire i servizi in seguito ad un incidente.

Tali aspetti non richiedono necessariamente una implementazione sequenziale, ma fanno parte di un approccio complessivo orientato alla creazione di una cultura incentrata sulla gestione efficace della cybersecurity. Per rispondere a tali bisogni occorre mettere in atto progettualità tecnologiche e policy. È stato rilevato che le progettualità e le policy messe in campo dalle organizzazioni di maggiori dimensioni sono per lo più orientate all’identificazione e alla protezione, risultando ancora immaturo il supporto agli aspetti della rilevazione, risposta e ripristino. Secondo quanto emerso dalla Ricerca 201.6 dell’Osservatorio Information Security & Privacy , le progettualità più diffuse nelle grandi imprese sono:

  • Penetration test (51.%): processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l’attacco di un malintenzionato, con l’obiettivo di metterne in evidenza le vulnerabilità.
  • Data security (51%): riguarda tutte le procedure e i sistemi atti a proteggere i dati presenti in azienda dalle azioni malevoli o dall’accesso di soggetti non autorizzati. La sicurezza deve essere gestita opportunamente durante tutto il ciclo di vita del dato, dalla sua raccolta alla sua cancellazione, passando per le fasi di utilizzo, conservazione e archiviazione.
  • Network security (48%): identifica le pratiche adottate da un amministratore di rete (o di sistema) per proteggere una rete e le relative risorse da eventuali accessi non autorizzati, furto, modifica o interruzione di servizio.
  • Application security (45%): uso di software, hardware e procedure volti a proteggere le applicazioni aziendali dalle minacce interne ed esterne.
  • Endpoint security (43%): si tratta del tentativo di assicurare che i device (laptop, tablet, smarthpone) collegati alla rete aziendale rispettino determinati standard di sicurezza.
  • Security information & event management (38%): sistemi in grado di identificare, registrare, monitorare e analizzare in realtime gli allarmi di sicurezza generati dagli apparati hardware di rete e dalle applicazioni software di gestione e monitoraggio.
  • Messaging security (38%): comprende le modalità di protezione dell’infrastruttura di messaggistica aziendale, volte a garantire la sicurezza delle informazioni condivise in ottica di collaborazione, tra diversi utenti sia interni sia esterni all’azienda (clienti, fornitori, ecc)
  • Web security (36%): misure adottate al fine di garantire la sicurezza relativamente all’utilizzo di Internet.
  • Identity governante & administration (32%): sistemi che permettono di gestire e monitorare gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali.
  • Threat intelligente (zo%): prevede la raccolta di informazioni, il monitoraggio e l’analisi dei rischi e delle minacce di sicurezza, per analizzarne i trend e mettere in atto piani di protezione in ottica attuale e futura.
  • Social media security (16%): sistemi mediante i quali vengono messe in atto misure; a protezione delle minacce di sicurezza derivanti dall’utilizzo dei social network.

Le policy più diffuse all’interno delle organizzazioni riguardano invece il backup (89%), la gestione degli accessi logici (84%), la regolamentazione delle procedure comportamentali legate alla sicurezza informatica (80%), la gestione e l’utilizzo dei device aziendali (72%), la gestione del ciclo di vita del dato (58%), l’utilizzo di social media e web (57%), le policy di classificazione dei dati (52%) e di criptazione degli stessi (39%) (la criptazione consiste nell’attribuzione di un codice ad una serie di dati allo scopo di renderne possibile l’accesso esclusivamente a chi ne ha il diritto.)
Complessivamente, è possibile affermare che la consapevolezza delle aziende rispetto al tema della sicurezza sta progressivamente aumentando, ma la velocità di adozione delle strategie e di implementazione di progetti volti a incrementare la sicurezza nella gestione delle informazioni fatica a tenere il passo dell’evoluzione delle tecnologie digitali e delle minacce che da queste possono derivare. I trend emergenti dell’innovazione digitale pongono nuove importanti sfide all’information security, in termini di progetti e policy da mettere in campo. Nei capitoli successivi verranno approfondite in dettaglio alcun progettualità legate ai trend dell’innovazione digitale: Big Data e Cyber Intelligence, Clou Security, Mobile Security, IoT Security.

[rd_line margin_top=”10″ margin_bottom=”10″]

LE METODOLOGIE DI LAVORO INTERATTIVO DELL’OSSERVATORIO INFORMATION SECURITY & PRIVACY
L’Osservatorio Information Security & Privacy, nell’ambito della Ricerca, organizza annualmente una serie di incontri a porte chiuse finalizzati ad attivare un tavolo di confronto permanente tra i CISO delle grandi aziende operanti in Italia. Durante gli appuntamenti vengono spesso utilizzate metodologie di lavoro interattivo, sviluppate ad hoc i partecipanti vengono suddivisi in gruppi, all’interno dei quali viene richiesto ad ognuno di effettuare una mappatura della realtà della propria azienda su un framework di gioco e una successiva discussione all’interno del team di lavoro. Tali metodologie possono essere adattate ed estese all’applicazione in singole realtà aziendali. In particolare è stata sviluppata una metodologia finalizzata ad approfondire i diversi approcci e strategie di gestione dell’information security è privacy, con l’obiettivo di analizzare il portafoglio di iniziative messe in atto dalle aziende e a comprendere i driver di spinta, i benefici e le criticità delle differenti progettualità messe in atto. La metodologia prevede i seguenti step, finalizzati a rispondere alle relative domande:

  • Mappatura delle iniziative progettuali messe in campo, in base all’approccio strategico adottato (Prevent, Protect, Detect, Respond) e al livello di maturità dell’iniziativa;
  • Approfondimento di una progettualità ritenuta particolarmente rilevante, identificazione del driver e dell’orizzonte-temporale del progetto e descrizione di benefici e criticità riscontrati nell’implementazione. Ai partecipanti viene consegnato il tavolo da gioco e un set di stickers da posizionare nel framework coerentemente alla propria esperienza aziendale.
[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 1- DUCATI MOTOR HOLDING
La Ducati Motor Holding S.p.A. è una casa motociclistica italiana con sede nel quartiere Borgo Panigale a Bologna. Nel 2012 l’azienda è stata acquisita da AUDI AG ed è entrata quindi a far parte del Gruppo Volkswagen. Ducati distribuisce i propri prodotti in più di 90 Paesi e nel 2016 ha venduto 55.451 moto-fatturando 731 milioni di Euro.
L’offerta di Ducati non si focalizza soltanto sul prodotto: l’azienda punta infatti a fornire un’esperienza, che sia allo stesso tempo emozionante, performante e sicura, in una costante volontà di innovazione.
Oltre alla produzione di motoveicoli, Ducati si dedica al mondo delle competizioni attraverso il Reparto Corse, parteci-pando a, numerosi campionati, quali Superbike e MotoGP.
All’interno del Gruppo Volkswagen i temi della sicurezza e della protezione delle informazioni sono trattati con estrema attenzione: la struttura del Gruppo, un network di imprese distribuito e costituito da diversi nodi, aumenta le vulnerabilità da affrontare, ampliando la superficie d’attacco potenziale e i punti di ingresso per un eventuale aggressore.
Ducati stessa viene inoltre sottoposta ad una costante copertura mediatica, che genera grandi opportunità ma allo stesso tempo ha come conseguenza una forte esposizione a minacce di ‘sicurezza.
L’azienda è molto sensibile agli stimoli, in termini di regole di sicurezza, provenienti dalla Capogruppo, che coniuga con il rispetto delle normative nazionali e internazionali (regolamenti e direttive europee tra le quali il GDPR) e ponendo attenzione alle specifiche esigenze dell’organizzazione.
Per garantire la massima Sicurezza possibile assicurando allo stesso tempo un alto livello di sensibilità alle esigenze del Business, è stato creato un ISMS (Information Security Management System), che si avvale di due componenti fondamentali: una di metodo, processo, governance, che va dalla definizione dei ruoli alla scrittura delle procedure, e una tecnologica, che mira a ricercare continuamente le tecnologie migliori in relazione al budget disponibile. Il framework creato ha l’obiettivo di proteggere i dati strategici dell’azienda, minimizzare i rischi e garantire la business continuity qualora si verifichino data breach o situazioni di crisi in generale.
Il tema della sicurezza informatica in azienda è gestito da un CISO, collocato all’interno della funzione IT, che riporta al CIO. Il CISO si avvale sia di competenze di specialisti interni, soprattutto per la gestione dell’area Networking e della sicurezza perimetrale (VPN, Firewall, ecc.), sia di competenze reperite esternamente: l’azienda si rivolge sia per la parte tecnologica, sia per la parte normativa, contrattuale e organizzativa, ad alcuni partner, tra i quali, in particolare, è preziosa la collaborazione con Sinergy.
Il tema della sicurezza informatica non interessa soltanto la funzione IT, ma è pervasivo a livello aziendale: Ducati ritiene fondamentale l’aspetto legato alla gestione del fattore umano e ha quindi previsto numerose iniziative di sensibilizzazione del personale, tra cui corsi interni, programmi di comunicazione e “pillole” informative via mail, con l’obiettivo di coinvolgere l’intera popolazione dell’organizzazione. È in fase di progettazione un’iniziativa che prende il nome di “Digital Fridays”: si tratterebbe di un appuntamento mensile serale, in logica informale, con il coinvolgimento di alcuni speaker di rilievo volto alla creazione di awareness sui temi del digitale.
Ducati è un’azienda dinamica e attenta all’innovazione e, di conseguenza, pone molta cura al tema della gestione del cambiamento. Grande importanza è dunque data alla disciplina del Change Management, che punta ad assicurare un opportuno bilanciamento tra la necessità di cambiamento e la gestione degli effetti generati, in termini di rischi, impatti economici, di processo, di sicurezza, tramite la definizione di ruoli e responsabilità e il coinvolgimento del Business.
Dalla collaborazione con Sinergy è nato anche un framework di analisi dei workflow sui diversi processi per la gestione dei privilegi (Privileged User Management), con l’obiettivo di tracciare e controllare gli accessi che possono essere concessi agli utenti, specialmente qualora si tratti di amministratori di sistema o di rete. Ad ogni utente aziendale devono essere messi a disposizione esattamente i dati e i processi necessari per lavorare, al fine di prevenire eventuali violazioni dei dati strategici o comunque confidenziali o accesso a informazioni per le quali non si dispone l’autorizzazione.
In tale contesto si colloca anche la valutazione della conformità in termini di Segregation of Duties, con l’obiettivo di impedire la commissione di frodi ed errori attraverso l’analisi automatica dei profili.
Ducati effettua periodicamente controlli automatici su una serie di vulnerabilità (Vulnerability Management), oltre a controlli esterni tramite penetration test più approfonditi atti a verificare lo stato di sicurezza di un determinato sistema o di una rete.
Il tema della gestione delle vulnerabilità riguarda anche i prodotti finali. L’azienda si sta infatti muovendo per la creazione di una moto connessa, con interazioni anche al di fuori dalla vettura in un ecosistema di oggetti loT. Nell’affrontare questo progetto, Ducati sta valutando non solo il coinvolgimento di attori primari del settore dell’automotive, ma anche quello di soggetti più vicini al mondo hacker, che aiutino l’azienda nella scoperta di vulnerabilità nascoste.

[rd_line margin_top=”10″ margin_bottom=”10″]

CASO 2 – GRUPPO ITAS ASSICURAZIONI
Fondata a Trento nel 1821, ITAS (Istituto Trentino-Alto Adige per Assicurazioni) è la Compagnia Assicuratrice più antica d’Italia.
Proteggere contro gli incendi è stato il primo servizio offerto ai soci assicurati. Nel tempo, ITAS ha sviluppato la propria attività ed esteso la propria presenza sul territorio, conservando integra la sua natura mutualistica e la sua indipendenza.
Il Gruppo ITAS, una delle poche mutue presente nel territorio italiano, vanta una rete di circa 650 agenti: insieme ai collaboratori e al personale di agenzia danno vita a una famiglia di 4.500 persone, dislocate in oltre 750 uffici e agenzie sul territorio italiano, che operano a tutela dei soci assicurati secondo i principi mutualistici della Compagnia. Tra i primi 10 gruppi assicurativi italiani, ITAS mette quotidianamente al centro del proprio operato la sicurezza e la mutualità, i valori fondanti della Compagnia, che si concretizzano anche nel sostegno di iniziative rivolte alle imprese sociali impegnate nello sviluppo della comunità.
Il Gruppo ITAS ha recentemente introdotto un sistema piramidale di policy valido per tutte le società del Gruppo per mantenere alti i livelli di sicurezza sulle informazioni, con particolare attenzione ai dati inerenti i soci assicurati. Questa attenzione si applica a tutti i dati presenti sia presso le sedi ITAS sia presso terze parti che trattano dati per conto dell’azienda.
La Compagnia adotta un sistema di gestione della sicurezza delle informazioni atto a salvaguardare e preservare l’integrità, la disponibilità e la confidenzialità di tutti i dati trattati. Per ottenere questo. scopo sono stati implementati pro-cessi tecnici e organizzativi volti a contrastare minacce interne ed esterne e a minimizzare danni diretti e indiretti, sia economici che di reputazione.
Il Gruppo ITAS si impegna a soddisfare i requisiti specificati in queste policy e si impegna a garantire’ un continuo miglioramento del sistema di gestione della sicurezza delle informazioni, per far fronte a eventuali incidenti nell’organizzazione e per rispondere ai continui cambiamenti in atto, legati, ad esempio, all’innovazione tecnologica, alle relative nuove minacce, alle variazioni normative.
La Divisione Servizi Informatici stabilisce un quadro di riferimento gestionale per attuare ed esercitare un sistema di governo della sicurezza delle informazioni all’interno dell’organizzazione aziendale. Il sistema di gestione è ispirato alla normativa internazionale ISO/IEC 27001 ed è volto a disciplinare aspetti relativi alla sicurezza logica, fisica e organizzativa, tenendo conto anche delle disposizioni di legge e regolamentari. Uno dei principali obiettivi del sistema è quello di analizzare ed evidenziare, con approccio basato sulla valutazione del rischio, eventuali criticità all’interno dell’organizzazione su temi inerenti la sicurezza delle informazioni attraverso specifiche policy.
Per aumentarne l’efficacia all’interno dell’organizzazione, le policy sono state concepite su tre livelli:

  • “Information Security Policy” apicale, che ha come obiettivo quello di definire la politica aziendale in merito alla gestione della sicurezza delle informazioni;
  • “Disposizioni”, che definiscono le azioni necessarie al fine di soddisfare quanto richiesto dalla “Information Security Policy” e disciplinano temi quali: sistema di gestione delle policy sulla sicurezza, organizzazione della sicurezza, sicurezza risorse umane, gestione degli “asset” fisici e logici, controllo accessi, crittografia, sicurezza fisica, sicurezza delle attività operative, protezione da minacce esterne, sicurezza delle comunicazioni, acquisizione, sviluppo e manutenzione dei sistemi, gestione degli incidenti relativi alla sicurezza, sicurezza della informazioni nella gestione della continuità operativa, conformità, leggi e regolamenti ecc.
  • “Standard”, che sono stati creati con lo scopo di dettagliare temi inseriti all’interno delle “Disposizioni”, ma che sono ritenuti particolarmente significativi ai fine della sicurezza delle informazioni. Esempi di “standard” sono documenti di dettaglio su temi quali ad esempio: la configurazione sicura di sistemi ed apparati “hardening”, la gestione del patching, la gestione dell’antimalware, il dettaglio sulla gestione accessi, i processi di gestione degli incidenti di sicurezza, le clausole sulla sicurezza da inserire nei contratti stipulati con le terze parti ecc.

Le policy, al fine di essere sempre attuali, sono riviste a intervalli regolari, condivise con le funzioni preposte e divulgate alle parti interessate.

Fonte: Gruppo Sole 24 Ore

Leave a comment

You must be logged in to post a comment.