squali attacca gli esseri umani
Transcript
squali attacca gli esseri umani
FALLIMENTI DEL SETTORE DELLA SICUREZZA: RESPONSABILITÀ E PIANO D'AZIONE Amit Yoran Presidente, RSA William Robertson Assistant Professor College of Computer and Information Science, Northeastern University Il settore della sicurezza delle informazioni sta perdendo la guerra cibernetica. O meglio, le guerre cibernetiche. Al plurale. Gli "hacktivist" immorali, o black hat, le organizzazioni criminali organizzate, gli hacker governativi, i terroristi e altri agenti portatori di minacce attaccano i sistemi informatici e le infrastrutture cruciali su più fronti in tutto il pianeta, restando virtualmente impuniti. Le motivazioni e gli obiettivi variano, ciò che li accomuna è l'intento malevolo. Dotati di competenze di altissimo livello e supportati da risorse apparentemente inesauribili, questi intruder del 21 ° secolo raggiungono i loro obiettivi con una frequenza allarmante. Ma non sono solo gli attacchi più sofisticati ad andare a segno. Spesso, criminali non particolarmente dotati sul piano tecnico ma estremamente caparbi sono in grado di sfruttare i punti deboli. Le aziende, con scarso acume, forniscono ampie superfici di attacco con punti di ingresso scarsamente protetti o addirittura del tutto vulnerabili. Perché prese di mira dai cyber sabotatori o a causa di una scarsa preparazione e di investimenti insufficienti, le vittime dei cyber attacchi subiscono danni di gravità variabile, ma che sempre più spesso hanno un impatto finanziario devastante. Le incessanti violazioni della cybersicurezza indeboliscono la sicurezza nazionale, limitano l'innovazione, minano la fiducia dei consumatori e minacciano l'incolumità pubblica. E la portata del problema è davvero preoccupante: il cybercrimine danneggia l'economia globale. WHITE PAPER RSA PARADOSSO Nonostante un'accresciuta consapevolezza, numerosi nuovi prodotti e servizi, investimenti sempre più consistenti e uno sforzo concertato di alcune delle menti più brillanti dei settori economico, accademico e governativo, il settore della sicurezza fatica a tenere il passo. Il numero di incidenti correlati alla sicurezza delle informazioni segnalati a livello mondiale è cresciuto del 48%, raggiungendo la cifra di 42,8 milioni, ovvero 117.339 attacchi al giorno, secondo il The Global State of Information Security® Survey 2015 (1), pubblicato nel settembre 2014 da PwC in collaborazione con CIO e CSO. I dati della survey indicano che gli incidenti correlati alla sicurezza rilevati sono aumentati del 66% su base annua dal 2009. Lo stesso studio indica che la frequenza di tali incidenti è in aumento, determinando un aggravio dei costi associati alla gestione e alla risoluzione delle violazioni. A livello globale, si stima una perdita finanziaria media a causa degli incidenti correlati alla cybersicurezza pari a 2,7 milioni di dollari l'anno, con un aumento del 34% rispetto al 2013. Quest'anno, le perdite particolarmente gravi sono state più frequenti e il numero di aziende che ha denunciato danni finanziari superiori a 20 milioni di dollari è quasi raddoppiato. I costi finanziari diretti associati alla risoluzione delle violazioni dei dati e ad altre attività di cybercrimine (quali indagini forensi, controversie legali, monitoraggio del credito per le vittime dei furti e altro ancora) sono aggravati dall'effetto corrosivo della perdita di fiducia. Lo studio 2014 Cost of Data Breach Study: United States(2) condotto dal Ponemon Institute ha rivelato che il costo medio per ciascun record di informazioni riservate e sensibili perso o rubato è salito da $ 188 a $ 201. Il costo medio totale pagato dalle organizzazioni è salito da $ 5,4 milioni a $ 5,9 milioni. "Il motivo principale di questo aumento è la perdita di clienti in seguito alla violazione dei dati, a causa delle spese aggiuntive necessarie per preservare il marchio e la reputazione dell'azienda. Di fatto, il tasso medio di defezione dei clienti è aumentato del 15% rispetto allo scorso anno," conclude il report. Esistono chiaramente delle falle nel sistema. Identificare e correggere le root cause è essenziale. ERRORI OPPURE OMISSIONE? Il fallimento del settore della sicurezza è il risultato di mancate azioni oppure di interventi inadeguati? La mancanza di investimenti non sembra essere un fattore determinante. Nel suo report "Forecast: Information Security, Worldwide, 2012-2018, 2Q14 Update", Gartner, Inc. indica che la spesa a livello mondiale per la sicurezza delle informazioni raggiungerà i $ 71,1 miliardi nel 2014, un aumento del 7,9% rispetto al 2013, con il segmento correlato alla prevenzione della perdita di dati che fa registrare la crescita più consistente (18,9%). La spesa totale per la sicurezza delle informazioni crescerà di un ulteriore 8,2% nel 2015, fino a raggiungere i $ 76,9 miliardi(3). La notevole spesa in prodotti e servizi per la sicurezza delle informazioni è peraltro eclissata dagli investimenti in ricerca e sviluppo e dal proliferare di nuove società operanti nel campo della sicurezza delle informazioni. Ellen Messmer, exsenior editor del Network World, ha scritto: "La volontà di investire in nuove start-up per la sicurezza procede a un ritmo vertiginoso, tanto che molte start-up appena nate vengono acquisite da attori già affermati addirittura prima che possano presentare i propri prodotti e servizi per la sicurezza." (4) Quindi, perché il settore della sicurezza nel suo complesso (operatori, consulenti e, naturalmente, vendor di tecnologia) non è in grado di limitare né tantomeno di respingere i cyber attacchi? Le ragioni sono molteplici. MANCANZA DI SITUATIONAL AWARENESS In linea di massima, c'è una mancanza di situational awareness. In un articolo del 1995 (5) pubblicato su Human Factors: The Journal of the Human Factors and Ergonomics Society, la dottoressa Mica Endsley, responsabile scientifico della U.S. Air Force, ha fornito quella che è tuttora considerata la definizione più comunemente accettata di situational awareness. La descrive come "la percezione degli elementi nell'ambiente all'interno di un determinato volume di tempo e spazio, la comprensione del loro significato e la loro proiezione nell'immediato futuro." Applicando questa definizione allo stato corrente della cybersicurezza, i metodi, il significato e l'impatto dei cyber attacchi non vengono valutati in un framework contemporaneo dalle persone incaricate di proteggere preziosi asset informativi, dati personali e infrastrutture sensibili. In assenza di una chiara visione del panorama delle minacce informatiche, le aziende e il settore pubblico non sono in grado di difendere tali asset in modo proattivo. Nella maggior parte dei casi, le risposte sono di tipo reattivo ed estemporaneo, assolutamente non ottimali e non finalizzate alla prevenzione. A peggiorare la situazione vi è il fatto che troppe organizzazioni non riescono a valutare obiettivamente lo stato della propria sicurezza. Di conseguenza, tendono a mantenere lo status quo delle tecnologie per la sicurezza anziché promuovere un programma incentrato sulle minacce. Riconoscere le proprie manchevolezze non è mai facile, a volte rischioso e per certi versi controproducente dal punto di vista politico. Tuttavia, accettare il rischio in cambio di un falso senso di sicurezza non è mai un buon affare. La mancanza di situational awareness in molti professionisti della sicurezza delle informazioni è una delle vulnerabilità più pressanti nelle difese cibernetiche degli Stati Uniti. Uno dei modi in cui si manifesta è il falso senso di sicurezza in cui si cullano molti professionisti del campo della sicurezza delle informazioni. Vi è una fiducia cieca, senz'altro esagerata, nei firewall e in altre soluzioni adottate. Forse per seguire le tendenze del settore, a causa della necessità di spuntare una voce nell'elenco delle cose da fare o per paura, un prudente scetticismo e un'analisi logica e razionale sono state soppiantate dall'urgenza di agire. Si ripone 2 grande fiducia nei prodotti senza una reale comprensione, un'accurata percezione delle circostanze o una capacità di discriminazione. Le più elementari procedure di due diligence (valutazione, controlli di riferimento, progetti pilota) vengono spesso ignorate in favore di un'infondata compiacenza, lasciando i sistemi esposti. Inoltre, una volta decise e implementate le soluzioni, una vigilanza e una manutenzione costanti sono d'obbligo. UNA FORTEZZA FRAGILE Gli investimenti nel campo della sicurezza delle informazioni, in particolare nelle tecnologie di prevenzione basate su regole e firme quali firewall e software antivirus, sono stati eccessivi e sproporzionati rispetto alle spese sostenute per soluzioni in grado di rilevare e rispondere alle intrusioni. Nel suo discorso in occasione del 2014 Gartner Security and Risk Management Summit, Neil MacDonald, vicepresidente e analista senior, consigliava alle aziende "di rinegoziare i costi delle tecnologie commodity, quali anti-malware, IPS e crittografia, per destinare più risorse al rilevamento e alla risposta." (6) Recinti più alti e muri più spessi possono sembrare barriere insormontabili, ma un malintenzionato può sempre passare al di sotto, saltarli o aggirarli. Alcuni addirittura si mischiano alla folla nei punti di controllo e riescono a entrare. La Grande Muraglia cinese è un'analogia calzante. Questa struttura iconica, creata da successive dinastie con uno sforzo durato centinaia di anni, fu certamente un capolavoro di ingegneria. Ma per quanto imponente, la muraglia venne scalata, violata e aggirata molte volte. Gli attuali schemi di protezione, che potremmo definire duri all'esterno e morbidi all'interno, in cui un perimetro rafforzato protegge un cuore di sistemi scarsamente protetti e non sottoposti ad adeguata manutenzione, ne sono il moderno equivalente. Dopo tutto, difendere un perimetro di 8.000 chilometri contro avversari difficilmente identificabili, scaltri e determinati, che adottano tattiche di attacco a ondate, era impossibile. Lo stesso vale per le attuali guerre cibernetiche, in cui non vi sono reali confini. "Nei circa vent'anni trascorsi dalle prime serie di discussioni sulle policy cibernetiche, la tecnologia ha conosciuto una notevole evoluzione: email, Internet e dispositivi mobili sono ora la norma e non l'eccezione come era a metà degli anni '90. Tuttavia, il dibattito sulle policy non ha fatto passi in avanti," ha scritto Jessica R. Herrera-Flanigan nel suo articolo "Cyber Policy Still Stuck in the ‘90s" pubblicato su Nextgov nell'ottobre 2014 (7). Flanigan è una partner del Monument Policy Group, società di affari governativi, e Fellow for Cybersecurity presso il The National Policy Center, un think-tank indipendente che fornisce analisi, assistenza e informazioni su cybersicurezza e problemi legati all'innovazione. COMPETENZE LACUNOSE Molte aziende non dispongono delle competenze e delle risorse interne necessarie per affrontare le numerose, ben documentate e crescenti minacce alla cybersicurezza che riguardano ogni aspetto delle vita nel XXI secolo. Si tratta di un rischio inaccettabile rispetto al quale dirigenti e consigli di amministrazione sono stati lenti a reagire, ma che in genere diventa una priorità non procrastinabile non appena si subisce una violazione. L'elenco stilato dall'EY Center for Board Matters delle sei principali priorità per il corporate board nel 2015 (8) includeva la cybersicurezza. "I membri del board sono stati sempre più spesso indicati come responsabili, e in alcuni casi per questo allontanati, della gestione inadeguata dei rischi legati alla cybersicurezza nel 2014, e tali rischi sono destinati ad aumentare nel 2015," sostiene il report. I corporate board devono definire standard e linee guida per ottimizzare la cybersicurezza e assumersi la responsabilità di supervisione, fornendo al contempo alle organizzazioni la flessibilità necessaria per adottare e sfruttare al meglio la tecnologia." La penuria di professionisti nel campo della cybersicurezza è talmente drammatica in Gran Bretagna che oltre la metà dei 300 professionisti IT e HR senior di società con almeno 500 dipendenti ha ammesso, in una survey condotta da KPMG nel novembre 2014 (9), di aver preso in esame la possibilità di ingaggiare ex hacker black hat per garantirsi un vantaggio nella guerra ai cybercriminali. L'hacking di cui è stata oggetto Sony Pictures nel novembre 2014 può essere di monito. L'intrusione della rete da parte di sconosciuti (i sospetti sono successivamente caduti su agenti nord-coreani) ha determinato la diffusione pubblica di informazioni riservate, tra cui una serie di imbarazzanti email in cui l'ex co-presidente della società sbeffeggiava il presidente Obama, cartelle cliniche e girato giornaliero di alcuni film non ancora distribuiti. In un settore noto per il gossip, è stato come gettare esche in acque infestate dagli squali. Utilizzando informazioni tratte da record divulgati dagli hacker, Fusion ha reso noto che dei circa 7.000 dipendenti della Sony Pictures, soltanto 11 facevano parte del team per la sicurezza delle informazioni della società. Anche i governi devono affrontare il problema della carenza di talenti nel campo della cybersicurezza. Government Technology ha riportato (10) che nel corso di un recente evento organizzato dalla Brookings Institution, Michael Daniel, responsabile capo della cybersicurezza della Casa Bianca, ha detto a un dirigente del Florida Center for Cybersecurity, struttura con sede nel campus della University of South Florida, che il governo federale assumerà 6.000 esperti per la sicurezza informatica nei prossimi 18 mesi. Perché questo deficit? Uno dei motivi principali è che, pur essendovi numerosi professionisti per la sicurezza IT, la cybersicurezza richiede competenze diverse, una distinzione spesso trascurata. La cybersicurezza è un sottoinsieme della sicurezza delle informazioni. Si tratta di discipline correlate ma separate: entrambe hanno come scopo la protezione dei sistemi informativi, ma la cybersicurezza estende il proprio campo d'azione dalle reti e dai sistemi alle classi di asset quali l'infrastruttura strategica. Linee elettriche e sistemi di navigazione sono buoni esempi di quest'ultima. La cybersicurezza, inoltre, è più proattiva. In più, i professionisti della cybersicurezza devono possedere delle qualifiche non richieste per l'IT tradizionale, tra cui la comprensione dei processi di business, la capacità di raccogliere e analizzare dati per poi agire in base all'intelligence e una profonda conoscenza dell'intera organizzazione all'interno della quale operano. 3 E non esistono sostituti per l'esperienza. Una formazione di tipo tecnico e commerciale è fondamentale. È incoraggiante vedere college e università lanciare programmi per la cybersicurezza, con le agenzie federali che svolgono un ruolo sempre crescente nel finanziamento di tali programmi mediante programmi quali il National Science Foundation Scholarship for Service (SFS). Il governo degli Stati Uniti riconosce che vi sono delle lacune nel campo della cybersicurezza e che la formazione di una nuova generazione di operatori e ricercatori in quest'ambito è una priorità assoluta. Garantire la sicurezza di governi, settori e società che sempre più fanno affidamento su infrastrutture cibernetiche richiede uno sforzo concertato su più fronti, non solo in ambito tecnico. Creare una nuova generazione di cyberguerrieri richiede tempo e, come per ogni soldato, è in battaglia che viene messo alla prova il coraggio e occorre dare prova delle proprie competenze. Nel frattempo, le organizzazioni che non dispongono di personale e di competenze possono affidarsi a un numero crescente di servizi di sicurezza basati su cloud per integrare le risorse interne. Sfortunatamente, ciò spesso non avviene. MacDonald di Gartner offre una possibile soluzione, suggerendo alle organizzazioni prive di personale interno a supporto di una tecnologia di risposta alla sicurezza avanzata di prendere in considerazione uno dei numerosi servizi di rilevamento delle minacce gestiti disponibili sul mercato. (11) Le organizzazioni che intendono usufruire dei servizi di un Managed Security Services Provider (MSSP) devono vagliare attentamente i potenziali candidati, esattamente come fanno con i vendor dei prodotti, perché sostenere che uno vale l'altro sarebbe un grave errore. Di fatto, per valutare attentamente un MSSP è necessaria una due diligence anche maggiore, dato l'elevato numero di fattori di rischio associati all'outsourcing, tra cui fattori chiave quali personale, funzionalità e infrastruttura tecnologica. I rischi associati all'outsourcing della sicurezza delle informazioni possono essere particolarmente gravi, dal momento che i clienti acquistano sostanzialmente a scatola chiusa. NUOVE MINACCE DINAMICHE E APPROCCI RIGIDI E OBSOLETI Operatori e provider di soluzioni nel campo della sicurezza combattono i cybercriminali su un campo di battaglia molto esteso e senza sosta. Le minacce persistenti avanzate (ADT, Advanced Persistent Threat), come si può intuire dal termine, sono tentativi complessi e costanti di violare e rendere inutilizzabili i sistemi. Un approccio alla sicurezza basato sull'intelligence è l'unica strategia efficace per fare fronte alle legioni di cybercriminali. Comprendere le tecniche, le modalità operative e le motivazioni dei fattori di minaccia è necessario per respingere un attacco o per ridurne i danni, qualora non sia possibile prevenirlo. Una cosa che il settore della sicurezza ha senz'altro imparato è che i cybercriminali fanno affidamento sull'effetto sorpresa. Rispondere ad attacchi sferrati con subdole tecniche di cyberguerriglia richiede una nuova strategia. Le barriere statiche e monolitiche che proteggono le preziose risorse digitali e le reti cruciali devono essere rafforzate con campi minati e filo spinato che gli avversari non devono essere in grado di individuare finché non è troppo tardi. Gli attacchi zero-day, così chiamati per il lasso di tempo che intercorre tra il rilevamento di una nuova minaccia e lo sfruttamento delle vulnerabilità, hanno cambiato le regole del gioco. Pensate al vecchio adagio "Non sai quello che non sai." Essere preparati a un attacco zero-day è, per definizione, impossibile. Le risposte devono essere rapide. Ma questo tipo di intervento richiede una capacità di rilevamento e un'agilità che appartiene soltanto a poche organizzazioni. "Di tutte le infinite variabili del business, la tecnologia, lo scenario delle minacce, ora in primo piano c'è la funzione di sicurezza delle informazioni, che deve conoscere un'evoluzione significativa al fine di garantire il successo delle organizzazioni. In qualità di operatori, abbiamo la possibilità di acquisire uno straordinario vantaggio competitivo innovando in modo radicale il nostro approccio alla sicurezza," sostiene Roland Cloutier, vicepresidente, chief security officer, Automatic Data Processing, Inc., membro del Security Business Innovation Council, un gruppo di responsabili della sicurezza delle aziende Global 1000 riunito da RSA, The Security Division of EMC. Di seguito sono riportati dei consigli che possono essere di ausilio agli operatori nel campo della sicurezza per migliorare la pianificazione strategica e le risposte tattiche. CONSIGLI "Siate Preparati" Il noto motto degli scout rappresenta una verità tanto concisa quanto essenziale, che il settore della sicurezza deve comprendere e fare propria. Le guerre cibernetiche odierne, come dimostra questo documento, sono dinamiche. La vigilanza e la preparazione devono essere parte integrante di qualsiasi piano di sicurezza delle informazioni. Il controllo dell'accesso da solo è insufficiente contro nemici che attaccano in modo fulmineo e con sempre maggiore frequenza, utilizzando nuovi strumenti per sfruttare i punti deboli. È necessario adottare e calibrare un approccio iterativo alla risposta agli incidenti. I controlli NIST 800-61 (o controlli chiave) definiti dall'Australian Signals Directorate rappresentano un'ottima base di partenza. Il test e il monitoraggio delle vulnerabilità devono essere resi operativi ed eseguiti in modo continuativo. È necessario predisporre un piano di risposta olistico, che ricomprenda persone, processi e tecnologia e che dovrà essere recepito e applicato da tutte le parti coinvolte. Il piano stesso, a sua volta, dovrà essere regolarmente valutato. Definire le Priorità Non tutte le risorse informative e tutte le infrastrutture sono uguali: è essenziale decidere quali di esse sono mission-critical e quali business-critical. Occorre identificare i sistemi che per nessun motivo al mondo devono essere violati o resi inutilizzabili (i sistemi di elaborazione delle transazioni e la rete elettrica di backup ne sono un esempio). Applicazioni di Business Intelligence 4 ed email vanno probabilmente classificate come business-critical. Tempi di inattività e intrusioni, per quanto molesti, sono problemi tollerabili e di più semplice risoluzione. Bisogna prendere atto che i cyber attacchi sono inevitabili, e che alcuni di essi andranno a segno: ma occorre anche sapere che il rischio può essere gestito e che le perdite e i danni possono essere ridotti al minimo con una pianificazione avanzata. Adattarsi Alle Modifiche Dell'Infrastruttura IT La composizione della moderna infrastruttura IT è sempre più aperta e amorfa. Il cloud computing offre straordinari vantaggi per il business: agilità, bassissimo rischio di obsolescenza, infrastruttura IT ridotta e requisiti di supporto ridotti al minimo, a fronte di costi più bassi. I servizi in hosting e gestiti sono i modelli software dominanti, e continueranno a esserlo in futuro. Allo stesso modo, l'e-commerce, le supply chain digitali e le reti mobili sono elementi indispensabili per l'e-commerce e le comunicazioni contemporanee. I professionisti della sicurezza devono essere consci della loro importanza ed essere preparati a difenderli con piani e tattiche che tengano conto delle nuove, specifiche problematiche di sicurezza che presentano. Eliminare i Punti Ciechi Nel paradigma di sicurezza che si va delineando, la prevenzione lascia il passo al rilevamento. La visibilità granulare è essenziale per rilevare e bloccare le minacce odierne. La sicurezza del perimetro e i programmi antivirus host non sono sufficienti. È necessario implementare tecnologie, processi e talenti e in grado di garantire una visibilità totale per rete e host, come pure ottimizzare in modo accurato i set di strumenti per orientarli verso le minacce emergenti, incorporando intelligenza umana e intelligence open source. Tenere Conto Delle Debolezze Umane, Adeguarsi Alla Forza Lavoro Moderna Gli esseri umani sono imperfetti. Rappresentano il bersaglio più facile per gli attori delle minacce. Phishing, spyware e altri attacchi prendono di mira i singoli all'interno di un'organizzazione. I social media hanno cambiato il luogo di lavoro e aperto nuovi punti di ingresso per il software malevolo. Numerosi dipendenti utilizzano Facebook, LinkedIn e Twitter per svolgere il proprio lavoro. E anche quando questi e altri canali social non rispondono a un'effettiva esigenza lavorativa, molti datori di lavoro concedono al personale qualche minuto per svagarsi sui social media. Un luogo di lavoro sempre più collaborativo significa che le persone condividono regolarmente informazioni tra uffici, fusi orari e aree geografiche, introducendo nuove fonti di rischio di cui è necessario tenere conto. Se l'infrastruttura IT è cambiata in modo decisivo e irreversibile, lo stesso si può dire dei luoghi di lavoro e delle modalità operative. Negli ultimi cinque anni, la possibilità per gli utenti di utilizzare i propri dispositivi personali sul luogo di lavoro si è diffusa a tal punto che l'acronimo BYOD (Bring Your Own Device) è diventato di uso comune. L'uso di tablet, smartphone e laptop personali da parte dei dipendenti non è più limitato alle start-up più all'avanguardia. Le aziende di qualsiasi dimensione e in ogni settore ammettono ormai questa pratica. Molte società incoraggiano il BYOD perché riduce il CAPEX e ha un effetto positivo sulla produttività e sul morale dei dipendenti. Se si aggiunge la proliferazione della forza lavoro distribuita (dipendenti che lavorano da casa o dal loro locale preferito), è facile capire come le reti statiche e ben definite rappresentino le vestigia di un'epoca passata. Il management aziendale deve mettere a punto policy, procedure e un programma coerente di formazione e training per fare in modo che tutti coloro che operano all'interno dell'organizzazione siano al corrente dei protocolli di sicurezza e conoscano ogni sfaccettatura di questa nuova infrastruttura. Fiducia e controllo Abdicare alle proprie responsabilità per i dati e i sistemi critici è un errore imperdonabile. I provider di sicurezza delle informazioni hanno reso disponibili sul mercato software e servizi avanzati ed estremamente affidabili. La fiducia nella tecnologia per la sicurezza è ben riposta. Tuttavia, un'analisi umana insufficiente, inadeguata o addirittura assente degli eventi di sicurezza può rendere inefficace la tecnologia. Le aziende devono garantire una vigilanza serrata e continuare a testare e rafforzare i processi di sicurezza e la tecnologia. CONCLUSIONI La storia fornisce numerosi esempi di guerre in cui una delle parti, dopo aver subito pesanti e rovinose sconfitte, ha rovesciato la situazione cambiando tattica, riuscendo a sconfiggere avversari che parevano invincibili. Conoscendo la root cause dei fallimenti passati, la strada da intraprendere è chiara. Questi consigli illustrano un nuovo approccio per le organizzazioni, e rappresentano un invito a cambiare atteggiamento per passare dal fallimento al successo nella lotta alla cybercriminalità. 5 INFORMAZIONI SU RSA Da oltre 30 anni, giorno dopo giorno, RSA persegue una mission specifica: aiutare oltre 30.000 clienti in tutto il mondo a proteggere le proprie preziose risorse digitali. RSA è animata dall'incrollabile certezza che le organizzazioni non devono accettare di subire violazioni o atti di hacking come inevitabile conseguenza del loro operare in un mondo digitale. Di fatto, RSA ritiene che le organizzazioni debbano difendere con aggressività il loro diritto a operare in sicurezza e che nessun'altra società sia in una posizione migliore per aiutarle. Le soluzioni di sicurezza basate su intelligence di RSA consentono di ridurre i rischi presenti nel mondo digitale. Grazie a visibilità, analisi e azioni concrete, le soluzioni RSA permettono ai clienti di rilevare, indagare e rispondere alle minacce avanzate, di verificare e gestire le identità e, da ultimo, di prevenire furti IP, frodi e cybercrimine. APPENDICE 1 Cybersecurity Incidents More Frequent and Costly, but Budgets Decline says PwC, CIO and CSO Global State of Information Security® Survey 2015 2 2014 Cost of Data Breach Study, Ponemon Institute, May 2014 http://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-databreach-global-analysis 3 Gartner: http://www.gartner.com/newsroom/id/2828722 4 Network World: 12 hot security start-ups you need to know, March 18, 2014 http://www.networkworld.com/article/2175279/security/12-hot-security-start-ups-you-need-to-know.html 5 Toward a Theory of Situation Awareness in Dynamic Systems, Human Factors, 1995 http://uwf.edu/skass/documents/HF.37.1995-Endsley-Theory.pdf 6, 12 TechTarget SearchSecurity: On prevention vs. detection, Gartner says to rebalance purchasing http://searchsecurity.techtarget.com/news/2240223269/On-prevention-vs-detection-Gartner-says-to-rebalance-purchasing 7 "Cyber Policy Still Stuck in the ‘90s," Nextgov, October 22, 2014 http://www.nextgov.com/cybersecurity/cybersecurity-report/2014/10/cyber-policy-still-stuck-90s/97184/?oref=voicesmodule 8 "EY Center for Board Matters Highlights Top Priorities for Corporate Boards in 2015," EY company news release, September 12, 2015 http://www.prnewswire.com/news-releases/ey-center-for-board-matters-highlights-top-priorities-for-corporate-boards-in-2015-300018768.html 9 "Hire a hacker to solve cyber skills crisis’ say UK companies," KPMG company news release, November 16, 2014 http://www.kpmg.com/uk/en/issuesandinsights/articlespublications/newsreleases/pages/hire-a-hacker-to-solve-cyber-skills-crisis-say-ukcompanies.aspx 10 "Sony Pictures hack was a long time coming, say former employees," Fusion, December 4, 2014 http://fusion.net/story/31469/sony-pictureshack-was-a-long-time-coming-say-former-employees/ 11 "Florida Colleges Rush to Create Cybersecurity Soldiers," Government Technology, January 12, 2015 http://www.govtech.com/education/Colleges-Rush-to-Create-Cybersecurity-Soldiers.html 6 Copyright © 2015 EMC Corporation. Tutti i diritti riservati. EMC ritiene che le informazioni contenute in questo documento siano esatte al momento della sua data di pubblicazione. Le informazioni sono soggette a modifica senza preavviso. Le informazioni contenute nella presente documentazione sono fornite "come sono". EMC Corporation non riconosce garanzie di alcun genere inerenti le informazioni riportate nella presente pubblicazione, tra cui garanzie implicite di commerciabilità o idoneità a un determinato scopo. L'utilizzo, la copia e la distribuzione dei prodotti software di EMC descritti in questo documento richiedono una licenza d'uso valida per ciascun software. Per un elenco aggiornato dei nomi dei prodotti EMC, vedere i marchi di EMC Corporation sul sito web di EMC. EMC2, EMC, il logo EMC, RSA e il logo RSA sono marchi o marchi registrati di EMC Corporation negli Stati Uniti e in altri paesi. VMware è un marchio o un marchio registrato di VMware, Inc. negli Stati Uniti e in altre giurisdizioni. © Copyright 2015 EMC Corporation. Tutti i diritti riservati. Pubblicato in Italia. 03/15 White Paper H14039 7 italy.emc.com/rsa