LA SICUREZZA NEI SISTEMI INFORMATIVI

LA SICUREZZA NEI SISTEMI INFORMATIVI
COSA FA LA MEDIA IMPRESA ITALIANA
Di Luca Bilanzuoli
e Riccardo Peggi
In collaborazione con
Indice dei contenuti
Premessa....................................................................................................................... 4
1. L’importanza crescente di un “Sistema Informativo Sicuro” .................................... 5
1.1. La sicurezza “fisica” ....................................................................................... 6
1.2. La sicurezza “logica” ...................................................................................... 6
1.3. La Business Continuity .................................................................................. 7
2. I risultati di una ricerca ............................................................................................. 9
2.1. Sistemi di supporto alla sicurezza fisica ...................................................... 11
2.2. Presenza di procedure, di politiche e di un responsabile della sicurezza ... 12
2.3. Attacchi informatici e precauzioni prese ...................................................... 15
3. Consigli pratici........................................................................................................ 25
4. Glossario ................................................................................................................ 27
Indice delle figure
Figura 1 – Rapporto costi/benefici di procedure di Business Continuity ....................... 8
Figura 2 – Suddivisione del campione in base alla propensione dell’azienda
all’investimento rispetto all’innovazione tecnologica ............................................ 10
Figura 3 – Presenza di sito Web, Intranet, Extranet.................................................... 10
Pagina 2 di 27
Figura 4 – Sistemi di supporto alla sicurezza fisica..................................................... 11
Figura 5 – Procedure e politiche di sicurezza interne ................................................. 12
Figura 6 – Presenza di procedure di sicurezza in base alla propensione
tecnologica............................................................................................................ 13
Figura 7 – Presenza del responsabile della sicurezza ................................................ 14
Figura 8 – Presenza responsabile sicurezza in base alla propensione
tecnologica............................................................................................................ 14
Figura 9 – Attacchi informatici subiti dall’azienda e relative conseguenze ................. 15
Figura 10 – Attacchi informatici all’azienda in base alla propensione tecnologica...... 16
Figura 11 – Tipologie di attacco informatico subite ..................................................... 17
Figura 12 – Allocazione di un budget di spesa............................................................ 18
Figura 13 – Allocazione budget di spesa in base alla propensione tecnologica ......... 18
Figura 14 – Tipologia di sistemi di sicurezza adottati dalle aziende............................ 19
Figura 15 – Presenza di antivirus in azienda............................................................... 21
Figura 16 – Presenza di firewall in azienda................................................................. 22
Figura 17 – Presenza di sistemi di monitoraggio degli accessi................................... 23
Figura 18 – Iniziative per la tutela contro le intrusioni ................................................. 23
Figura 19 – Aumentare la sensibilità del personale sulla sicurezza............................ 24
Pagina 3 di 27
Premessa
La crescente apertura dei sistemi informativi al Web, attraverso il quale gli scambi
documentali sono diventati particolarmente intensi, ha esposto le aziende ad una
minaccia molto spesso sottovalutata.
La rapida e massiccia diffusione di virus informatici1, con casi eclatanti di contagi e
conseguenti blocchi dell’operatività di reti importanti, ha aumentato il livello di
consapevolezza all’interno delle aziende. Le imprese italiane stanno iniziando ad
investire più seriamente in sicurezza, e la conferma viene dai dati di mercato, che
evidenziano un trend di crescita molto interessante per questo comparto per i prossimi
anni, tanto a livello nazionale, quanto internazionale. Secondo IDC, il mercato mondiale
della sicurezza (software, hardware, servizi) si attesterà intorno ai 45 miliardi di dollari
nel 2005, con una crescita significativa a partire dal 20042. Per quanto riguarda il
mercato italiano, è prevista una crescita media annua del 40%, dai 260 milioni di dollari
del 2000 a circa 1,5 miliardi di dollari del 2005.
Per l’azienda italiana, caratterizzata da dimensioni prevalentemente medie e piccole, la
predisposizione di un sistema informativo sicuro spesso si scontra con la scarsità di
budget da dedicare, anche se sovente è la mancata percezione del danno che potrebbe
derivare in caso di attacco a posticipare l’investimento. Molto frequenti sono i casi in cui,
a seguito di blocchi più o meno gravi del sistema informativo, a cui possono
1
A tal proposito si citano i risultati di due ricerche recentemente condotte a livello
internazionale da vendor del settore. Secondo Symantec, quasi un'azienda su tre ha subito
gravi attacchi da parte di virus informatici nella seconda metà del 2003. Il dato è
preoccupante: infatti nella prima metà dello stesso anno solo un'azienda su sei era stata
"toccata" da virus, vale a dire la metà. Secondo i dati raccolti le aziende più colpite sono
quelle operanti nei settori Sanità, Energia e Servizi finanziari. Il trend è confermato dai
risultati di una recente ricerca condotta da McAfee, che indica come, nel primo semestre
2004, sono ulteriormente cresciuti gli attacchi virus alle aziende, soprattutto via eMail.
2
Fonte: Vista Research.
Pagina 4 di 27
corrispondere perdite di dati e arresti in numerosi processi aziendali, l’azienda si
attrezza per evitare il ripetersi del fenomeno.
La sicurezza dei sistemi informativi, vale a dire la capacità di mantenere integre e
accessibili le informazioni in essi contenute, può essere minacciata non solo da fatti
esterni, conseguenti all’accesso a Internet, ma anche interni all’azienda e/o insiti
nel sistema stesso. Il presente dossier affronta i diversi aspetti relativi alla sicurezza,
inquadrando il fenomeno a livello teorico nella prima parte. Nella seconda parte
vengono presentati i risultati di una ricerca condotta sulle aziende italiane medio grandi,
con l’obiettivo di fare il punto sul livello di maturità rispetto alle problematiche connesse
con il fenomeno, in termini di struttura organizzativa, misure adottate ed esposizione
percepita ai rischi di attacchi informatici e vulnerabilità dei propri sistemi.
1. L’importanza crescente di un “Sistema Informativo
Sicuro”
Prima dell’avvento dell’informazione digitale, per ottenere un Sistema Informativo Sicuro
era sufficiente l’attivazione di procedure di controllo degli accessi nelle aree dove
effettivamente si trovava l’informazione (solitamente archiviata in formato cartaceo). Allo
stato attuale ciò non è più sufficiente: quando si parla di “Sistema Informativo Sicuro”
non si prende in considerazione la sola sicurezza “fisica” ma è necessario considerare
anche la sicurezza “logica”.
L’informazione in formato digitale è un elemento insostituibile per la normale attività
aziendale (per esempio, se si analizza il processo di comunicazione aziendale, oggi non
è possibile immaginarlo senza eMail). Poiché l'informazione digitale è diventata un
elemento di valore, essa deve essere protetta, in quanto una perdita di dati (anche
parziale) può rappresentare per l’azienda un costo molto elevato.
Ogni azienda, pertanto, dovrà valutare il livello di sicurezza più idoneo alla propria
situazione, in un’ottica di costi e benefici: il costo della sicurezza non deve superare il
valore dell’informazione da proteggere.
Pagina 5 di 27
1.1. La sicurezza “fisica”
La sicurezza fisica comprende tutte quelle misure di protezione delle apparecchiature,
del personale e degli impianti presenti nel sistema informatico. Il suo scopo è ridurre al
minimo (in quanto non è possibile eliminare totalmente) l'esposizione ai rischi.
Le principali azioni per implementare una politica di sicurezza fisica sono:
1. Creare una zona ad hoc per i server aziendali, possibilmente attrezzata in modo da
permettere l’accesso solo alle persone autorizzate. Non è necessario ricorrere a
tecniche particolari e costose come ad esempio la biometria, ma già un locale
protetto da una semplice serratura a combinazione elettronica, con codice cambiato
almeno mensilmente, garantisce un notevole aumento della sicurezza dei sistemi;
2. Climatizzare i locali dove vengono custoditi i server. Questo riduce la possibilità di
blocco causata da surriscaldamento delle macchine;
3. Creare delle linee elettriche per la zona dei server, separate anche da quelle che
alimentano gli altri PC di rete. Così facendo, in caso di corto circuito elettrico
causato dall’incuria o dalla disattenzione, non vi saranno ripercussioni sui server.
Già la perdita dei dati di un singolo computer è certe volte molto costosa per
l’azienda, quindi si cerchi di evitare che per un singolo PC, non vengano bloccati i
server critici aziendali.
Nella piccola azienda, molto spesso queste semplici misure non sono osservate e i
server che costituiscono l’infrastruttura del sistema informativo non sono separati in
modo netto e protetto dal resto dei locali adibiti a stazione di lavoro. In conseguenza,
diventa molto difficile poter attivare una seppur basilare politica di sicurezza del Sistema
Informativo.
1.2.
La sicurezza “logica”
Una definizione generalmente accettata di sicurezza logica la identifica come un
insieme di misure volte a garantire l'integrità delle informazioni, l'affidabilità dei dati, la
segretezza degli stessi (vista come controllo dell'accesso al sistema) e la continuità del
servizio informativo. Per integrità delle informazioni si intende la garanzia di
Pagina 6 di 27
completezza, accuratezza e non manomissione; per affidabilità la loro disponibilità dove
e quando necessario; per segretezza la divulgazione delle informazioni solo a persone
autorizzate. La protezione logica può venire assicurata mediante misure protettive sia
hardware che software.
I principali tool che fanno riferimento alla sicurezza logica sono:
1. L’antivirus: è l’applicazione più diffusa tra le imprese per migliorare la propria
sicurezza IT, in quanto i virus sono percepiti come la prima minaccia alla sicurezza
del sistema. Le politiche di aggiornamento dell’antivirus vanno però gestite: non si
può lasciare l’onere agli utenti delle singole stazioni di lavoro, spesso poco
competenti su questo tema, ma è necessario prevedere procedure che mantengano
lo stesso livello di sicurezza su tutti i PC presenti in azienda;
2. Il firewall: nelle aziende collegate a Internet impedisce l’accesso alla rete locale a
utenti non autorizzati, istituendo regole prestabilite e di facile uso. Esistono diverse
tipologie di firewall, non solo hardware (molto costose e adatte per l’azienda
medio/grande) ma anche software che, sfruttando per esempio un PC Linux,
possono offrire prestazioni simili a quelle di un firewall hardware. Anche la piccola
impresa, con un investimento assai ridotto (il costo di un PC è ormai nell’ordine degli
800 €), può fare un grande passo avanti verso la sicurezza del sistema informativo.;
3. Le patch: l’applicazione delle patch è di solito affidata al caso, mentre sarebbe
necessaria una politica predefinita per la gestione degli aggiornamenti di sicurezza
di un server, per rimediare ad eventuali bug presenti nel sistema appena disponibili
le correzioni.
4. La crittografia: mantiene privata una comunicazione che si svolge in un mezzo
pubblico.
1.3.
La Business Continuity
Per le aziende è molto importante poter continuare ad utilizzare un determinato servizio
anche immediatamente dopo un problema hardware, un evento naturale, un attacco di
qualunque tipo. Questo concetto è detto Business Continuity.
Pagina 7 di 27
Una volta che il danno si è materializzato, è necessario implementare delle procedure
che permettano di ripristinare l’operatività senza perdere dati e in tempi piuttosto brevi.
L’insieme di queste procedure viene chiamato disaster recovery.
Potersi permettere sistemi di Business Continuity è un privilegio quasi esclusivo delle
grandi aziende, in quanto le tecnologie impiegate sono sia molto costose sia difficili da
gestire: è necessario quindi avere uno staff IT dedicato.
Si pensi a grandi aziende del settore sanitario oppure del settore bancario che non
possono permettersi blocchi causati da malfunzionamenti a uno o più server. Dovranno
raddoppiare il numero di server e dotarsi di software in grado di attivare
automaticamente il computer clone. Ma questa operazione comporta il raddoppio
dell’investimento in tecnologia.
Ogni azienda deve effettuare una valutazione dei costi-benefici imputabili alla Business
Continuity. È necessario confrontare l’impatto finanziario di un blocco del sistema e il
costo necessario per le politiche di disaster recovery. Dal confronto di questi due valori
è possibile determinare l’investimento più idoneo.
Figura 1 – Rapporto costi/benefici di procedure di Business Continuity
Fonte: EMC
Pagina 8 di 27
2. I risultati di una ricerca
Nel corso del 2003 MATE ha condotto una ricerca sulla medio-grande impresa italiana3,
per indagare il livello di maturità in tema di sicurezza dei sistemi informativi aziendali,
analizzando gli aspetti tanto organizzativi quanto tecnologici che caratterizzano le realtà
aziendali di maggior dimensione presenti in Italia.
L’obiettivo della ricerca è quello di presentare le politiche di sicurezza del sistema
informativo implementate in azienda e mostrare quali sono stati gli attacchi informatici
subiti e le contromisure intraprese.
Alcune considerazioni sul campione analizzato sono rilevanti per la successiva analisi.
In primo luogo la propensione all’investimento in innovazione tecnologica, distinguendo
tra innovatori (aziende che affermano di essere orientate alla sperimentazione e
all’utilizzo di nuove tecnologie), prudenti (aziende che fanno proprie le innovazioni
tecnologie in ambito IT solo quando si sono dimostrate adatte alla soluzione di specifici
problemi dell’azienda) e follower (aziende che adottano una tecnologia IT solo quando
questa è diventata di uso comune). Come evidenziato nella Figura 2 più sotto, il
campione è composto dal 25% di aziende che si sono dichiarate innovatrici, dal 47% di
prudenti e dal 28% di follower. Come si vedrà di seguito, a diverse attitudini nei confronti
della tecnologia corrispondono comportamenti differenti per quanto riguarda gli
investimenti in ICT e in sicurezza.
3
Il campione è composto da 400 aziende medio-grandi, dai 50 ai 1000 addetti, stratificati, per
dimensione, settore e area geografica secondo la popolazione industriale nazionale.
Pagina 9 di 27
Figura 2 – Suddivisione del campione in base alla propensione dell’azienda
all’investimento rispetto all’innovazione tecnologica
Innovatore
25%
Follower
28%
Prudente
47%
Fonte MATE
Il secondo elemento rilevante, a cui corrisponde un maggiore o minor livello di
esposizione al rischio di intrusioni, è la presenza di un sito Web, di una rete Intranet o
una Extranet. In quest’ultimo caso maggiori saranno le precauzioni necessarie.
Figura 3 – Presenza di sito Web, Intranet, Extranet
Extranet
Intranet
Sito web
0%
20%
40%
60%
80%
100%
Fonte MATE
L’80% delle aziende del campione ha un proprio sito Web, il 79% dispone di una
Intranet mentre solo il 27% adotta una rete Extranet.
Pagina 10 di 27
2.1.
Sistemi di supporto alla sicurezza fisica
Come già anticipato nella prima parte del presente dossier, la sicurezza fisica4 è ancora
molto importante all’interno dell’azienda, nonostante l’oggetto da salvaguardare sia
cambiato con l’avvento della Net Economy: non più archivi cartacei ma archivi digitali.
Figura 4 – Sistemi di supporto alla sicurezza fisica
Altro
Circuiti televisivi di
controllo
Locali con accesso
controllato
Climatizzazione locali
Sistemi antincendio
0%
10%
20%
30%
40%
50%
60%
70%
80%
Fonte MATE
L’80% del campione adotta sistemi antincendio nei locali della propria azienda. Molto
alta anche la percentuale di imprese che hanno una climatizzazione dei locali: 74%. Si
ricorda che un impianto di climatizzazione è molto importante, in quanto evita il
surriscaldamento delle macchine e quindi un’interruzione nel funzionamento dovuta al
calore. Più della metà degli intervistati (53%) dispone di locali dedicati ai server con
accesso controllato, mentre la presenza di circuiti televisivi di controllo è presente nel
24% dei casi.
Incrociando il dato con la propensione dell’azienda all’investimento rispetto
all’innovazione tecnologica, si nota che gli innovatori hanno un utilizzo superiore dei
sistemi di sicurezza fisica rispetto alle altre due classi del campione (mediamente è di
circa il 5% in più rispetto ai prudenti e il 10% in più rispetto ai follower)
4
Si ricorda che per sicurezza fisica si intende “l’insieme delle misure di protezione delle
apparecchiature, del personale e degli impianti presenti nel sistema informatico”.
Pagina 11 di 27
Per quanto riguarda invece la diversa propensione all’investimento in sicurezza fisica in
base alla presenza di un sito Web, l’unica differenza si registra nel controllo dell’accesso
nei locali dedicati ai server. Le aziende che hanno implementato un proprio sito Web
investono maggiormente in questa soluzione rispetto alle aziende prive del sito (55%
contro il 45%). Non sussistono invece differenze tra le aziende con una rete Intranet o
una rete Extranet rispetto a quelle che non le hanno.
2.2.
Presenza di procedure, di politiche e di un responsabile
della sicurezza
La percentuale di aziende del campione che afferma di aver attuato (o di essere in
procinto di farlo) politiche e procedure volte ad aumentare la sicurezza del sistema
informativo è pari all’81%.
Figura 5 – Procedure e politiche di sicurezza interne
No
19%
SI
81%
Fonte: MATE
Vale la pena di fare una piccola riflessione sul dato emerso, alla luce della
composizione del campione. Vista la dimensione medio/grande, stupisce che
un’azienda su cinque non abbia ancora attivato procedure di sicurezza. Queste aziende
sono potenzialmente aperte ad attacchi e quindi a perdite di dati. È molto probabile
oltretutto che alcune di esse abbiano già subito attacchi senza essersene accorte.
Pagina 12 di 27
Figura 6 – Presenza di procedure di sicurezza in base alla propensione
tecnologica
Innovatore
Prudente
Follower
90
95
100
105
110
Fonte: MATE
Numero indice: media Italia=100
Per quanto riguarda la propensione all’investimento rispetto all’innovazione tecnologica
si nota che gli innovatori sono coloro che maggiormente hanno implementato procedure
di sicurezza, attestandosi al di sopra della media italiana. I prudenti sono praticamente
in linea con la media mentre i follower sono poco sotto.
Le aziende che hanno implementato una Extranet sono più attente alla sicurezza
rispetto alla media, così come quelle che utilizzano una rete Intranet. Una possibile
spiegazione è data dalla consapevolezza che la Extranet possa essere un facile varco
non autorizzato al sistema informativo aziendale, e quindi un maggior investimento in
politiche di sicurezza è dettato dal cercare di limitare questo ulteriore rischio.
Il secondo aspetto analizzato riguarda la presenza di un responsabile della sicurezza
all’interno dell’azienda. La presenza di una figura che svolge tale compito è presente in
poco più di due terzi delle aziende del campione, ma una quota rilevante (un’azienda su
dieci), evidenza l’adozione di procedure e politiche di sicurezza interna senza che a
questo corrisponda un preciso ruolo organizzativo, mentre il restante 20% non ha
definito procedure e politiche di sicurezza e di conseguenza non si è ancora posto il
problema della identificazione di un responsabile.
Pagina 13 di 27
Figura 7 – Presenza del responsabile della sicurezza
SI
70%
No
30%
Fonte: MATE
Resta quindi un 30% di aziende presso le quali le problematiche di sicurezza aziendale
sono di competenza del responsabile IT. La cosa in sé non è molto preoccupante, a
patto che a livello aziendale siano ben chiare le responsabilità, anche se è evidente che
la sicurezza aziendale è molto importante e quindi la presenza di un suo responsabile
rappresenta la soluzione migliore.
Figura 8 – Presenza responsabile sicurezza in base alla propensione
tecnologica
Innovatore
Prudente
Follower
80
90
100
110
120
Fonte MATE
Numero indice: media Italia=100
Pagina 14 di 27
Per quanto riguarda le differenze in base alla propensione verso le nuove tecnologie, si
evince che nelle aziende che si dichiarano innovatrici la presenza del responsabile della
sicurezza è molto al di sopra della media italiana, a differenza di quello che succede per
i follower.
Incrociando il dato con la presenza di reti aziendali, si nota come la percentuale più alta
(79%) rispetto alla media italiana si registra tra le aziende che utilizzano una rete
Extranet. Il divario tra queste ultime e quelle dotate di Intranet o sito web è sensibile ed
è di circa 7 punti percentuali.
2.3.
Attacchi informatici e precauzioni prese
Ormai la maggior parte delle aziende è continuamente collegata ad Internet. Il Web è lo
strumento principale attraverso cui si manifestano gli attacchi informatici. Questo diventa
molto semplice se non sono stati presi gli accorgimenti necessari per impedire, o
almeno rendere molto difficile, l’intrusione da parte di sconosciuti.
Figura 9 – Attacchi informatici subiti dall’azienda e relative conseguenze
Si, Rilevanti
8%
No
64%
Si, Poco rilevanti
28%
Fonte: MATE
Il 64% delle aziende afferma di non aver mai subito un attacco al sistema informativo, il
28% l’ha subito ma ha riscontrato conseguenze poco rilevanti mentre c’è un 8% che ha
subito danni rilevanti.
Pagina 15 di 27
Sicuramente il dato emerso è sottostimato in quanto non tutti gli attacchi informatici
hanno lo scopo di danneggiare i dati aziendali (molte volte sono solamente prove di
abilità da parte dei cracker5): è possibile, quindi, che molte aziende abbiano subito
intrusioni o attacchi esterni senza che se ne siano accorte.
Incrociando il dato con la propensione verso le nuove tecnologie, emerge una
situazione particolare.
Figura 10 – Attacchi informatici all’azienda in base alla propensione
tecnologica
Si, Rilevanti
Si, Poco rilevanti
No
50
70
Innovatore
90
110
Prudente
130
150
170
Follower
Fonte: MATE
Numero indice: media Italia=100
Le aziende innovatrici sono quelle che hanno subito attacchi (con conseguenze
rilevanti) in misura superiore alla media. Mentre le aziende follower sono quelle che
mediamente ne hanno subiti meno. Una possibile spiegazione risiede nel fatto che le
tecnologie di ultima generazione, spesso non testate sufficientemente, presentano
alcune criticità per quanto riguarda la sicurezza. Se tale fatto genera timori e può
frenarne la diffusione, gli innovatori, che per primi adottano la tecnologia,
potenzialmente si portano in casa potenziali cavalli di troia, mentre i follower, che
arrivano solo quando la tecnologia è ormai stabile, non si espongono a tale rischio.
5
Terminologia usata per identificare gli hacker malevoli.
Pagina 16 di 27
La principale tipologia di attacco informatico subita dalle aziende del campione è il virus
proveniente dal collegamento ad Internet (95%). Sebbene gli antivirus siano ormai una
realtà per la quasi totalità delle aziende (vedere Figura 15), i virus rimangono il più
diffuso attacco informatico. Questo è dovuto al lasso di tempo che intercorre tra la
creazione del virus da parte dei Cracker e l’aggiornamento dei database degli antivirus.
Molto distanziate le altre tipologie di attacco informatico, tra le quali si segnalano i trojan
horses (15%) e l’accesso non autorizzato sia alle applicazioni (10%) sia ai dati aziendali
(8%).
Figura 11 – Tipologie di attacco informatico subite
Altro
Exploit
Dati aziendali
Applicazioni
Trojan horses
Virus
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Fonte MATE
Base: Aziende che hanno subito un attacco
Le aziende hanno comunque la possibilità di difendersi, gestendo al meglio le risorse a
loro disposizione. Un primo passo per attuare una politica di sicurezza aziendale è
quello di allocare un budget di spesa specifico. Molte volte il budget annuale per l’area
IT è unico e comprende più aspetti dell’infrastruttura tecnologica aziendale, tra cui la
sicurezza. Ma l’errore comune è pensare che la sicurezza dei dati sia relativa solo al
comparto IT quando invece riguarda tutta l’impresa. Quindi è necessario che la
sicurezza diventi un punto focale degli investimenti aziendali, con risorse mirate, tempi e
politiche di attuazione ben strutturate.
Pagina 17 di 27
Figura 12 – Allocazione di un budget di spesa
No
72%
SI
28%
Fonte: MATE
Dalla ricerca emerge che le aziende del campione hanno altre priorità in termini di
budget. Solo il 28% del campione ha dichiarato di aver allocato un budget specifico per
la sicurezza.
Figura 13 – Allocazione budget di spesa in base alla propensione tecnologica
Innovatore
Prudente
Follower
60
70
80
90
100
110
120
130
140
Fonte: MATE
Numero indice: media Italia=100
Pagina 18 di 27
Incrociando il dato con la propensione verso le nuove tecnologie si notano differenze
notevoli. Le aziende innovatrici sono molto più propense ad allocare un budget di spesa
specifico per la sicurezza informatica.
Ma la presenza di un budget di spesa non è sufficiente per implementare una efficace
politica di sicurezza informatica. È necessaria un’allocazione delle risorse mirata alle
diverse tipologie di possibili attacchi informatici.
Figura 14 – Tipologia di sistemi di sicurezza adottati dalle aziende
Antivirus
Salvataggio-back up
Firewall
Monitoraggio accessi
Sicurezza fisica
Disaster recovery
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
Mail scanning
Crittografia e
certificazione
Firma digitale
Sistema sicurezza
pagamenti
Accesso biometrico
0%
10%
20%
30%
40%
50%
60%
70%
Fonte MATE
Per quanto concerne i sistemi di sicurezza adottati dalle aziende del campione si hanno
i seguenti risultati:
Pagina 19 di 27
•
Il software antivirus è presente nel 97% del campione;
•
Una procedura di backup o di salvataggio dei dati nel 95%;
•
Un firewall nel 71%;
•
Un monitoraggio accurato degli accessi ai dati aziendali nel 66%;
•
Mail scanning nel 66%;
•
Procedure di sicurezza fisica nel 62%;
•
Politiche e applicazioni di disaster recovery nel 43%;
•
Crittografia e certificazione nel 25%;
•
Firma digitale nel 17%;
•
Sistemi di sicurezza pagamenti (SET, SSL) nel 11%;
•
Accesso biometrico nei locali adibiti a zona server nel 6%.
Di seguito sono esposte in dettaglio tre risposte del campione in merito all’adozione di
soluzioni tecnologiche ritenute necessarie per una efficace piattaforma di sicurezza
informatica:
•
L’antivirus;
•
Il firewall;
•
I sistemi di monitoraggio degli accessi.
Pagina 20 di 27
Figura 15 – Presenza di antivirus in azienda
A breve
NO
1%
2%
SI
97%
Fonte: MATE
Come già detto in precedenza, l’antivirus è l’elemento fondamentale per la sicurezza
informatica (ma troppe volte è anche l’unico). Quasi la totalità del campione (il 97%) è
dotata di antivirus. Solo il 2% ancora non lo utilizza mentre l’1% lo farà a breve.
Ma la gestione dell’antivirus deve essere fatta con cura. Non basta che il software sia
installato in modo corretto, deve essere aggiornato continuamente, ed in più non si deve
lasciare la sua gestione operativa al singolo utente del PC sul quale è installato. A livello
enterprise, il software antivirus deve essere un’applicazione client/server, in grado di
aggiornarsi da sola e di essere assolutamente invisibile per l’utente. Tutta la gestione ed
il controllo dell’antivirus deve essere in mano al responsabile IT - o al responsabile della
sicurezza.
Un altro elemento imprescindibile per impedire un accesso non autorizzato alla rete
aziendale, quando connessa ad Internet, è il firewall.
Esistono due tipologie principali di firewall: hardware e software. La prima è la più
utilizzata dalle medio/grandi aziende dato l’elevato costo di implementazione, la
seconda è maggiormente utilizzata dalle piccole imprese, in quanto il basso costo
compensa una minor efficacia/efficienza del prodotto in questione.
Pagina 21 di 27
Figura 16 – Presenza di firewall in azienda
NO
25%
A breve
4%
SI
71%
Fonte: MATE
Il 71% del campione afferma di avere un firewall in azienda, mentre il 4% lo adotterà a
breve. Ancora molto alta la quota di aziende (25%) che ne sono sprovviste. Come già
esposto in precedenza, il firewall è l’elemento chiave per la messa in sicurezza di un
sistema informativo che si affaccia su Internet.
Anche il monitoraggio dei tentativi di accesso ai dati sia dall’interno dell’azienda sia
dall’esterno è un elemento molto importante per la sicurezza di un sistema informativo
aziendale. Molte volte sarebbe sufficiente monitorare chi ha avuto e quando un accesso
ad un determinato file per effettuare un controllo di buon livello. Inoltre controllare
periodicamente i log dei server aziendali può servire a trovare eventuali falle al sistema
ancora sconosciute.
Pagina 22 di 27
Figura 17 – Presenza di sistemi di monitoraggio degli accessi
NO
30%
A breve
4%
SI
66%
Fonte: MATE
Tra le aziende del campione il 66% afferma di utilizzare sistemi di monitoraggio degli
accessi, mentre il 4% lo farà a breve, e circa un terzo degli intervistati non ha e non
prevede un sistema di monitoraggio degli accessi.
Figura 18 – Iniziative per la tutela contro le intrusioni
Definizione del budget
per la sicurezza
Stabilire procedure più
rigide
Maggiore sicurezza
logica e fisica dei sistemi
Implementare strategia
per la sicurezza
Maggior controllo
sull'utilizzo dei dati
Sensibilizzare il
personale
0%
10%
20%
30%
40%
50%
60%
70%
80%
Fonte MATE
Per impedire l’accesso ai dati aziendali sono possibili molte iniziative all’interno
dell’azienda. Quella maggiormente usata dalle imprese del campione è la
sensibilizzazione del personale, politica attuata nel 74% dei casi. Segue un maggior
Pagina 23 di 27
controllo sull’utilizzo dei dati (45%), l’implementazione di una strategia complessiva per
la sicurezza (44%), un aumento dei livelli di sicurezza logica e fisica dei sistemi (43%),
l’introduzione di procedure più rigide (38%) e la definizione del budget per la sicurezza
(33%).
Un aspetto importante che emerge dalla ricerca è la centralità dell’uomo nelle politiche
di sicurezza aziendali. Infatti, ogni soluzione concernente la sicurezza aziendale
dovrebbe essere affiancata da una sensibilizzazione del personale alle problematiche
della sicurezza. Molte volte questo aspetto è sottovalutato da parte del management
aziendale. Una semplice politica, volta a sensibilizzare gli utenti su quello che si può
fare tranquillamente con il computer e su quello che invece è potenzialmente pericoloso,
renderebbe molto più semplice il lavoro dello staff IT, in quanto si ridurrebbero
notevolmente i problemi legati a virus o al download di codice malevolo provenienti da
Internet.
Figura 19 – Aumentare la sensibilità del personale sulla sicurezza
A breve
9%
NO
17%
SI
74%
Fonte: MATE
La percentuale di aziende che investono nel migliorare la sensibilità del personale sulle
problematiche di sicurezza è risultata molto elevata (74%, superiore sia al 71% di
presenza di firewall, sia al 66% di presenza di politiche di monitoraggio degli accessi).
Alle suddette imprese bisogna aggiungerne un ulteriore 9% che prevede di operare in
tal senso nel breve periodo. Questo risultato è molto incoraggiante in quanto sottolinea
l’importanza che l’utente ha nella sicurezza informatica aziendale.
Pagina 24 di 27
3. Consigli pratici
Una serie di step è necessaria per far funzionare nei migliori dei modi una politica di
sicurezza IT. A livello generale si tratta dei seguenti punti
1. Definizione della politica di sicurezza nella sua globalità;
2. Definizione degli ambiti nei quali la tematica della sicurezza andrà a interagire. Gli
ambiti devono essere definiti in termini di caratteristiche dell’azienda, delle tipologie
di risorse interne, di tecnologia e di localizzazione;
3. Valutazione del rischio che identifichi i pericoli per le risorse, le vulnerabilità e
l’impatto sulla continuità dell’operatività;
4. Individuazione delle aree maggiormente a rischio in base alla politica di sicurezza
che si vuole adottare e al grado di investimento che si vuole effettuare;
5. Controllo puntiglioso dell’applicazione delle regole di sicurezza adottate;
6. Deve essere documentato il motivo delle scelte effettuate, con riferimento alle
motivazioni che hanno portato alla non applicabilità della politica di sicurezza per
certi settori aziendali.
Per quanto concerne la parte delle risorse umane, gli sforzi devono concentrarsi su due
fronti distinti::
•
Costituzione di un team legato esclusivamente all’ambito sicurezza, con definizione
dei ruoli molto precisi e con responsabilità ben definite. Il team della sicurezza sarà
guidato da un Security Manager che risponderà direttamente al Responsabile IT;
•
Definizione di politiche di formazione del personale non tecnico sui temi della
sicurezza, sia a livello tecnologico sia metodologico.
Infine, per la parte tecnologica, le aree di attenzione riguardano le seguenti attività:
•
Definizione e applicazione di politiche di sicurezza fisica sia software che hardware;
•
Gestione accurata degli aggiornamenti dei server soprattutto a livello di sistema
operativo mediante politiche di applicazione di patch ben strutturate;
Pagina 25 di 27
•
Utilizzo a livello aziendale di software antivirus di tipologia client/server con
aggiornamenti automatici delle definizioni dei virus e assolutamente trasparenti dal
lato utente;
•
Utilizzo di software di provate caratteristiche di sicurezza, soprattutto per quanto
riguarda la posta elettronica e la navigazione su Internet;
•
Utilizzo di firewall hardware o software;
•
Definizione di politiche volte a individuare tentativi di accesso non autorizzato al
sistema informativo aziendale e successiva applicazione di correttivi;
Pagina 26 di 27
4. Glossario
Biometria
Metodo di riconoscimento delle persone attraverso alcuni parametri
fisici o biologici (per esempio le impronte digitali o la scansione
dell’iride dell’occhio).
Cracker
Persona esperta di informatica e di reti che sfrutta le proprie abilità
per cercare di violare i sistemi di sicurezza di una rete con l'obiettivo
di sottrarre dati o danneggiarli. Si differenziano dagli hacker proprio
per le loro intenzioni illecite.
Crittografia
Mezzi utilizzati in rete per garantire segretezza, integrità ed
autenticità tanto ai messaggi e alle transazioni quanto alle persone
che li effettuano.
Exploit
Indica un bug scoperto all'interno di un software o un sistema
operativo tramite il quale sia possibile effettuare un attacco al
sistema informatico che lo contiene.
Patch
Aggiornamento di un software realizzato allo scopo di eliminare uno
o più difetti presenti nella versione precedentemente rilasciata.
Server
All'interno di una rete di telecomunicazione, è il calcolatore o il
programma che risponde ai comandi lanciati da una macchina
client. Può contenere e trasmettere informazioni, file, pagine Web e
svolgere diversi tipi di servizio.
Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito www.sanpaoloimprese.com
Documento pubblicato su licenza di MATE - IT RESEARCH AND CONSULTING
Copyright MATE - IT RESEARCH AND CONSULTING
Fonte: Osservatorio Net Economy - Commercio Elettronico Italia - MATE