LA SICUREZZA NEI SISTEMI INFORMATIVI
Transcript
LA SICUREZZA NEI SISTEMI INFORMATIVI
LA SICUREZZA NEI SISTEMI INFORMATIVI COSA FA LA MEDIA IMPRESA ITALIANA Di Luca Bilanzuoli e Riccardo Peggi In collaborazione con Indice dei contenuti Premessa....................................................................................................................... 4 1. L’importanza crescente di un “Sistema Informativo Sicuro” .................................... 5 1.1. La sicurezza “fisica” ....................................................................................... 6 1.2. La sicurezza “logica” ...................................................................................... 6 1.3. La Business Continuity .................................................................................. 7 2. I risultati di una ricerca ............................................................................................. 9 2.1. Sistemi di supporto alla sicurezza fisica ...................................................... 11 2.2. Presenza di procedure, di politiche e di un responsabile della sicurezza ... 12 2.3. Attacchi informatici e precauzioni prese ...................................................... 15 3. Consigli pratici........................................................................................................ 25 4. Glossario ................................................................................................................ 27 Indice delle figure Figura 1 – Rapporto costi/benefici di procedure di Business Continuity ....................... 8 Figura 2 – Suddivisione del campione in base alla propensione dell’azienda all’investimento rispetto all’innovazione tecnologica ............................................ 10 Figura 3 – Presenza di sito Web, Intranet, Extranet.................................................... 10 Pagina 2 di 27 Figura 4 – Sistemi di supporto alla sicurezza fisica..................................................... 11 Figura 5 – Procedure e politiche di sicurezza interne ................................................. 12 Figura 6 – Presenza di procedure di sicurezza in base alla propensione tecnologica............................................................................................................ 13 Figura 7 – Presenza del responsabile della sicurezza ................................................ 14 Figura 8 – Presenza responsabile sicurezza in base alla propensione tecnologica............................................................................................................ 14 Figura 9 – Attacchi informatici subiti dall’azienda e relative conseguenze ................. 15 Figura 10 – Attacchi informatici all’azienda in base alla propensione tecnologica...... 16 Figura 11 – Tipologie di attacco informatico subite ..................................................... 17 Figura 12 – Allocazione di un budget di spesa............................................................ 18 Figura 13 – Allocazione budget di spesa in base alla propensione tecnologica ......... 18 Figura 14 – Tipologia di sistemi di sicurezza adottati dalle aziende............................ 19 Figura 15 – Presenza di antivirus in azienda............................................................... 21 Figura 16 – Presenza di firewall in azienda................................................................. 22 Figura 17 – Presenza di sistemi di monitoraggio degli accessi................................... 23 Figura 18 – Iniziative per la tutela contro le intrusioni ................................................. 23 Figura 19 – Aumentare la sensibilità del personale sulla sicurezza............................ 24 Pagina 3 di 27 Premessa La crescente apertura dei sistemi informativi al Web, attraverso il quale gli scambi documentali sono diventati particolarmente intensi, ha esposto le aziende ad una minaccia molto spesso sottovalutata. La rapida e massiccia diffusione di virus informatici1, con casi eclatanti di contagi e conseguenti blocchi dell’operatività di reti importanti, ha aumentato il livello di consapevolezza all’interno delle aziende. Le imprese italiane stanno iniziando ad investire più seriamente in sicurezza, e la conferma viene dai dati di mercato, che evidenziano un trend di crescita molto interessante per questo comparto per i prossimi anni, tanto a livello nazionale, quanto internazionale. Secondo IDC, il mercato mondiale della sicurezza (software, hardware, servizi) si attesterà intorno ai 45 miliardi di dollari nel 2005, con una crescita significativa a partire dal 20042. Per quanto riguarda il mercato italiano, è prevista una crescita media annua del 40%, dai 260 milioni di dollari del 2000 a circa 1,5 miliardi di dollari del 2005. Per l’azienda italiana, caratterizzata da dimensioni prevalentemente medie e piccole, la predisposizione di un sistema informativo sicuro spesso si scontra con la scarsità di budget da dedicare, anche se sovente è la mancata percezione del danno che potrebbe derivare in caso di attacco a posticipare l’investimento. Molto frequenti sono i casi in cui, a seguito di blocchi più o meno gravi del sistema informativo, a cui possono 1 A tal proposito si citano i risultati di due ricerche recentemente condotte a livello internazionale da vendor del settore. Secondo Symantec, quasi un'azienda su tre ha subito gravi attacchi da parte di virus informatici nella seconda metà del 2003. Il dato è preoccupante: infatti nella prima metà dello stesso anno solo un'azienda su sei era stata "toccata" da virus, vale a dire la metà. Secondo i dati raccolti le aziende più colpite sono quelle operanti nei settori Sanità, Energia e Servizi finanziari. Il trend è confermato dai risultati di una recente ricerca condotta da McAfee, che indica come, nel primo semestre 2004, sono ulteriormente cresciuti gli attacchi virus alle aziende, soprattutto via eMail. 2 Fonte: Vista Research. Pagina 4 di 27 corrispondere perdite di dati e arresti in numerosi processi aziendali, l’azienda si attrezza per evitare il ripetersi del fenomeno. La sicurezza dei sistemi informativi, vale a dire la capacità di mantenere integre e accessibili le informazioni in essi contenute, può essere minacciata non solo da fatti esterni, conseguenti all’accesso a Internet, ma anche interni all’azienda e/o insiti nel sistema stesso. Il presente dossier affronta i diversi aspetti relativi alla sicurezza, inquadrando il fenomeno a livello teorico nella prima parte. Nella seconda parte vengono presentati i risultati di una ricerca condotta sulle aziende italiane medio grandi, con l’obiettivo di fare il punto sul livello di maturità rispetto alle problematiche connesse con il fenomeno, in termini di struttura organizzativa, misure adottate ed esposizione percepita ai rischi di attacchi informatici e vulnerabilità dei propri sistemi. 1. L’importanza crescente di un “Sistema Informativo Sicuro” Prima dell’avvento dell’informazione digitale, per ottenere un Sistema Informativo Sicuro era sufficiente l’attivazione di procedure di controllo degli accessi nelle aree dove effettivamente si trovava l’informazione (solitamente archiviata in formato cartaceo). Allo stato attuale ciò non è più sufficiente: quando si parla di “Sistema Informativo Sicuro” non si prende in considerazione la sola sicurezza “fisica” ma è necessario considerare anche la sicurezza “logica”. L’informazione in formato digitale è un elemento insostituibile per la normale attività aziendale (per esempio, se si analizza il processo di comunicazione aziendale, oggi non è possibile immaginarlo senza eMail). Poiché l'informazione digitale è diventata un elemento di valore, essa deve essere protetta, in quanto una perdita di dati (anche parziale) può rappresentare per l’azienda un costo molto elevato. Ogni azienda, pertanto, dovrà valutare il livello di sicurezza più idoneo alla propria situazione, in un’ottica di costi e benefici: il costo della sicurezza non deve superare il valore dell’informazione da proteggere. Pagina 5 di 27 1.1. La sicurezza “fisica” La sicurezza fisica comprende tutte quelle misure di protezione delle apparecchiature, del personale e degli impianti presenti nel sistema informatico. Il suo scopo è ridurre al minimo (in quanto non è possibile eliminare totalmente) l'esposizione ai rischi. Le principali azioni per implementare una politica di sicurezza fisica sono: 1. Creare una zona ad hoc per i server aziendali, possibilmente attrezzata in modo da permettere l’accesso solo alle persone autorizzate. Non è necessario ricorrere a tecniche particolari e costose come ad esempio la biometria, ma già un locale protetto da una semplice serratura a combinazione elettronica, con codice cambiato almeno mensilmente, garantisce un notevole aumento della sicurezza dei sistemi; 2. Climatizzare i locali dove vengono custoditi i server. Questo riduce la possibilità di blocco causata da surriscaldamento delle macchine; 3. Creare delle linee elettriche per la zona dei server, separate anche da quelle che alimentano gli altri PC di rete. Così facendo, in caso di corto circuito elettrico causato dall’incuria o dalla disattenzione, non vi saranno ripercussioni sui server. Già la perdita dei dati di un singolo computer è certe volte molto costosa per l’azienda, quindi si cerchi di evitare che per un singolo PC, non vengano bloccati i server critici aziendali. Nella piccola azienda, molto spesso queste semplici misure non sono osservate e i server che costituiscono l’infrastruttura del sistema informativo non sono separati in modo netto e protetto dal resto dei locali adibiti a stazione di lavoro. In conseguenza, diventa molto difficile poter attivare una seppur basilare politica di sicurezza del Sistema Informativo. 1.2. La sicurezza “logica” Una definizione generalmente accettata di sicurezza logica la identifica come un insieme di misure volte a garantire l'integrità delle informazioni, l'affidabilità dei dati, la segretezza degli stessi (vista come controllo dell'accesso al sistema) e la continuità del servizio informativo. Per integrità delle informazioni si intende la garanzia di Pagina 6 di 27 completezza, accuratezza e non manomissione; per affidabilità la loro disponibilità dove e quando necessario; per segretezza la divulgazione delle informazioni solo a persone autorizzate. La protezione logica può venire assicurata mediante misure protettive sia hardware che software. I principali tool che fanno riferimento alla sicurezza logica sono: 1. L’antivirus: è l’applicazione più diffusa tra le imprese per migliorare la propria sicurezza IT, in quanto i virus sono percepiti come la prima minaccia alla sicurezza del sistema. Le politiche di aggiornamento dell’antivirus vanno però gestite: non si può lasciare l’onere agli utenti delle singole stazioni di lavoro, spesso poco competenti su questo tema, ma è necessario prevedere procedure che mantengano lo stesso livello di sicurezza su tutti i PC presenti in azienda; 2. Il firewall: nelle aziende collegate a Internet impedisce l’accesso alla rete locale a utenti non autorizzati, istituendo regole prestabilite e di facile uso. Esistono diverse tipologie di firewall, non solo hardware (molto costose e adatte per l’azienda medio/grande) ma anche software che, sfruttando per esempio un PC Linux, possono offrire prestazioni simili a quelle di un firewall hardware. Anche la piccola impresa, con un investimento assai ridotto (il costo di un PC è ormai nell’ordine degli 800 €), può fare un grande passo avanti verso la sicurezza del sistema informativo.; 3. Le patch: l’applicazione delle patch è di solito affidata al caso, mentre sarebbe necessaria una politica predefinita per la gestione degli aggiornamenti di sicurezza di un server, per rimediare ad eventuali bug presenti nel sistema appena disponibili le correzioni. 4. La crittografia: mantiene privata una comunicazione che si svolge in un mezzo pubblico. 1.3. La Business Continuity Per le aziende è molto importante poter continuare ad utilizzare un determinato servizio anche immediatamente dopo un problema hardware, un evento naturale, un attacco di qualunque tipo. Questo concetto è detto Business Continuity. Pagina 7 di 27 Una volta che il danno si è materializzato, è necessario implementare delle procedure che permettano di ripristinare l’operatività senza perdere dati e in tempi piuttosto brevi. L’insieme di queste procedure viene chiamato disaster recovery. Potersi permettere sistemi di Business Continuity è un privilegio quasi esclusivo delle grandi aziende, in quanto le tecnologie impiegate sono sia molto costose sia difficili da gestire: è necessario quindi avere uno staff IT dedicato. Si pensi a grandi aziende del settore sanitario oppure del settore bancario che non possono permettersi blocchi causati da malfunzionamenti a uno o più server. Dovranno raddoppiare il numero di server e dotarsi di software in grado di attivare automaticamente il computer clone. Ma questa operazione comporta il raddoppio dell’investimento in tecnologia. Ogni azienda deve effettuare una valutazione dei costi-benefici imputabili alla Business Continuity. È necessario confrontare l’impatto finanziario di un blocco del sistema e il costo necessario per le politiche di disaster recovery. Dal confronto di questi due valori è possibile determinare l’investimento più idoneo. Figura 1 – Rapporto costi/benefici di procedure di Business Continuity Fonte: EMC Pagina 8 di 27 2. I risultati di una ricerca Nel corso del 2003 MATE ha condotto una ricerca sulla medio-grande impresa italiana3, per indagare il livello di maturità in tema di sicurezza dei sistemi informativi aziendali, analizzando gli aspetti tanto organizzativi quanto tecnologici che caratterizzano le realtà aziendali di maggior dimensione presenti in Italia. L’obiettivo della ricerca è quello di presentare le politiche di sicurezza del sistema informativo implementate in azienda e mostrare quali sono stati gli attacchi informatici subiti e le contromisure intraprese. Alcune considerazioni sul campione analizzato sono rilevanti per la successiva analisi. In primo luogo la propensione all’investimento in innovazione tecnologica, distinguendo tra innovatori (aziende che affermano di essere orientate alla sperimentazione e all’utilizzo di nuove tecnologie), prudenti (aziende che fanno proprie le innovazioni tecnologie in ambito IT solo quando si sono dimostrate adatte alla soluzione di specifici problemi dell’azienda) e follower (aziende che adottano una tecnologia IT solo quando questa è diventata di uso comune). Come evidenziato nella Figura 2 più sotto, il campione è composto dal 25% di aziende che si sono dichiarate innovatrici, dal 47% di prudenti e dal 28% di follower. Come si vedrà di seguito, a diverse attitudini nei confronti della tecnologia corrispondono comportamenti differenti per quanto riguarda gli investimenti in ICT e in sicurezza. 3 Il campione è composto da 400 aziende medio-grandi, dai 50 ai 1000 addetti, stratificati, per dimensione, settore e area geografica secondo la popolazione industriale nazionale. Pagina 9 di 27 Figura 2 – Suddivisione del campione in base alla propensione dell’azienda all’investimento rispetto all’innovazione tecnologica Innovatore 25% Follower 28% Prudente 47% Fonte MATE Il secondo elemento rilevante, a cui corrisponde un maggiore o minor livello di esposizione al rischio di intrusioni, è la presenza di un sito Web, di una rete Intranet o una Extranet. In quest’ultimo caso maggiori saranno le precauzioni necessarie. Figura 3 – Presenza di sito Web, Intranet, Extranet Extranet Intranet Sito web 0% 20% 40% 60% 80% 100% Fonte MATE L’80% delle aziende del campione ha un proprio sito Web, il 79% dispone di una Intranet mentre solo il 27% adotta una rete Extranet. Pagina 10 di 27 2.1. Sistemi di supporto alla sicurezza fisica Come già anticipato nella prima parte del presente dossier, la sicurezza fisica4 è ancora molto importante all’interno dell’azienda, nonostante l’oggetto da salvaguardare sia cambiato con l’avvento della Net Economy: non più archivi cartacei ma archivi digitali. Figura 4 – Sistemi di supporto alla sicurezza fisica Altro Circuiti televisivi di controllo Locali con accesso controllato Climatizzazione locali Sistemi antincendio 0% 10% 20% 30% 40% 50% 60% 70% 80% Fonte MATE L’80% del campione adotta sistemi antincendio nei locali della propria azienda. Molto alta anche la percentuale di imprese che hanno una climatizzazione dei locali: 74%. Si ricorda che un impianto di climatizzazione è molto importante, in quanto evita il surriscaldamento delle macchine e quindi un’interruzione nel funzionamento dovuta al calore. Più della metà degli intervistati (53%) dispone di locali dedicati ai server con accesso controllato, mentre la presenza di circuiti televisivi di controllo è presente nel 24% dei casi. Incrociando il dato con la propensione dell’azienda all’investimento rispetto all’innovazione tecnologica, si nota che gli innovatori hanno un utilizzo superiore dei sistemi di sicurezza fisica rispetto alle altre due classi del campione (mediamente è di circa il 5% in più rispetto ai prudenti e il 10% in più rispetto ai follower) 4 Si ricorda che per sicurezza fisica si intende “l’insieme delle misure di protezione delle apparecchiature, del personale e degli impianti presenti nel sistema informatico”. Pagina 11 di 27 Per quanto riguarda invece la diversa propensione all’investimento in sicurezza fisica in base alla presenza di un sito Web, l’unica differenza si registra nel controllo dell’accesso nei locali dedicati ai server. Le aziende che hanno implementato un proprio sito Web investono maggiormente in questa soluzione rispetto alle aziende prive del sito (55% contro il 45%). Non sussistono invece differenze tra le aziende con una rete Intranet o una rete Extranet rispetto a quelle che non le hanno. 2.2. Presenza di procedure, di politiche e di un responsabile della sicurezza La percentuale di aziende del campione che afferma di aver attuato (o di essere in procinto di farlo) politiche e procedure volte ad aumentare la sicurezza del sistema informativo è pari all’81%. Figura 5 – Procedure e politiche di sicurezza interne No 19% SI 81% Fonte: MATE Vale la pena di fare una piccola riflessione sul dato emerso, alla luce della composizione del campione. Vista la dimensione medio/grande, stupisce che un’azienda su cinque non abbia ancora attivato procedure di sicurezza. Queste aziende sono potenzialmente aperte ad attacchi e quindi a perdite di dati. È molto probabile oltretutto che alcune di esse abbiano già subito attacchi senza essersene accorte. Pagina 12 di 27 Figura 6 – Presenza di procedure di sicurezza in base alla propensione tecnologica Innovatore Prudente Follower 90 95 100 105 110 Fonte: MATE Numero indice: media Italia=100 Per quanto riguarda la propensione all’investimento rispetto all’innovazione tecnologica si nota che gli innovatori sono coloro che maggiormente hanno implementato procedure di sicurezza, attestandosi al di sopra della media italiana. I prudenti sono praticamente in linea con la media mentre i follower sono poco sotto. Le aziende che hanno implementato una Extranet sono più attente alla sicurezza rispetto alla media, così come quelle che utilizzano una rete Intranet. Una possibile spiegazione è data dalla consapevolezza che la Extranet possa essere un facile varco non autorizzato al sistema informativo aziendale, e quindi un maggior investimento in politiche di sicurezza è dettato dal cercare di limitare questo ulteriore rischio. Il secondo aspetto analizzato riguarda la presenza di un responsabile della sicurezza all’interno dell’azienda. La presenza di una figura che svolge tale compito è presente in poco più di due terzi delle aziende del campione, ma una quota rilevante (un’azienda su dieci), evidenza l’adozione di procedure e politiche di sicurezza interna senza che a questo corrisponda un preciso ruolo organizzativo, mentre il restante 20% non ha definito procedure e politiche di sicurezza e di conseguenza non si è ancora posto il problema della identificazione di un responsabile. Pagina 13 di 27 Figura 7 – Presenza del responsabile della sicurezza SI 70% No 30% Fonte: MATE Resta quindi un 30% di aziende presso le quali le problematiche di sicurezza aziendale sono di competenza del responsabile IT. La cosa in sé non è molto preoccupante, a patto che a livello aziendale siano ben chiare le responsabilità, anche se è evidente che la sicurezza aziendale è molto importante e quindi la presenza di un suo responsabile rappresenta la soluzione migliore. Figura 8 – Presenza responsabile sicurezza in base alla propensione tecnologica Innovatore Prudente Follower 80 90 100 110 120 Fonte MATE Numero indice: media Italia=100 Pagina 14 di 27 Per quanto riguarda le differenze in base alla propensione verso le nuove tecnologie, si evince che nelle aziende che si dichiarano innovatrici la presenza del responsabile della sicurezza è molto al di sopra della media italiana, a differenza di quello che succede per i follower. Incrociando il dato con la presenza di reti aziendali, si nota come la percentuale più alta (79%) rispetto alla media italiana si registra tra le aziende che utilizzano una rete Extranet. Il divario tra queste ultime e quelle dotate di Intranet o sito web è sensibile ed è di circa 7 punti percentuali. 2.3. Attacchi informatici e precauzioni prese Ormai la maggior parte delle aziende è continuamente collegata ad Internet. Il Web è lo strumento principale attraverso cui si manifestano gli attacchi informatici. Questo diventa molto semplice se non sono stati presi gli accorgimenti necessari per impedire, o almeno rendere molto difficile, l’intrusione da parte di sconosciuti. Figura 9 – Attacchi informatici subiti dall’azienda e relative conseguenze Si, Rilevanti 8% No 64% Si, Poco rilevanti 28% Fonte: MATE Il 64% delle aziende afferma di non aver mai subito un attacco al sistema informativo, il 28% l’ha subito ma ha riscontrato conseguenze poco rilevanti mentre c’è un 8% che ha subito danni rilevanti. Pagina 15 di 27 Sicuramente il dato emerso è sottostimato in quanto non tutti gli attacchi informatici hanno lo scopo di danneggiare i dati aziendali (molte volte sono solamente prove di abilità da parte dei cracker5): è possibile, quindi, che molte aziende abbiano subito intrusioni o attacchi esterni senza che se ne siano accorte. Incrociando il dato con la propensione verso le nuove tecnologie, emerge una situazione particolare. Figura 10 – Attacchi informatici all’azienda in base alla propensione tecnologica Si, Rilevanti Si, Poco rilevanti No 50 70 Innovatore 90 110 Prudente 130 150 170 Follower Fonte: MATE Numero indice: media Italia=100 Le aziende innovatrici sono quelle che hanno subito attacchi (con conseguenze rilevanti) in misura superiore alla media. Mentre le aziende follower sono quelle che mediamente ne hanno subiti meno. Una possibile spiegazione risiede nel fatto che le tecnologie di ultima generazione, spesso non testate sufficientemente, presentano alcune criticità per quanto riguarda la sicurezza. Se tale fatto genera timori e può frenarne la diffusione, gli innovatori, che per primi adottano la tecnologia, potenzialmente si portano in casa potenziali cavalli di troia, mentre i follower, che arrivano solo quando la tecnologia è ormai stabile, non si espongono a tale rischio. 5 Terminologia usata per identificare gli hacker malevoli. Pagina 16 di 27 La principale tipologia di attacco informatico subita dalle aziende del campione è il virus proveniente dal collegamento ad Internet (95%). Sebbene gli antivirus siano ormai una realtà per la quasi totalità delle aziende (vedere Figura 15), i virus rimangono il più diffuso attacco informatico. Questo è dovuto al lasso di tempo che intercorre tra la creazione del virus da parte dei Cracker e l’aggiornamento dei database degli antivirus. Molto distanziate le altre tipologie di attacco informatico, tra le quali si segnalano i trojan horses (15%) e l’accesso non autorizzato sia alle applicazioni (10%) sia ai dati aziendali (8%). Figura 11 – Tipologie di attacco informatico subite Altro Exploit Dati aziendali Applicazioni Trojan horses Virus 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Fonte MATE Base: Aziende che hanno subito un attacco Le aziende hanno comunque la possibilità di difendersi, gestendo al meglio le risorse a loro disposizione. Un primo passo per attuare una politica di sicurezza aziendale è quello di allocare un budget di spesa specifico. Molte volte il budget annuale per l’area IT è unico e comprende più aspetti dell’infrastruttura tecnologica aziendale, tra cui la sicurezza. Ma l’errore comune è pensare che la sicurezza dei dati sia relativa solo al comparto IT quando invece riguarda tutta l’impresa. Quindi è necessario che la sicurezza diventi un punto focale degli investimenti aziendali, con risorse mirate, tempi e politiche di attuazione ben strutturate. Pagina 17 di 27 Figura 12 – Allocazione di un budget di spesa No 72% SI 28% Fonte: MATE Dalla ricerca emerge che le aziende del campione hanno altre priorità in termini di budget. Solo il 28% del campione ha dichiarato di aver allocato un budget specifico per la sicurezza. Figura 13 – Allocazione budget di spesa in base alla propensione tecnologica Innovatore Prudente Follower 60 70 80 90 100 110 120 130 140 Fonte: MATE Numero indice: media Italia=100 Pagina 18 di 27 Incrociando il dato con la propensione verso le nuove tecnologie si notano differenze notevoli. Le aziende innovatrici sono molto più propense ad allocare un budget di spesa specifico per la sicurezza informatica. Ma la presenza di un budget di spesa non è sufficiente per implementare una efficace politica di sicurezza informatica. È necessaria un’allocazione delle risorse mirata alle diverse tipologie di possibili attacchi informatici. Figura 14 – Tipologia di sistemi di sicurezza adottati dalle aziende Antivirus Salvataggio-back up Firewall Monitoraggio accessi Sicurezza fisica Disaster recovery 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% Mail scanning Crittografia e certificazione Firma digitale Sistema sicurezza pagamenti Accesso biometrico 0% 10% 20% 30% 40% 50% 60% 70% Fonte MATE Per quanto concerne i sistemi di sicurezza adottati dalle aziende del campione si hanno i seguenti risultati: Pagina 19 di 27 • Il software antivirus è presente nel 97% del campione; • Una procedura di backup o di salvataggio dei dati nel 95%; • Un firewall nel 71%; • Un monitoraggio accurato degli accessi ai dati aziendali nel 66%; • Mail scanning nel 66%; • Procedure di sicurezza fisica nel 62%; • Politiche e applicazioni di disaster recovery nel 43%; • Crittografia e certificazione nel 25%; • Firma digitale nel 17%; • Sistemi di sicurezza pagamenti (SET, SSL) nel 11%; • Accesso biometrico nei locali adibiti a zona server nel 6%. Di seguito sono esposte in dettaglio tre risposte del campione in merito all’adozione di soluzioni tecnologiche ritenute necessarie per una efficace piattaforma di sicurezza informatica: • L’antivirus; • Il firewall; • I sistemi di monitoraggio degli accessi. Pagina 20 di 27 Figura 15 – Presenza di antivirus in azienda A breve NO 1% 2% SI 97% Fonte: MATE Come già detto in precedenza, l’antivirus è l’elemento fondamentale per la sicurezza informatica (ma troppe volte è anche l’unico). Quasi la totalità del campione (il 97%) è dotata di antivirus. Solo il 2% ancora non lo utilizza mentre l’1% lo farà a breve. Ma la gestione dell’antivirus deve essere fatta con cura. Non basta che il software sia installato in modo corretto, deve essere aggiornato continuamente, ed in più non si deve lasciare la sua gestione operativa al singolo utente del PC sul quale è installato. A livello enterprise, il software antivirus deve essere un’applicazione client/server, in grado di aggiornarsi da sola e di essere assolutamente invisibile per l’utente. Tutta la gestione ed il controllo dell’antivirus deve essere in mano al responsabile IT - o al responsabile della sicurezza. Un altro elemento imprescindibile per impedire un accesso non autorizzato alla rete aziendale, quando connessa ad Internet, è il firewall. Esistono due tipologie principali di firewall: hardware e software. La prima è la più utilizzata dalle medio/grandi aziende dato l’elevato costo di implementazione, la seconda è maggiormente utilizzata dalle piccole imprese, in quanto il basso costo compensa una minor efficacia/efficienza del prodotto in questione. Pagina 21 di 27 Figura 16 – Presenza di firewall in azienda NO 25% A breve 4% SI 71% Fonte: MATE Il 71% del campione afferma di avere un firewall in azienda, mentre il 4% lo adotterà a breve. Ancora molto alta la quota di aziende (25%) che ne sono sprovviste. Come già esposto in precedenza, il firewall è l’elemento chiave per la messa in sicurezza di un sistema informativo che si affaccia su Internet. Anche il monitoraggio dei tentativi di accesso ai dati sia dall’interno dell’azienda sia dall’esterno è un elemento molto importante per la sicurezza di un sistema informativo aziendale. Molte volte sarebbe sufficiente monitorare chi ha avuto e quando un accesso ad un determinato file per effettuare un controllo di buon livello. Inoltre controllare periodicamente i log dei server aziendali può servire a trovare eventuali falle al sistema ancora sconosciute. Pagina 22 di 27 Figura 17 – Presenza di sistemi di monitoraggio degli accessi NO 30% A breve 4% SI 66% Fonte: MATE Tra le aziende del campione il 66% afferma di utilizzare sistemi di monitoraggio degli accessi, mentre il 4% lo farà a breve, e circa un terzo degli intervistati non ha e non prevede un sistema di monitoraggio degli accessi. Figura 18 – Iniziative per la tutela contro le intrusioni Definizione del budget per la sicurezza Stabilire procedure più rigide Maggiore sicurezza logica e fisica dei sistemi Implementare strategia per la sicurezza Maggior controllo sull'utilizzo dei dati Sensibilizzare il personale 0% 10% 20% 30% 40% 50% 60% 70% 80% Fonte MATE Per impedire l’accesso ai dati aziendali sono possibili molte iniziative all’interno dell’azienda. Quella maggiormente usata dalle imprese del campione è la sensibilizzazione del personale, politica attuata nel 74% dei casi. Segue un maggior Pagina 23 di 27 controllo sull’utilizzo dei dati (45%), l’implementazione di una strategia complessiva per la sicurezza (44%), un aumento dei livelli di sicurezza logica e fisica dei sistemi (43%), l’introduzione di procedure più rigide (38%) e la definizione del budget per la sicurezza (33%). Un aspetto importante che emerge dalla ricerca è la centralità dell’uomo nelle politiche di sicurezza aziendali. Infatti, ogni soluzione concernente la sicurezza aziendale dovrebbe essere affiancata da una sensibilizzazione del personale alle problematiche della sicurezza. Molte volte questo aspetto è sottovalutato da parte del management aziendale. Una semplice politica, volta a sensibilizzare gli utenti su quello che si può fare tranquillamente con il computer e su quello che invece è potenzialmente pericoloso, renderebbe molto più semplice il lavoro dello staff IT, in quanto si ridurrebbero notevolmente i problemi legati a virus o al download di codice malevolo provenienti da Internet. Figura 19 – Aumentare la sensibilità del personale sulla sicurezza A breve 9% NO 17% SI 74% Fonte: MATE La percentuale di aziende che investono nel migliorare la sensibilità del personale sulle problematiche di sicurezza è risultata molto elevata (74%, superiore sia al 71% di presenza di firewall, sia al 66% di presenza di politiche di monitoraggio degli accessi). Alle suddette imprese bisogna aggiungerne un ulteriore 9% che prevede di operare in tal senso nel breve periodo. Questo risultato è molto incoraggiante in quanto sottolinea l’importanza che l’utente ha nella sicurezza informatica aziendale. Pagina 24 di 27 3. Consigli pratici Una serie di step è necessaria per far funzionare nei migliori dei modi una politica di sicurezza IT. A livello generale si tratta dei seguenti punti 1. Definizione della politica di sicurezza nella sua globalità; 2. Definizione degli ambiti nei quali la tematica della sicurezza andrà a interagire. Gli ambiti devono essere definiti in termini di caratteristiche dell’azienda, delle tipologie di risorse interne, di tecnologia e di localizzazione; 3. Valutazione del rischio che identifichi i pericoli per le risorse, le vulnerabilità e l’impatto sulla continuità dell’operatività; 4. Individuazione delle aree maggiormente a rischio in base alla politica di sicurezza che si vuole adottare e al grado di investimento che si vuole effettuare; 5. Controllo puntiglioso dell’applicazione delle regole di sicurezza adottate; 6. Deve essere documentato il motivo delle scelte effettuate, con riferimento alle motivazioni che hanno portato alla non applicabilità della politica di sicurezza per certi settori aziendali. Per quanto concerne la parte delle risorse umane, gli sforzi devono concentrarsi su due fronti distinti:: • Costituzione di un team legato esclusivamente all’ambito sicurezza, con definizione dei ruoli molto precisi e con responsabilità ben definite. Il team della sicurezza sarà guidato da un Security Manager che risponderà direttamente al Responsabile IT; • Definizione di politiche di formazione del personale non tecnico sui temi della sicurezza, sia a livello tecnologico sia metodologico. Infine, per la parte tecnologica, le aree di attenzione riguardano le seguenti attività: • Definizione e applicazione di politiche di sicurezza fisica sia software che hardware; • Gestione accurata degli aggiornamenti dei server soprattutto a livello di sistema operativo mediante politiche di applicazione di patch ben strutturate; Pagina 25 di 27 • Utilizzo a livello aziendale di software antivirus di tipologia client/server con aggiornamenti automatici delle definizioni dei virus e assolutamente trasparenti dal lato utente; • Utilizzo di software di provate caratteristiche di sicurezza, soprattutto per quanto riguarda la posta elettronica e la navigazione su Internet; • Utilizzo di firewall hardware o software; • Definizione di politiche volte a individuare tentativi di accesso non autorizzato al sistema informativo aziendale e successiva applicazione di correttivi; Pagina 26 di 27 4. Glossario Biometria Metodo di riconoscimento delle persone attraverso alcuni parametri fisici o biologici (per esempio le impronte digitali o la scansione dell’iride dell’occhio). Cracker Persona esperta di informatica e di reti che sfrutta le proprie abilità per cercare di violare i sistemi di sicurezza di una rete con l'obiettivo di sottrarre dati o danneggiarli. Si differenziano dagli hacker proprio per le loro intenzioni illecite. Crittografia Mezzi utilizzati in rete per garantire segretezza, integrità ed autenticità tanto ai messaggi e alle transazioni quanto alle persone che li effettuano. Exploit Indica un bug scoperto all'interno di un software o un sistema operativo tramite il quale sia possibile effettuare un attacco al sistema informatico che lo contiene. Patch Aggiornamento di un software realizzato allo scopo di eliminare uno o più difetti presenti nella versione precedentemente rilasciata. Server All'interno di una rete di telecomunicazione, è il calcolatore o il programma che risponde ai comandi lanciati da una macchina client. Può contenere e trasmettere informazioni, file, pagine Web e svolgere diversi tipi di servizio. Documento reperibile, assieme ad altre monografie, nella sezione Dossier del sito www.sanpaoloimprese.com Documento pubblicato su licenza di MATE - IT RESEARCH AND CONSULTING Copyright MATE - IT RESEARCH AND CONSULTING Fonte: Osservatorio Net Economy - Commercio Elettronico Italia - MATE