Information Security mar/apr 2014

Page 1



INDICE My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.

PRIMO PIANO

6

4

ATTUALITÀ

6 Digitalizzazione del Paese, si può (e si deve) fare di più Maria Giulia Mazzoni intervista Stefano Parisi

10

Jobs In Progress (IT) rapporto bimestrale sul mercato del lavoro in Italia A cura della Redazione

13

Salite tutti a bordo, si fa rotta verso il pianeta cloud Maria Giulia Mazzoni intervista Enrico Proserpio

17 La grande sfida: Mobility e Sicurezza. Un connubio possibile

SICUREZZA DEI DISPOSITIVI MOBILI

18

Stefano Paganelli

Liberare il potenziale della mobilità aziendale senza compromettere la sicurezza dell’impresa

22

Sabrina Baggioni

Una strategia in tre mosse per proteggere i dispositivi mobili

26

Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).

Information Security n° 24 mar/apr 2014

QR

Emiliano Massa

1


INDICE

CYBERCRIME

30 Per proteggere (davvero) la rete occorrono difese multistrato A cura della Redazione

33

WEB SECURITY

Frodi creditizie: oltre 10.000 casi nel primo semestre 2013, sempre più colpiti gli under 30 Beatrice Rubini

PRIVACY

36 Audit, attività del privacy officer a vantaggio della sicurezza dei dati

Information Security n° 24 mar/apr 2014

Nicola Bernardi

2

25 Trend Micro e l’FBI fermano la corsa di Mr. Spyeye, VETRINA il creatore e42 distributore di uno dei malware kit più redditizi degli ultimi anni

BUSINESS SOLUTION


EDITORIALE

di Maria Giulia Mazzoni Direttore Responsabile

COSA SIGNIFICA, OGGI, GARANTIRE LA SICUREZZA DEI DISPOSITIVI MOBILI? vulnerabilità dell’infrastruttura DNS. Faremo poi quattro chiacchiere con Stefano Parisi, presidente di Confindustria digitale, con il quale discuteremo del futuro dell’Italia e di come si possa, e si debba, investire nella digitalizzazione del Paese. E ancora. Analizzeremo, assieme alla dott.ssa Rubini i dati emersi nell’ultima edizione dell’Osservatorio CRIF sui furti d’identità e sulle frodi creditizie. Questo fenomeno, colpevolmente sottovalutato dai media, sta invece sempre più prendendo piede. La truffa, perché di questo si tratta, consiste nel rubare l’identità di qualcuno e poi utilizzare i suoi dati personali per ottenere credito o acquistare beni senza mai saldare il dovuto. I dati raccolti dal CRIF parlano di un fenomeno in netta espansione e riferiscono di oltre 10.000 casi scoperti nel corso del primo semestre del 2013. Infine, per concludere in bellezza questa tappa del nostro viaggio nel mondo della sicurezza informatica, ci imbarcheremo assieme ad Enrico Proserpio, Senior Director Technology Presales di Oracle Italia, ed ai suoi cosmonauti-esperti di IT, su un’astronave diretta verso il pianeta Terranuvem. Nello sci-fi movie presentato alla stampa il mese scorso, ‘Cloud Odyssey: a Hero’s Quest’, viene proposta una efficace metafora della trasformazione (necessaria) dei nostri sistemi informatici, un’avventura, in cui i nostri eroi, (gli esperti di IT), lasciano un mondo (quello in cui abbiamo lavorato fino ad oggi) che non è più in grado di rispondere agli standard di efficienza e di sicurezza. Nel film, la Terra è infatti divenuta un posto talmente inospitale da costringere gli ingegneri informatici a progettare un viaggio interstellare e lanciarsi alla ricerca del Pianeta Cloud, che invece si presenta come una novella ‘terra promessa’ capace di ripristinare livelli di funzionalità eccellenti. Riusciranno i nostri eroi a completare il viaggio approdando, sani e salvi, su Terranuvem? Per scoprirlo basterà…voltare la pagina. Buon viaggio. 

Information Security n° 24 mar/apr 2014

a possibilità di rimanere connessi sempre e ovunque è un’evoluzione, o forse sarebbe meglio dire una rivoluzione, che ha aperto nuove strade e nuove sfide, soprattutto per la sicurezza. Ma cosa significa, oggi garantire la sicurezza dei sistemi mobili? Information security ha rivolto questa domanda ad alcuni tra i principali esperti del settore, chiedendo loro di farci da guida nell’affascinante, e complesso, mondo dei dispositivi mobili. Attraverso una serie di interviste e di approfondimenti, questo mese abbiamo quindi cercato di offrire ai nostri lettori una panoramica completa del problema: come garantire l’accessibilità ai dati, difendersi dagli attacchi dei cyber criminali e sfruttare a pieno l’agilità delle connessioni mobili? La parola ai nostri esperti, Stefano Paganelli, Line of Business Network Integration & Security Manager di Dimension Data Italia, Sabrina Baggioni, Corporate Marketing Director Vodafone Italia ed Emiliano Massa Director of Regional Sales Websense Italy & Iberia. Ma in questo numero non ci occuperemo solo di sicurezza mobile. Sotto la guida esperta di Nicola Bernardi, presidente di Federprivacy, ci occuperemo di privacy e impareremo a conoscere la figura del ‘privacy officer’, una realtà sempre più presente nelle aziende italiane. Ascolteremo il dott. Gioanola, consulting Engineer di Arbor Networks, che ci presenterà i dati contenuti nella nona edizione del Worldwide Infrastructure Security Report (WISR). Con lui ci interrogheremo sull’esponenziale crescita degli attacchi DDoS ad alto volume di traffico e sulla evidente

3


ATTUALITÀ

Telegram sfida WhatsApp, e punta tutto sulla privacy assoluta Ha guadagnato circa 4 milioni di utenti in appena 18 ore sbaragliando tutti i record fino ad ora esistenti. Questi sono i numeri da capogiro che hanno catapultato Telegram Messenger al centro dei riflettori. Trattasi, per chi ancora non la conoscesse, di una validissima alternativa al celebre WhatsApp (da poco acquistato dal colosso Facebook) e soprattutto di un (nuovo) punto di riferimento per i patiti di riservatezza e privacy: il servizio di messaggistica consente infatti di scambiarsi messaggi criptati e dunque assolutamente inaccessibili a terzi. Il funzionamento è molto semplice: attraverso una particolare opzione i messaggi comunicati via chat si diffondono tramite i server sparsi nel mondo per poi autodistruggersi dopo qualche minuto, senza lasciare alcuna traccia.

Disconnect Search: proteggere le proprie ricerche su Google, Yahoo e Bing È possibile effettuare ricerche su internet in totale anonimato, senza che resti alcuna traccia del nostro passaggio? Sembrerebbe proprio di si. Disconnect Search è un’applicazione che anonimizza le ricerche impedendo ai motori di ricerca di ricostruirne i passaggi. Disconnect Search è un VPN specializzato che permette di cercare privatamente qualsiasi termine sul Web, utilizzando qualsiasi motore di ricerca. L'app assicura che la ricerca non sarà in alcun modo tracciata, registrata o altro, gli indirizzi IP, o qualsiasi altra informazione personale resteranno quindi preclusi a terzi.

Information Security n° 24 mar/apr 2014

Furto di identità, l'allarme degli esperti: sono otto milioni gli italiani a rischio

4

Quasi otto milioni di italiani sono esposti a furto d'identità. Il 60% degli europei che frequenta le reti sociali e utilizza Internet, per comprare e vendere online, rivela i propri dati personali sui siti cui accede. Di questi quasi il 90% rilascia informazioni biografiche, il 50% informazioni sociali e il 10% informazioni sensibili. Ma il 70% di questi dichiara di essere preoccupato di come le imprese usano questi dati e ritiene di avere solo un controllo parziale, se non nullo, su queste informazioni. Sono alcuni dati dell'Osservatorio TuttiMedia - Media Duemila, presentati nel corso della tavola rotonda 'Ombre e nebbie nell'era dei social media e della trasparenza', nell'ambito del premio 'Nostalgia di futuro', celebrato in ricordo di Giovanni Giovannini, presso la Fieg, a Roma.


ATTUALITÀ

Sondaggio UE, quanto ci spaventa navigare su internet Gli internauti dell’UE sono molto sensibili al problema della sicurezza informatica: secondo un sondaggio Eurobarometro, il 76% degli intervistati ritiene che il rischio di cadere vittima della cibercriminalità sia aumentato nell’ultimo anno. Entriamo nel dettaglio. Il 12% degli internauti ha già subito la violazione del proprio profilo su un social network o della propria casella di posta elettronica da parte di hackers, il 7% è stato vittima di frodi bancarie o con carta di credito online. Anche se il 70% degli internauti dell’UE si reputa in grado di usare internet per effettuare operazioni bancarie o acquisti online, solo il 50% circa sceglie effettivamente di farlo. L’87% degli intervistati evita infine di fornire informazioni personali online.

Cybercrime, le sfide del 2014. La sicurezza che vorrei Il Security Threat Report, presentato recentemente da Sophos, illustra i cambiamenti più significativi avvenuti nel 2013 e si proietta nel 2014: dagli attacchi a dati aziendali e personali archiviati in-the-cloud agli attacchi malware che sfruttano il camuffamento dinamico fornendo agli hacker accesso a lungo termine ai dati degli utenti, fino alla crescente diffusione di dispositivi IoT (“Internet of things”) nelle case e nella vita di ogni giorno. In particolare gli attacchi ai dati personali e aziendali in ambito cloud continueranno a crescere nel 2014 se gli operatori del settore non implementeranno tempestivamente nuove strategie di sicurezza, mentre i malware che colpiranno i device mobili diventeranno sofisticati come quelli in ambito PC.

Attento a quel che digiti, Win32/Corkow ti sta ascoltando

Information Security n° 24 mar/apr 2014

Si tratta di un cavallo di Troia sviluppato in Russia e studiato dai ricercatori ESET NOD32 attraverso ESET Live Grid, il sistema di raccolta informazioni sui malware basato sulla tecnologia Cloud di ESET. Questo malware ha registrato una crescente attività anche in Italia, dove per ora si attesta al 5% delle infezioni e ha la capacità di sviluppare continuamente nuovi moduli. In particolare Win32/Corkow è in grado di intercettare le battiture della tastiera e rubare la password, catturare gli screenshot con le credenziali di accesso per l’online banking, nonché visualizzare il saldo del conto corrente. Allo stesso tempo Win32/Corkow, attraverso il modulo DC, scansiona l’attività degli utenti e individua i processi di esecuzione delle applicazioni, la cronologia dei principali browser e le applicazioni installate.

5


PRIMO PIANO

pp

DIGITALIZZAZIONE DEL PAESE, SI PUÒ (E SI DEVE) FARE DI PIÙ

Maria Giulia Mazzoni

Information Security n° 24 mar/apr 2014

Direttore Responsabile

6

Presidente Parisi, lei qualche anno fa ha definito il decreto Crescita 2.0 un punto si svolta per lo sviluppo economico del nostro Paese. Ad oggi possiamo parlare di promessa mantenuta o di appuntamento mancato? Confermo il giudizio dato perché quel decreto ha consentito di effettuare importanti passi in avanti fatti nella costruzione di un ecosistema dell’innovazione digitale, definendo la dimensione normativa e la governance dell’Agenda Digitale. Oggi, tuttavia possiamo dire che siamo a metà del guado, perché se da una parte siamo ancora in attesa della gran parte dei decreti attuativi del Crescita 2.0, dall’altra mancano progressi significativi sul piano operativo, in particolare per quanto riguarda la digitalizzazione della Pa, che, nei fatti, stenta molto a decollare. Secondo il Global Information Technology Report del 2013, l’Italia resta molto indietro nel processo di digita-

lizzazione. Un 50° posto, due posizioni in meno rispetto al 2012, che suona come una tirata d’orecchie. Cosa manca all’Italia per mettersi al passo con l’Europa e con gli altri Paesi considerati ‘all’avanguardia’? Per accelerare sulla digitalizzazione del Paese è indispensabile, innanzitutto, cambiare radicalmente le modalità di governo dell’ICT pubblica. L’esperienza all’estero indica che lo sviluppo di servizi di e-government costituisce un vero e proprio volano per accelerare sui processi d’innovazione. Ma per avanzare in questa direzione occorre superare la logica miope della spesa corrente per passare agli investimenti in conto capitale, strutturando nuove modalità di collaborazione tra il settore pubblico e l’industria privata dell’ICT. In questo modo gli investimenti per i grandi progetti possono essere finanziati e poi recuperati sulla base dei risparmi pianificati e ottenuti dalla Pubblica Amministrazione. Le soluzioni concrete ai gravi problemi di arre-

tratezza vanno trovate dando vita a grandi progetti di cambiamento in ottica end to end, basati sulla piena interoperabilità dei dati tra le diverse pubbliche amministrazioni, su processi e soluzioni standard che evitino duplicazioni e sprechi, sull’aggiornamento delle infrastrutture di datacenter e dei sistemi di sicurezza, su un sistema di identificazione digitale dell’utente unico per tutti i servizi delle Pa. A proposito di Europa, mi permetta di aprire una piccola parentesi. Lei ha più volte auspicato che l’Agenda digitale fosse tradotta in un ‘digital compact’ (un impegno vincolante per tutti i Paesi Ue). Una strada ancora percorribile dopo il ‘passo falso’ dello scorso ottobre? In effetti, dal Consiglio Europeo del 24 ottobre scorso era legittimo aspettarsi molto di più di quanto è emerso. Convocati sulla base di un’agenda che per la prima volta poneva lo sviluppo dell’eco-


PRIMO PIANO

A tu per tu con Stefano Parisi, presidente di Confindustria digitale. “Per accelerare sulla digitalizzazione del Paese è indispensabile, innanzitutto, cambiare radicalmente le modalità di governo dell’ICT pubblica”. L’Agenda digitale? “Siamo a metà del guado”.

Stefano Parisi, presidente di Confindustria digitale

Information Security n° 24 mar/apr 2014

nomia digitale come tema prioritario, i 28 capi di governo dell’Ue avevano una grande occasione per prendere decisioni concrete e avviare una politica di sviluppo per l’Europa. Purtroppo questo non è avvenuto e il documento finale ha brillato per la genericità degli impegni, per l’abbondanza dei condizionali, per l’assenza di scadenze temporali. Il Consiglio Europeo ha affrontato l’arretratezza digitale europea con un approccio soprattutto normativo, puntando a provvedimenti legislativi per la realizzazione di un mercato unico digitale, con cui definire standard, regolamenti, su cloud computing, big data, identificazione e fatturazione elettronica, cyber security, ecc. Obiettivi sicuramente importanti, ma che nell’Ue sono destinati a scontrarsi con tempi decisionali e attuativi troppo lunghi rispetto alla velocità dell’innovazione tecnologica e alla penetrazione dell’economia digitale nel resto del mondo. In realtà manca ancora la consapevolezza di quanto l’Europa, nella sua

7


PRIMO PIANO

Information Security n° 24 mar/apr 2014

interezza, sia indietro non solo rispetto ai target che si è data, ma anche nei confronti di altre zone del mondo. Di quanto sia necessario far crescere il mercato europeo dell’Ict per aumentare la produttività e competitività dell’area euro, ampliare la gamma delle opportunità di lavoro e di business, far si che l’Europa torni a essere uno dei centri dell’innovazione. Dal 2010, anno in cui l’Ue ha lanciato Agenda Digitale, il mercato europeo dell’Ict è calato del 2% a fronte del 6% di crescita di quello nordamericano, del 18% dell’area latinoamericana e del 14% dell’area asiatica. Non solo, nel resto del mondo si fa più ricerca e sviluppo in Ict e si investe molto di più nella nascita di imprese innovative. Negli Stati Uniti il 36% dei brevetti registrati è nel settore dell’Ict, il 46% in Cina e solo il 27% in Europa. Gli investimenti in venture capital negli Stati Uniti sono 7 volte e mezzo superiori a quelli europei e l’Ict rappre-

8

senta il 43% del totale contro il 37% europeo. Per questo abbiamo bisogno di un digital compact, necessario per superare le resistenze ed accelerare sullo sviluppo dell’economia digitale. Nella seconda metà dell’anno, la presidenza dell’Ue da parte dell’Italia potrebbe essere un’occasione importante per il nostro Paese per farsi protagonista dell’apertura di un scenario economico per l’Europa basato su un impegno vincolante per il raggiungimento degli obiettivi dell’Agenda Digitale. Lei ha più volte sottolineato come la completa applicazione dell’Agenda digitale potrebbe tradursi in un concreto supporto allo start up delle imprese. In che modo? Il tema delle start up innovative è fondamentale. In economie avanzate, come negli Stati Uniti e nei paesi del nord Europa, la crescita economica è dovuta in

buona parte alle nuove imprese innovative. Su questo l’Italia è invece molto indietro: sia per numero di startup che nascono ogni anno, sia per l’ammontare degli investimenti. Secondo una stima basata sul rapporto investimenti/PIL, in Italia mancano capitali di Venture Capital per quasi 1,3 miliardi di euro rispetto alla media dei principali Paesi europei: si va dai 500 milioni necessari ad allinearsi alla Spagna fino ai 2,3 miliardi che servirebbero per eguagliare la Francia, dove il rapporto investimenti/PIL è 5 volte quello italiano. Per colmare questo ritardo, a partire dal Decreto Sviluppo-bis del 2012, sono state approvate diverse misure che rappresentano un importante passo avanti, ma per raggiungere i livelli dei Paesi più avanzati c’è un ulteriore sforzo da fare. In questo senso la Federazione propone la creazione di un Fondo per le start up finanziato da una partnership pubblico-privata attraverso il coinvolgimento della Cassa Depositi e Prestiti, il Fondo Europeo per gli Investimenti e le aziende. Le best practices internazionali più importanti in questo settore, come la Germania e Israele (che investe oltre l’1% del Pil in venture capital) ci mostrano che per raggiungere una massa critica di nuove aziende innovative è necessario supportare gli investimenti dei privati nelle fasi iniziali con un fondo alimentato da risorse pubbliche. Si stima che se venissero investiti 300 milioni di euro sulla nascita di nuove start up potremmo avere un impatto sul PIL di circa 3 miliardi di euro, pari allo 0,2% circa del PIL. Si parla molto di creare lavoro con l’Ict. Stando ad alcune stime moto recenti, a fronte di 26,5 milioni di disoccupati in Europa, ci sarebbero circa 2 milioni di offerte di lavoro aperte, perché mancano le professionalità digitali. Lei cosa ne pensa? E come potremmo mettere a frutto questo potenziale? E’ ormai evidente che la crisi stia cambiando strutturalmente il nostro sistema produttivo e che non ci sarà alcuna crescita futura senza innovazione e nuove competenze. Per questo occorre da un lato stimolare le PMI e soprattutto le microimprese (quelle sotto i 10 addetti che rappresentano il 95% del tessuto produttivo) a digitalizzare i processi e i prodotti promuovendo contemporanea-


PRIMO PIANO

Digitalizzare la pubblica amministrazione per renderla più efficiente. Se ne parla molto e da molto tempo. Presidente, a che punto siamo con questo progetto e quali sono gli ostacoli che dobbiamo ancora superare? Il processo di digitalizzazione, per le caratteristiche di trasversalità e capacità di interconnessione, richiede politiche coerenti in tutti i settori, specie nella Pa che deve riuscire a marciare tutta nella stessa

direzione. Il rischio, altrimenti, è che prevalgano le molte resistenze che si frappongono al cambiamento digitale imponendo una visione che si consuma nel day by day, invece che ispirarsi a una strategia di ampio respiro necessaria per modernizzare il Paese. La coerenza delle scelte e il rispetto di una tabella di marcia valida per tutti si ottengono solo grazie a una governance che abbia piena autorità politica, tanto più in un contesto difficile come quello italiano, dettato dal moltiplicarsi delle competenze e dei centri decisionali. Autorità che, evidentemente, in materia di Agenda digitale, non è riuscita ancora a consolidarsi nonostante gli sforzi dei singoli protagonisti. Va sottolineato che questo clima condiziona fortemente anche il comportamento dell’industria dell’Ict: per le imprese, infatti, è estremamente rischioso allocare risorse verso progetti che hanno ancora un tale grado di incertezza. Eppure tutti noi siamo consapevoli che l’istaurarsi di partnership importanti tra il settore pubblico e l’industria dell’Ict, dalle fasi precompetitive alle forme attuative del project financing , costituisce un tassello essenziale a sostegno della crescita dell’economia digitale. Per uscire dall’empasse il Governo non può più prescindere dall’acquisire una visione d’insieme e unitaria del processo di digitalizzazione della Pa. E’ indispensabile, per questo, definire un quadro di riferimento dell’ informatica pubblica di medio-lungo periodo, in cui siano chiariti i criteri di scelta delle tecnologie, gli standard, i tempi, le modalità di acquisto e di partnership con il mondo privato. Bisogna assicurare l’armonizzazione dei progetti di aggiornamento ed evoluzione delle infrastrutture IT delle diverse amministrazioni centrali e locali, avendo come focus il raggiungimento della piena interoperabilità delle architetture che gestiscono dati e informazioni. La definizione di questo quadro di riferimento è assolutamente prioritaria sia nell’ottica della Pa, che altrimenti non

potrebbe avviare alcun efficace ed efficiente progetto di digitalizzazione dei propri processi in una logica end-to-end, sia nell’ottica del mercato. Una domanda pubblica d’innovazione digitale che si presentasse, infatti, come un sistema trasparente e unitario, capace di comunicare con chiarezza logiche e obiettivi verso cui si muoverà nel medio lungo periodo, consentirebbe alle imprese dell’Ict di disporre di un importante strumento per pianificare i propri investimenti e qualificare la propria offerta in virtù delle nuove esigenze. Ai grandi gruppi nazionali e multinazionali si aprirebbe una finestra per valutare se aprire o riportare in Italia centri e attività di ricerca e sviluppo e per proporre le best practices già attuate all’estero. Per le piccole imprese, che costituiscono la stragrande maggioranza del settore It italiano, potrebbe rappresentare un’importante occasione di crescita competitiva e dimensionale, spingendole a cercare nuove sinergie e nuove alleanze che gli consentano salti di qualità nell’offerta di servizi It, all’altezza delle trasformazioni verso cui si indirizza la Pa. Il passaggio dall’attuale assetto dispersivo e frammentario, a quello di sistema strutturale strategico per la modernizzazione e messa in efficienza della Pa, è cruciale per trasformare la domanda pubblica di tecnologie digitali in un formidabile driver di innovazione e crescita in Italia. E il 2014 potrebbe essere l’anno giusto per spingere in questa direzione e recuperare i ritardi accumulati rispetto ai target europei. Presidente, mi permetta una domanda finale sulla Web-Tax. Un ‘pasticcio’, come lei l’ha definita, che rischia di nuocerci troppo? No, direi che alla fine ha prevalso il buon senso con la decisione presa da Renzi di affrontare la materia in chiave comunitaria, ponendola all’attenzione dei partner europei in occasione della prossima presidenza italiana dell’Ue. 

Information Security n° 24 mar/apr 2014

mente l’occupazione giovanile. In questo senso Confindustria Digitale sta proponendo l’istituzione di un apposito fondo temporaneo, tra i 200 e i 300 milioni di euro di fondi infrastrutturali per finanziare (ad esempio tramite voucher) borse di studio per laureandi e giovani laureati della durata massima di 12 mesi. Una sorta di “evangelizzatori” che lavorerebbero in azienda con il compito di mettere a punto progetti di digitalizzazione delle PMI con l’obiettivo di aumentarne la competitività internazionale. Il fondo avrebbe una durata triennale e l’obiettivo di digitalizzare tra le 20 e le 40mila PMI manifatturiere. Una seconda proposta è quella di promuovere insieme ai Fondi interprofessionali per la formazione continua (come Fondimpresa e Fondirigenti) un grande piano di rioccupabilità legato alle competenze digitali basato su linee di aggiornamento per i dipendenti e i dirigenti delle imprese (e delle Pubbliche Amministrazioni) che vogliano investire nella digitalizzazione delle proprie risorse umane. Dall’altro lato occorre promuovere la nascita di imprese digitali intorno ad aree “brain hub”, sia con la realizzazione di zone a tassazione temporanea zero, sia con la creazione di un fondo Seed pubblico-privato per alimentare il mercato delle start-up high tech, come accade in Germania. Alla base deve esserci comunque l’obbligatorietà della formazione sulle competenze digitali a partire dalle scuole superiori per finire alla formazione continua, passando per le università che devono essere incentivate a promuovere nuovi corsi sugli skill digitali. Il Paese deve essere attraversato da uno shock, da una forte iniezione di competenze digitali a tutti i livelli.

Il tema delle start up innovative è fondamentale. In economie avanzate, come negli Stati Uniti nei paesi del nord Europa, la crescita economica è dovuta in buona parte alle nuove imprese innovative. Su questo l’Italia è invece molto indietro: sia per numero di startup che nascono ogni anno, sia per l’ammontare degli investimenti

9


PRIMO PIANO

pp

JOBS IN PROGRESS (IT) RAPPORTO BIMESTRALE SUL MERCATO DEL LAVORO IN ITALIA

Information Security n° 24 mar/apr 2014

A cura della Redazione

10

InfoJobs.it rende noti i dati relativi all’andamento del mercato del lavoro per la categoria Information Technology, una realtà che – nonostante le difficoltà economiche del momento che stiamo attraversando – ha assunto un’importanza sempre maggiore all’interno dello scenario professionale nazionale. Le aziende del settore infatti (sia che si occupino di produzione di software, consulenza informatica, installazione e manutenzione di apparecchiature informatiche) hanno fatto registrare un trend di crescita positivo in termini produttivi e occupazionali. Inoltre, per le aziende italiane e multinazionali, è ormai una prassi sempre più consolidata creare e sviluppare veri e propri dipartimenti tecnici interni. Questo attesta che nessuna azienda può più prescindere da una solida infrastruttura tecnologica. Al primo posto delle sottocategorie più attive nel campo dell’Information Technology troviamo Sviluppo software, con il 45% delle offerte pubblicate su InfoJobs.it; seguono sul podio, con un considerevole di-

stacco, Gestione e progettazione database, che registra il 10%, e Telecomunicazioni (con il 9% di opportunità di lavoro attive). In quarta posizione si trova Hardware, reti e sicurezza informatica (8%), tallonata da Gestione Progetti, che si attesta al quinto posto della classifica con il 6,4% (Tabella 1). LE FIGURE PIÙ RICHIESTE Sempre più specializzate e settoriali, sono queste le caratteristiche delle figure IT più ricercate dalle aziende. Secondo il rapporto fornito da InfoJobs.it le richieste si concentrano su programmatori Java o sviluppatore J2EE, analisti funzionali SAP, analisti pro-

grammatori (.net o Cobol) e ancora, esperti Oracle e sistemisti Linux. Particolarmente gettonati anche gli addetti help desk di primo livello e telecomunicazioni. In merito ai requisiti invece, è interessante notare come per ben l’81,5% delle offerte sia sufficiente un’esperienza lavorativa pregressa inferiore ai cinque

Tabella 1 - (Fonte Infojobs.it)


PRIMO PIANO

La società di recruitment online InfoJobs.it pubblica i dati relativi all’andamento del mercato del lavoro per la categoria Information Technology, una realtà che – nonostante le attuali difficoltà economiche – sta assumendo una rilevanza decisiva all’interno dello scenario professionale nazionale. Programmatori e analisti le figure più richieste; Milano la provincia con più possibilità nel settore

anni, mentre il 13,8% degli annunci non ne richiede affatto. Decisamente inferiori le percentuali delle posizioni che presuppongono più di cinque o dieci anni di lavoro precedente (rispettivamente 4,2% e 0,4%). Dal punto di vista della formazione, per la maggior parte delle opportunità di lavoro (67,8%) è necessario il diploma di maturità; la laurea triennale (23,1%) o magistrale (7,8%) rappresenta il presupposto per il 30,9% delle offerte.

Grafico 1 - (Fonte Infojobs.it)

Alla guida della top ten Milano, seguita da Roma, Torino, Bologna, Verona, Padova, Napoli, Firenze, Bergamo, Modena.

Information Security n° 24 mar/apr 2014

L’AREA GEOGRAFICA Nell’ambito dell’Information Technology, le possibilità di lavoro in Italia si concentrano principalmente al nord e al centro, soprattutto in Lombardia (37%), Lazio (22%) ed Emilia Romagna (9,8%). Per quanto riguarda il sud? È rappresentato dalla Campania e dalla Puglia che – rispettivamente con il 2,1% e l’1,4% – registrano le percentuali di offerte attive più alte dell’area meridionale (Grafico 1).

Analizzando i dati nel dettaglio, è possibile stilare la classifica delle province più attive dal punto di vista delle offerte.

11


PRIMO PIANO

Grafico 2 - (Fonte Infojobs.it)

Grafico 3 - (Fonte Infojobs.it)

Information Security n° 24 mar/apr 2014

L’IDENTIKIT DEL CANDIDATO Più del 49% di coloro che cercano attualmente lavoro nell’Information Te-

12

Grafico 4 - (Fonte Infojobs.it)

chnology tramite la piattaforma InfoJobs.it ha un’età compresa tra i 25 e 35 anni. Nello specifico, il 25,5% dei candi-

dati ha un’età tra i 25 e 29 anni e il 24,3% tra i 30 e 35 anni. A seguire ci sono le fasce di età compresa tra i 35 e i 40 anni (16,5%) e tra i 20 e 25 anni (15%). Chi cerca lavoro e ha tra i 40 e 50 anni si attesta al 13,1%; minori invece sono i candidati tra i 51 e i 60 anni (3%). Esigue, infine, le percentuali di chi cerca lavoro e ha meno di 20 anni oppure più di 60 (Grafico 2). Più del 21% di coloro che si rivolgono ad InfoJobs.it per trovare lavoro nel settore ha già maturato un’esperienza lavorativa tra i 3 e i 5 anni. Il 27,8% dei candidati ha già dai 6 ai 10 anni di lavoro alle spalle e il 14,9% più di 10 anni, mentre il 19,1% dei candidati ha uno (9,3%) o due (9,8%) anni di esperienza. Il restante 16,70% delle candidature online proviene da profili di persone che hanno effettuato uno stage o tirocinio o senza alcuna esperienza pregressa, rispettivamente 8,7% e 8% (Grafico 3). Nell’ambito del livello di istruzione, il 56,5% di questi candidati ha conseguito il diploma di maturità. Coloro che hanno conseguito una laurea si dividono tra un 12,3% che ha portato a termine un corso di Laurea triennale e un 21% che ha continuato con una Laurea specialistica. Il 3,8% dei candidati ha conseguito anche un master, mentre la percentuale dei candidati in possesso della sola licenza media si attesta a 5,4%. A chiudere la classifica pubblicata da InfoJobs.it ci sono lo 0,6% di candidati che hanno un dottorato di ricerca alle spalle e lo 0,4% che non ha titolo di studio. (Grafico 4). 


PRIMO PIANO

SALITE TUTTI A BORDO, SI FA ROTTA VERSO IL PIANETA CLOUD Enrico Proserpio, Senior Director Technology Presales di Oracle Italia ci spiega perché oggi siamo chiamati a individuare la rotta più sicura per giungere a un mondo che si preannuncia ricco di risorse, ma che è ancora in parte sconosciuto. Ecco perché nasce Cloud Odyssey: a Hero’s Quest, un film in cui una squadra di specialisti IT venuti dalla Terra vanno alla ricerca del misterioso pianeta cloud Terranuvem

Maria Giulia Mazzoni Direttore Responsabile

I protagonisti del film sono, quindi, gli addetti IT per i quali il passaggio al cloud rappresenta una sfida professionale. Una sfida che il ‘nostro eroe’ sullo schermo alla fine vince, ma non senza aver dovuto affrontare una serie di ostacoli. Quali sono invece i problemi che il nostro ‘eroe IT’ deve affrontare nella realtà? In breve, la sfida professionale per gli IT manager che vogliono evolvere verso infrastrutture di cloud privato è riuscire a pianificare in modo effi-

Enrico Proserpio, Senior Director Technology Presales di Oracle Italia

Information Security n° 24 mar/apr 2014

Il viaggio verso Terranuvem, alias il ‘pianeta Cloud’, fa tappa a Roma e ci trasporta al centro del problema: analizzare come il private cloud possa sostenere la trasformazione del business. Anzitutto come vi è venuta l’idea del film e qual è il messaggio che avete voluto trasmettere? Oggi c’è crescente consapevolezza in merito ai vantaggi che il cloud computing può portare alle aziende in termini di agilità e innovazione e per la promozione di rapidi percorsi di trasformazione delle modalità con cui l’azienda opera. In molte circostanze, però, il passaggio verso il cloud privato rappresenta per gli addetti IT delle organizzazioni una sfida professionale mai affrontata prima: ciò può portarli a sentirsi come dei veri e propri “esploratori”, chiamati a individuare la rotta più sicura per giungere a un mondo che si preannuncia ricco di risorse ma che è ancora in parte sconosciuto. È da queste considerazioni che nasce il film Cloud Odyssey: a Hero’s Quest, in cui una squadra di specialisti IT venuti dalla Terra vanno in esplorazione del misterioso pianeta cloud Terranuvem. Nello sci-fi movie i moderni eroi informatici mettono alla prova nel loro viaggio i limiti della tecnologia, ma anche la determinazione e la mente dell’uomo.

13


Information Security n° 24 mar/apr 2014

PRIMO PIANO

14

cace l’adozione di soluzioni agili, flessibili e sicure, scegliendo le migliori architetture DBaaS, MWaaS e IaaS per ridurre i costi e massimizzare l’efficienza dell’IT. Il percorso, o meglio il “viaggio” per restare nella nostra metafora, verso il cloud privato parte dal consolidamento e dalla standardizzazione per terminare con l’automazione. Se tipicamente il consolidamento ha finora interessato le risorse hardware ed è stato perseguito sostanzialmente attraverso la virtualizzazione, il passo successivo è relativo al consolidamento delle componenti database, middleware e applicative, per arrivare a disporre di un’unica piattaforma condivisa e standardizzata che supporti tutte (o quasi tutte) le applicazioni aziendali. Le soluzioni di DbaaS e MwaaS comportano una ulteriore standardizzazione rispetto alla pura virtualizzazione, in cui di fatto viene “inscatolata” all’interno di un unico server fisico tutta la complessità esistente in termini di molteplicità di versioni di sistema operativo, database e middleware. Questo permette di raggiungere una semplicità ed una efficenza di gestione molto maggiore rispetto al puro IAAS, abbattendo i costi di gestione. Per procedere agevolmente nel percorso verso il cloud privato, è importante ricorrere a tecnologie nativamente orientate al cloud. È questo il caso, ad esempio, di Oracle Database 12c, l’ultima generazione di Oracle Database. Essa introduce infatti una nuova architettura multitenant che semplifica il consolidamento dei database nel cloud, permettendo ai clienti di gestire centinaia di database come se fossero uno solo, senza dover apportare alcuna modifica alle proprie applicazioni. Passando all’area dei sistemi, i processi di consolidamento e standardizzazione propedeutici alla costruzione di un cloud privato sono favoriti dal ricorso agli Oracle Engineered Systems, che uniscono componenti hardware e software progettate per operare al meglio insieme e garantire così le migliori performance. Per gestire poi in modo efficiente e quanto più automatizzato possibile gli ambienti cloud nel loro complesso, Oracle propone Oracle Enterprise Manager 12c, che offre funzionalità uniche per l’implementazione e la gestione delle applicazioni di business all’interno di cloud privati aziendali, come la possibilità di effettuare facilmente il provisioning di nuove risorse in modalità gra-


PRIMO PIANO

fica, la disponibilità di un portale per la richiesta di risorse al cloud privato in modalità self-service e la possibilità di misurare l’effettivo consumo di risorse del pool condiviso da parte degli utenti di business.

per migliorare la ripartizione dei costi fra le diverse unità organizzative. Infine, l’abbattimento dei costi viene favorito da un maggiore ricorso all’automazione rispetto agli ambienti tradizionali: ciò accresce la produttività di chi fornisce il servizio e fa abbassare i costi operativi. Infine, se guardiamo al tema del rischio, il private cloud consente di migliorare i livelli e la qualità del servizio IT (fino a raggiungere un’aderenza agli SLA pari al 100%), di salvaguardare la sicurezza, la privacy, la compliance e il governo dei sistemi. Tali benefici nascono dalla maggiore disponibilità e ridondanza degli ambienti di cloud privato, che porta in un’ultima analisi a una loro maggiore affidabilità. Tali ambienti, inoltre, consentono al fornitore dei servizi di mantenere un’alta visibilità e totale controllo di quello che succede ai sistemi: da qui la maggiore sicurezza. Nel film i protagonisti si lanciano nell’avventura spaziale consapevoli che il proprio sole (quello dalla Terra madre) è sempre più instabile. Fuor di metafora, quali sono le criticità che ci impongono la ricerca di un ‘sole più sicuro’? L’inefficienza, l’elevata complessità e gli altri costi di gestione delle architetture basate su silos architetturali dedicati. Oggi ormai tutte le aziende si sono accorte che questi costi e questa complessità sono insostenibili e hanno iniziato il loro “viaggio”. Il problema che osserviamo è che spesso si sono fermate alla prima tappa, limitandosi a riportare la complessità all’ interno di un unico ambiente virtualizzato senza intraprendere ulteriori azioni di standardizzazione. Esse, come detto in precedenza, consentirebbero invece di abbattere sensibilmente la complessità di gestione, abbassare i costi e ottenere architetture realmente agili. Il problema della sicurezza dei dati è cruciale. Quali i punti deboli (e quali le potenzialità) del private cloud?

Rispetto al cloud pubblico, il cloud privato dà in linea generale ai responsabili IT minori preoccupazioni circa la sicurezza, la compliance, le performance e l’affidabilità del servizio, poiché ne mantengono il diretto controllo. È necessario però garantirsi che l’accesso ai sistemi sia governato attraverso tecnologie che garantiscono la massima sicurezza nel controllo dell’identità di ciascun utente, con conseguente corretta attribuzione dei privilegi d’utilizzo. In questo ambito Oracle propone Oracle Identity Management, che include tutte le funzionalità necessarie per lo user provisioning, il single-sing-on, la gestione delle identità federate e dei privilegi, nonché per la gestione delle API. Inoltre, per quanto riguarda la specifica protezione del dato, un’architettura DBaaS consente di attuare agevolmente una strategia di tipo defense in depth, consentendo ai responsabili IT di aumentare in modo sistematico e trasparente i controlli di sicurezza per dati ed applicazioni. Tramite questi controlli, i responsabili IT possono proteggere i dati, garantire la conformità alle normative e realizzare gli obiettivi di business, mantenendo la scalabilità, le prestazioni e la disponibilità.

Oggi c’è una crescente consapevolezza dei grandi vantaggi apportati dal cloud, ma quali sono le sfide che restano aperte? Una sfida ancora presente anche per coloro che sono arrivati a completare il “viaggio” è quella di riuscire effettivamente a ripartire internamente i costi di utilizzo dell’infrastruttura verso il business in base al loro reale utilizzo. Per questo Oracle mette a disposizione la funzionalità di chargeback all’interno di Oracle Enterprise Manager 12c, che consente di misurare l’effettivo utilizzo delle risorse da parte degli utenti di business, evidenziarle loro (il cosi detto “showback”) e definire delle metriche in modo da produrre delle vere e proprie “bollette” di costo, analogamente a quanto si fa nel mondo delle Utilities. 

Information Security n° 24 mar/apr 2014

Quali sono i vantaggi evidenti una volta arrivati ‘sul pianeta cloud’? Sono tre i principali driver che spingono le aziende a evolvere verso modelli di private cloud e rappresentano in sostanza i tre principali benefici che esse possono perseguire da tale evoluzione: migliorare l’agilità dei sistemi IT, diminuire i costi e ridurre il rischio. Per quel che riguarda il tema dell’agilità, il private cloud consente di implementare nuove soluzioni informatiche fino a 100 volte più velocemente, di fare leva su sistemi più flessibili e di rendere l’IT più ricettivo rispetto alle mutevoli esigenze del business. Le aziende che già hanno intrapreso questo “viaggio” riescono a mettere a disposizione degli utenti di business gli ambienti richiesti in tempi che vanno ben al di sotto della singola giornata. Un’infrastruttura di private cloud fa sì che gli utenti possano ricorrere alle risorse IT in modalità self-service, dando loro la possibilità di accedere liberamente a un “catalogo” di servizi standardizzati, da cui ciascuno può letteralmente “ordinare” quelli che desidera implementare, in modo rapido e senza errori. Infine, i benefici in termini di agilità sono legati all’elasticità di queste piattaforme, che consentono di scalare rapidamente in entrambe le direzioni per supportare workload dinamici e ridurre al minimo gli eccessi di capacità. Sul fronte della riduzione dei costi, essa riguarda sia i costi CapEx che quelli OpEx e può arrivare anche al dimezzamento del Total Cost of Ownership. Essa viene agevolata in primo luogo dal fatto che c’è una maggiore condivisione delle risorse, con un utilizzo più efficiente delle stesse; in effetti, se le architetture basate su silos dedicati si caratterizzano tendenzialmente per una capacità superiore a quella necessaria all’effettivo utilizzo, la condivisione di risorse consente di ridurre l’eccesso di capacità inutilizzata. La riduzione dei costi viene inoltre agevolata dalla migliore capacità di misurare quanto le risorse condivise vengano effettivamente usate da ogni applicazione, ogni utente e ogni dipartimento aziendale. Tipicamente, queste informazioni possono essere poi utilizzate

l private cloud consente di implementare nuove soluzioni informatiche fino a 100 volte più velocemente, di fare leva su sistemi più flessibili e di rendere l’IT più ricettivo rispetto alle mutevoli esigenze del business. Le aziende che già hanno intrapreso questo “viaggio” riescono a mettere a disposizione degli utenti di business, gli ambienti richiesti in tempi che vanno ben al di sotto della singola giornata

15



PROTAGONISTI SICUREZZA DEI DISPOSITIVI MOBILI Nell’ambito di una sempre maggiore attenzione ai problemi legati alla sicurezza informatica, la comunicazione è chiamata ad una costante evoluzione. Alla luce di questa esigenza, la Rivista Information Security pubblica “Prota-

gonisti”, una serie di Speciali monotematici che affrontano verticalmente una tematica del piano editoriale, rendendo in questo modo protagonisti sia gli autori sia le aziende di riferimento.

PRIVACY E SICUREZZA Uscita: Gennaio/Febbraio

CLOUD COMPUTING SECURITY Uscita: Maggio/Giugno

DISASTER RECOVERY E BUSINESS CONTINUITY Uscita: Luglio/Agosto

IDENTITÀ DIGITALE

CYBERCRIME Uscita: Novembre/Dicembre

Information Security n° 24 mar/apr 2014

Uscita: Settembre/Ottobre

17


PROTAGONISTI SICUREZZA DEI DISPOSITIVI MOBILI

Information Security n° 24 mar/apr 2014

18

La sfida che le aziende si trovano ad affrontare oggi, riguarda la gestione di tutti gli elementi e i componenti inerenti la mobility. Parliamo di risorse, processi, applicazioni e tecnologie implementati per amministrare i dispositivi mobili, le reti wireless e i relativi servizi. Come riuscire nell’impresa?


SICUREZZA DEI DISPOSITIVI MOBILI

LA GRANDE SFIDA: MOBILITY E SICUREZZA. UN CONNUBIO POSSIBILE

Stefano Paganelli Line of Business Network Integration & Security Manager di Dimension Data Italia

gestione globale di tutti gli elementi e i componenti inerenti la mobility quali risorse, processi, applicazioni e tecnologie implementati per amministrare i dispositivi mobili, le reti wireless e i relativi servizi. Sebbene le organizzazioni riconoscano il valore aggiunto offerto da questo nuovo paradigma, per potere aspirare a una migliore produttività e flessibilità e avvalersi di risorse competenti è necessario adottare un approccio proattivo e strutturato per estendere le risorse, i dati e la connettività aziendali ai dipendenti, a prescindere dal luogo in cui operano. Il fulcro diventa quindi l’utente, sulla base del ruolo che occupa in azienda, del dispositivo in suo possesso, dell’infrastruttura utilizzata e delle informazioni e delle applicazioni a cui può accedere, ma tutto questo pone l’accento sui problemi di gestione dell’infrastruttura di mobility o di quella esistente che deve supportare la mobility. Una gestione quindi che deve tenere conto dell’esistente e del nuovo e che fa dell’infrastruttura aziendale l’elemento critico e che deve essere aggiornata e ottimizzata per il successo delle iniziative attuali e future di mobility. Questo è il momento in cui il networking intelligente svolge un ruolo fondamentale. Le organizzazioni devono applicare il concetto di contesto: cosa viene collegato, chi si sta collegando, da dove si

Information Security n° 24 mar/apr 2014

Il mercato attuale è caratterizzato da un elevato livello di digitalizzazione dei contenuti e dei processi aziendali ma, ancora più importante, dalla richiesta da parte di individui di essere sempre più mobili. Le aziende necessitano di accedere in tempo reale alle informazioni per prendere decisioni e rimanere competitive. Se prima l’“informazione” era l’elemento centrale, oggi questo paradigma si è trasformato in un “migliore utilizzo delle informazioni”; inoltre, in passato era l’azienda stessa a fornire gli strumenti di comunicazione mentre oggi l’utilizzatore aziendale è anche un utilizzatore personale e si aspetta di poter disporre sul lavoro degli stessi strumenti di comunicazione che utilizza nel privato. Come confermato dal recente Secure Enterprise Mobility Report realizzato e pubblicato da Dimension Data, il mercato della mobility evidenzia un contrasto ancora troppo elevato tra quelli che sono gli obiettivi inerenti le iniziative BYOD e Mobility e la loro reale attuazione. Se l’obiettivo BYOD/Mobility dell’81% degli intervistati in Europa è l’aumento della produttività, non includere nelle iniziative le applicazioni mission-critical (previsto solo dal 25% degli intervistati) significa relegare il fenomeno solo all’accesso Internet e alla posta elettronica. La sfida che le aziende si trovano a dover affrontare, infatti, riguarda la

19


Information Security n° 24 mar/apr 2014

SICUREZZA DEI DISPOSITIVI MOBILI

20

stanno collegando e cosa stanno facendo. Questa forma di contesto complesso diventa critico nella gestione del traffico della rete e nell’implementazione di risorse di rete in modo appropriato. Occorre ragionare in termini strategici per passare dalla semplice connettività e posta elettronica a comprendere come questi dispositivi possano diventare realmente un facilitatore per il business aziendale. L’infrastruttura di rete ha bisogno di evolvere in linea con l’adozione tecnologica e i responsabili di rete devono pianificare e preventivare aggiornamenti di rete per far fronte al carico di lavoro e per gestire le problematiche che potrebbero insorgere in termini di identificazione (dei dispositivi in un contesto globale), di distribuzione (tracking e routing dei servizi IT ai dispositivi mobile) e di sicurezza nell’erogazione di servizi ai dispositivi.

In questo scenario, risulta alquanto difficile quantificare benefici sufficienti a giustificare gli investimenti e le trasformazioni imposte dalla Mobility. Si corre il rischio che gli utenti provvedano in proprio con applicazioni e/o strumenti non controllati dall’IT che in diversi casi finisce per tollerarli non potendo dare risposte soddisfacenti. Con inevitabile calo del livello di sicurezza. Se la perdita di controllo sui dispositivi di elaborazione degli utenti finali è di per sé un grande rischio e fonte di preoccupazioni, la possibilità che tale dispositivo possa essere perso o rubato è un’ulteriore e importante considerazione da tenere presente. L’estensione del perimetro di sicurezza al di fuori del confine dell’azienda diventa ormai una costante. Non è più sufficiente garantire una connessione cifrata (VPN)

con l’azienda e una protezione da virus e malware, ma è necessario affrontare temi come la garanzie della riservatezza delle comunicazioni video, dentro e fuori l’azienda, mantenere il controllo del livello di sicurezza di applicazioni e dati ospitati su un cloud pubblico, tutelare l’azienda nel caso di utilizzo di strumenti non pensati per l’utenza aziendale (tablet e smartphones). Questo implica che i responsabili IT sono chiamati a risolvere le problematiche di sicurezza originate dal supportare il BYOD (bring your own device) e la mobilità aziendale e la relativa proliferazione di applicazioni e dispositivi personali che accedono alla rete. Dal momento che sempre più persone richiedono accesso remoto, l’IT deve essere in grado di creare strumenti personalizzati per consentire ai differenti gruppi di lavoro di accedere alle reti aziendali. I dipendenti e i dirigenti remoti e la forza vendite mobile presentano differenti esigenze in termini di accesso, applicazioni, servizi e informazioni e molte sono le problematiche legate a come questi molteplici strumenti possano lavorare insieme. Le applicazioni potrebbero non essere compatibili e i dipendenti potrebbero non essere in grado di utilizzare i nuovi strumenti, compromettendo la sicurezza dei dispositivi mobili e dei dati aziendali. L’obiettivo principale per le organizzazioni che intendono adottare e integrare le soluzioni di mobilità è di indirizzare i requisiti per la sicurezza delle informazioni per tutto il ciclo di vita. Questo include la governance, il rischio e la conformità, le policy e le procedure, le implementazioni e i controlli tecnici, le verifiche e le analisi che attestino la bontà della strategia adottata. Per quanto riguarda i controlli dei dispositivi è necessario dotarsi di soluzioni che permettano di comprendere lo stato dei dispositivi (presenza di antivirus, dispositivi standard o jailbreaked, rooted o modded) e di definirne il livello di rischio. Senza dimenticare che queste soluzioni devono poi integrarsi con i controlli effettuati a livello di infrastruttura di rete e di sicurezza. Oltre al rischio della sicurezza dei dati, le infrastrutture server e applicative sono sempre più soggette a un maggiore rischio proprio perché gli utenti, i dati e i dispositivi utilizzano reti esterne al perime-


SICUREZZA DEI DISPOSITIVI MOBILI

tro controllato dall’IT. Non considerare l’intero scenario della mobilità aziendale ha portato a un’assunzione di rischio che spesso viene calcolata grossolanamente, lasciando le organizzazioni esposte a minacce che comportano rischi finanziari e di reputazione.

cede per collegarsi alla propria rete aziendale e le applicazioni visibili agli utenti siano esse pubbliche (social networks) o messe a disposizione dalle aziende. In virtù della presenza di questi elementi, l’azienda deve garantire agli utenti, che utilizzano infrastrutture eterogenee, la qualità di servizio e il livello di sicurezza più appropriati. La strategia di mobility deve pertanto garantire sempre la connettività, quale che ne sia la natura, essere in grado di profilare accuratamente gli accessi, in un’ottica di sicurezza aziendale, offrire servizi di comunicazione e di mobility e fornire supporto alle applicazioni business critical. Diventa importante, di conseguenza, utilizzare un approccio di tipo architetturale per disegnare le infrastrutture di rete. L’adozione di soluzioni di enterprise mobility, virtualizzazione e cloud metterà ancora più sotto pressione reti già complesse. Se non indirizzate proattivamente, queste dinamiche rischiano di influire negativamente sui livelli di servizio erogati. La mancata proattività si traduce nella necessità di interventi in urgenza che finiscono per trascurare gli aspetti più strategici e, soprattutto, quelli della sicurezza. In questo senso, i servizi di assessment offrono una valutazione delle risorse dell’infrastruttura, tracciando gli asset installati sulla rete, identificando lo stato del loro ciclo di vita e stabilendo la copertura di manutenzione. Inoltre, questi servizi garantiscono che le organizzazioni non vengano esposte a rischi inutili, supportandole nell’allineamento della propria infrastruttura IT con le best practice di configurazione, sicurezza e gestione delle patch. Questi assessment analizzano lo stato degli apparati di rete installati presso le aziende, con l’obiettivo di valutare la rispondenza delle infrastrutture di rete alle esigenze di business dei clienti e la loro ca-

pacità di supportare le evoluzioni richieste. L’analisi prevede il confronto delle configurazioni degli apparati con le best-practices, le potenziali vulnerabilità di sicurezza e lo stato di supporto degli apparati da parte dei vendors (end-of-life). Forti di questa consapevolezza, le organizzazioni sono in grado di massimizzare gli investimenti e la spesa, senza compromettere la disponibilità e la sicurezza degli asset aziendali. Oltre a questi servizi è necessario offrire una visibilità completa e una maggiore consapevolezza sullo stato di salute degli ambienti di rete e fornire una panoramica a valore dei rischi identificati sulla base del profilo di rischio individuale degli asset di sicurezza aziendale, aggiungendo funzionalità specifiche di analisi per gli apparati di security. Grazie a questa tipologia di servizio è possibile aiutare le aziende a pianificare, realizzare e creare proattivamente architetture per la sicurezza basate sulla mutevole domanda delle organizzazioni e sulla loro inclinazione al rischio. A sua volta, questo servizio offre costi operativi ridotti, una migliore pianificazione del budget e una spesa operativa più prevedibile. MOBILITY: SVILUPPI FUTURI I nuovi modelli di mobility quali “Scegliere il proprio dispositivo” (Choose Your Own Device, CYOD), “Portare il dispositivo più adatto” (Bring The Right Device, BTRD) o “Di proprietà dell’azienda, Attivato personalmente” (Company Owned Privete Enabled, COPE) sorpasseranno il BYOD. Queste variazioni, in cui i datori di lavoro detengono il controllo dei dispositivi e della sicurezza ma delegano i dipendenti a utilizzarli come meglio credono, consentiranno di superare le problematiche in termini di supporto, sicurezza e affidabilità del BYOD. 

Information Security n° 24 mar/apr 2014

L’APPROCCIO STRATEGICO ALLA MOBILITY Il successo delle iniziative di mobility dipende dall’implementazione di un’effettiva strategia di mobilità aziendale, in grado di pianificare gli investimenti e di adottare modelli e processi di supporto adeguati, introducendo così un percorso di analisi, valutazione e definizione di una roadmap attuabile. Questo perché la mobilità aziendale non è un trend tecnologico isolato ma possiede il potenziale per influenzare in modo consistente ogni aspetto dell’infrastruttura IT. La domanda da porsi è quanto la propria organizzazione sia oggi in grado di farsi carico della gestione del ciclo di vita della mobility o quanto sia conveniente investire in infrastrutture, conoscenze e processi per un’esigenza in continua evoluzione. Affidarsi ad un partner in grado di farsi carico di questa problematica consente di rispondere alle esigenze dei propri utenti in tempi rapidi senza gravare ulteriormente sulla propria organizzazione. Un approccio a canone permette di evitare investimenti e di poter distribuire i costi della mobility a coloro che ne fanno effettivamente richiesta, rispondendo in tempo reale a esigenze di ampliamento o di ridimensionamento dei servizi offerti. Il beneficio di demandare tutta la gestione, eventualmente selezionando di quali servizi usufruire, permette ai CIO di rispondere alle sollecitazioni provenienti dal business velocemente, con costi certi e misurabili e di offrire degli SLA ai propri utenti. Quando il panorama della mobility avrà raggiunto una sua stabilità, sarà sempre possibile riportare il tutto internamente, se ritenuto preferibile. L’approccio suggerito è un approccio olistico alla mobility aziendale che include, pertanto, diversi elementi che devono essere presi in considerazione e valutati: i dispositivi e la comunicazione tra dispositivi che utilizzano infrastrutture “mobile”; l’infrastruttura (geografica, LAN, WiFi, mobile, broadband domestiche) a cui l’utente ac-

L’approccio suggerito è un approccio olistico alla mobility aziendale che include diversi elementi che devono essere presi in considerazione e valutati: i dispositivi e la comunicazione tra dispositivi che utilizzano infrastrutture “mobile”; l’infrastruttura (geografica, LAN, WiFi, mobile, broadband domestiche) a cui l’utente accede per collegarsi alla propria rete aziendale e le applicazioni visibili agli utenti siano esse pubbliche (social networks) o messe a disposizione dalle aziende

21


PROTAGONISTI SICUREZZA DEI DISPOSITIVI MOBILI

I grandi cambiamenti nel mercato del lavoro stanno facendo emergere nuove problematiche a cui le aziende sono chiamate a rispondere. Le imprese di oggi devono infatti soddisfare una crescente domanda di connettività mobile sia da parte dei propri dipendenti che da parte dei client, garantendo nel frattempo elevati standard di sicurezza. Un equilibrio non sempre facile da raggiungere

Information Security n° 24 mar/apr 2014

22


SICUREZZA DEI DISPOSITIVI MOBILI

LIBERARE IL POTENZIALE DELLA MOBILITÀ AZIENDALE SENZA COMPROMETTERE LA SICUREZZA DELL’IMPRESA

Sabrina Baggioni Corporate Marketing Director Vodafone Italia

i singoli nelle condizioni di lavorare meglio, con app e dispositivi che conoscono, può aumentare la produttività e la “retention” dei dipendenti, oltre che attirare i migliori candidati nel caso di nuovi incarichi. Indipendentemente dalla grandezza, un’impresa che può essere contattata facilmente è avvantaggiata nel trasformare ogni potenziale cliente o connessione nella vendita di un prodotto. La mobilità aziendale libera le società dai vincoli dell’ufficio, dal pendolarismo dei dipendenti e dal costo dei viaggi di lavoro. Senza le catene della fisicità, un’attività può diventare veramente illimitata. Con l’esplosione degli smartphone e dei tablet, ora è più importante che mai per un’impresa proteggere i dati critici per la propria attività, al fine di evitare che finiscano su dispositivi non autorizzati. Le imprese che proteggono i dispositivi mobili realizzeranno i benefici di una forza lavoro costantemente connessa senza correre rischi. Malware, phishing, furti di dati o anche solo la perdita di un dispositivo sono episodi potenzialmente catastrofici nel momento in cui un dipendente utilizza un dispositivo mobile per accedere a dati sensibili. Comunque, l’esigenza di proteggere i dati da queste minacce in un’epoca di mobilità non dovrebbe scoraggiare le imprese dal

Information Security n° 24 mar/apr 2014

Garantire la sicurezza dei dispositivi mobili è da sempre una delle più importanti attività che fanno capo alla figura dell’amministratore IT. D’altro canto, i grandi cambiamenti che si stanno verificando nella cultura del lavoro stanno facendo emergere più rischi in nuove aree. Le imprese devono infatti soddisfare una crescente domanda di connettività costante, senza limiti geografici o di tempo, da parte sia dei clienti sia dei dipendenti. La gestione di queste esigenze non è semplice. Due sono le tendenze alla base di questo cambiamento: l’esperienza dei clienti e l’esigenza di immediatezza. Se il cliente non può raggiungere una società rapidamente per ottenere le informazioni di cui ha bisogno – per esempio informazioni su un prodotto, supporto tecnico o delucidazioni su una fattura –si rivolgerà a chi potrà andare incontro alle sue necessità con un servizio migliore. Parallelamente, molti dipendenti sono abituati a gestire la propria attività e la propria vita privata in mobilità, annullando di fatto la differenza fra i dispositivi utilizzati per lavoro e quelli utilizzati per scopi privati. Ciò pone alle imprese la doppia sfida di fornire un servizio intelligente e personalizzato ai propri clienti e di dare una risposta concreta alle esigenze della propria forza lavoro. Mettere

23


SICUREZZA DEI DISPOSITIVI MOBILI

Information Security n° 24 mar/apr 2014

mobilitare la propria forza lavoro. Ma più di ogni altra cosa, definire una efficace strategia aziendale nell’ambito della mobilità deve essere più di una decisione legata strettamente all’IT. L’allineamento fra le politiche e gli obiettivi dell’impresa massimizzerà i benefici e ridurrà gli sprechi. Gran parte delle aziende scopre solo adesso che non tutti i dipendenti hanno le stesse esigenze. Alcuni hanno necessità di un accesso ad alto livello a dati sensibili, mentre altri possono non aver bisogno di alcun accesso. Ogni caso deve essere gestito grazie a politiche specifiche che forniscano dispositivi con soluzioni di sicurezza a più altolivello, ove necessario, senza sprecare risorse e senza esporre le imprese a rischi inutili. In ogni caso, l’insieme delle strategie sulla sicurezza, delle politiche del lavoro in mobilità e delle relative procedure elaborate con le migliori intenzioni è efficace solo se i dipendenti e le imprese hanno una visione condivisa di quello che la strategia si propone di realizzare. La formazione dei dipendenti in merito

24

alle loro responsabilità nell’uso dei dispositivi che utilizzano per lavoro sono fondamentali. Per questo, occorre invitarli a seguire le linee guida e le politiche aziendali adottate, indicando con chiarezza le potenziali conseguenze di una violazione delle stesse. Per gli amministratori di IT, il Mobile Device Management (MDM) consente il monitoraggio in tempo reale delle modalità d’uso dei dispositivi. L’accesso ai dati dell’azienda da parte di dispositivi non autenticati può essere identificato e bloccato. MDM costituisce, dunque, anche un mezzo per monitorare i dati sull’utilizzo, gestire i costi e mantenere una strategia sulla sicurezza efficiente e aggiornata. Nel caso in cui un dipendente smarrisca il dispositivo a sua disposizione, o ne subisca il furto, MDM consente anche al settore IT di bloccare e cancellare dati societari sensibili, per impedire la sottrazione di informazioni di vitale importanza. È importante caricare sui dispositivi anche anti-virus e anti-malware per evitare furti di dati che utiliz-

zano tattiche comuni quali Trojan, spoofing e phishing. Le imprese possono utilizzare anche strumenti sicuri di distribuzione dei contenuti per diffondere dati aziendali sensibili senza esporre il resto della rete aziendale a rischi. In ogni modo, anche se gli amministratori possono usare strumenti MDM per monitorare i dati aziendali sui dispositivi mobili, i dati personali possono essere nascosti e messi fuori dalla portata della società, in modo che i dipendenti non debbano preoccuparsi di accessi indesiderati alle loro informazioni personali. Le migliori politiche sono quelle che possono essere anche flessibili. Con la mobilità aziendale in costante evoluzione, le politiche dovranno tener conto dell’introduzione di nuovi e innovativi strumenti e dispositivi. MDM fornisce i mezzi per adottare nuovi sistemi operativi e dispositivi senza bloccare o mettere a repentaglio le misure di sicurezza esistenti. La mobilità aziendale genera opportunità di crescita esponenziale e rischi possono essere contenuti al massimo. 


BUSINESS SOLUTION

per info

www.trendmicro.it

TREND MICRO E L’FBI FERMANO LA CORSA DI MR. SPYEYE, IL CREATORE E DISTRIBUTORE DI UNO DEI MALWARE KIT PIÙ REDDITIZI DEGLI ULTIMI ANNI Importante riconoscimento dell’operato del centro ricerche Trend Micro

Gastone Nencini Country Manager Trend Micro Italia

search (FTR) Team di Trend Micro, il nostro centro di intelligence. I ricercatori Trend Micro si sono infatti infiltrati nei forum cyber criminali, per carpire informazioni essenziali a rivelare l’identità di Panin e seguire i suoi movimenti. SpyEye, attivo dal 2009, è un sofisticato Trojan che permette ai cyber criminali di controllare i computer da remoto e di conseguenza entrare in possesso di informazioni personali sensibili, come le credenziali bancarie, informazioni sulla carta di credito, user name e password varie. Aleksandr Andreevich Panin ha operato in Russia dal 2009 al 2011, collaborando specialmente con l’algerino Hamza Bendelladj, conosciuto anche come “Bx1”. Entrambi hanno lavorato per sviluppare il mercato e vendere varie versioni di SpyEye. Panin offriva pacchetti personalizzati a diversi acquirenti, per permette di poter colpire al meglio i computer personali, le istituzioni finanziare o gli istituti di credito. Muovendosi tra i forum utilizzati dai cyber criminali pubbliciz-

zava le sue diverse soluzioni con prezzi che oscillavano tra i 1.000 e gli 8.500 dollari. Gli investigatori ritengono abbia venduto SpyEye ad almeno 150 clienti. Si pensa che uno di questi sia riuscito a “guadagnare” circa 3,2 milioni di dollari in sei mesi, utilizzando un kit SpyEye. SpyEye è stato il principale malware kit tra il 2009 e il 2011. Nel 2013 ha colpito più di 10.000 conti bancari e oggi è ancora molto utilizzato. Negli ultimi mesi SpyEye è stato rilevato su 1.010 utenti unici e 790 ips in Italia. L’FBI ha cominciato ad indagare su Panin e il suo gruppo nel giugno del 2011. Hamza Bendelladj è stato arrestato il 5 Gennaio 2013 all’aeroporto di Bangkok. Estradato negli Stati Uniti a maggio, è ora sotto processo in Georgia. Panin è stato arrestato il 1 Luglio 2013 all’aeroporto di Atlanta e riconosciuto colpevole il 28 Gennaio 2014. La sentenza è prevista il 29 Aprile. Le indagini hanno permesso di arrestare anche 4 clienti di Panin e vari complici tra il Regno Unito e la Bulgaria. 

Information Security n° 24 mar/apr 2014

Da 25 anni ci impegniamo per rendere i sistemi informatici sempre più sicuri. La nostra non è una ricerca che punta a mettere in sicurezza i singoli sistemi, cerchiamo sempre di vedere le cose anche da un punto di vista macro, di scenario, consapevoli che mettendo fuori gioco i grandi avversari del cyber crime contribuiremo a rendere il mondo un posto più sicuro per tutti. Questo è il caso che ci ha visto “affrontare” Il russo Aleksandr Andreevich Panin, conosciuto anche come “Gribodemon” e “Harderman”, che è stato finalmente giudicato colpevole a gennaio di cospirazione finalizzata a frode bancaria dal Dipartimento di Giustizia degli Stati Uniti d’America. Aleksandr Andreevich Panin, considerato da più parti come l’erede del codice ufficiale del trojan bancario ZeuS, è lo sviluppatore e distributore del noto malware bancario SpyEye, responsabile di aver infettato oltre 1,4 milioni di computer in tutto il mondo. L’FBI ha riconosciuto in un comunicato l’apporto fondamentale nelle indagini del Forward-looking Threat Re-

25


PROTAGONISTI SICUREZZA DEI DISPOSITIVI MOBILI

La conquista della mobilità rappresenta un upgrade decisamente positivo nel mercato del lavoro di oggi, consente una maggiore elasticità ed un conseguente aumento della produttività. Ma ogni dispositivo è basato su una piattaforma diversa che permette di accedere a numerose informazioni. Come ridurre al minimo i rischi per la sicurezza?

Information Security n° 24 mar/apr 2014

” 26


SICUREZZA DEI DISPOSITIVI MOBILI

UNA STRATEGIA IN TRE MOSSE PER PROTEGGERE I DISPOSITIVI MOBILI

Emiliano Massa Director of Regional Sales Websense Italy & Iberia

Oggi non è possibile bloccare il fenomeno della mobilità e i dipendenti si aspettano di poter utilizzare i propri dispositivi per lavorare ovunque. Nella maggior parte dei casi, la mobilità rappresenta un aspetto positivo, permettendo di aumentare la produttività, ma ogni dispositivo è basato su una piattaforma diversa che permette di accedere a numerose informazioni. Emiliano Massa, Director of Regional Sales, Websense Italy & Iberia, ci spiega l’importanza essere preparati sui possibili rischi legati alla sicurezza e di come un approccio olistico sia quello più efficace per garantire la produttività e al contempo ridurre i possibili rischi.

Qual è il primo passo che le aziende devono compiere per proteggere i dispositivi mobile? Da quando i dispositivi mobile sono di-

Definiti gli obiettivi, un’azienda come può stabilire una strategia di mobile security? Le aziende devono sempre pianificare la propria strategia di sicurezza mobile tenendo in considerazione alcuni elementi come ad esempio la tolleranza per il rischio, la natura del business, i requisiti normativi e il proprio livello di “maturità mobile”. Affinchè la strategia di mobile security sia efficace e adeguata rispetto alle esigenze, è possibile scegliete tra tre

Information Security n° 24 mar/apr 2014

Pensando ai dispositivi mobile, di cosa dovrebbe preoccuparsi di più un’azienda? Dei dati o dei dispositivi? Oggi le piattaforme mobili permettono di avere un potere senza precedenti e tutte le informazioni a portata di mano, quindi la priorità deve essere sempre attribuita ai dati, che costituiscono il vero patrimonio di un’azienda e l’obiettivo di tutti gli attacchi dei cyber criminali.

ventati così pervasivi e sempre più dipendenti utilizzano i propri smartphone e tablet per lavoro, l’IT è cambiato radicalmente. E’ necessario proteggere i dati, stabilire e rinforzare practice e policy di sicurezza, definendo chiaramente quello che si vuole ottenere. Se l’obiettivo è offrire l’accesso mobile ad alcune risorse aziendali particolarmente utili, come email, servizi di file e app intranet, l’uso di dispositivi mobili isolati e molto limitati può offrire ben poco. Per consentire invece un accesso mobile e sicuro a queste preziose risorse, obiettivo che solitamente è condiviso dalla maggior parte delle aziende, bisogna proteggere i dati a cui si accede, che diventano locali, ma anche il dispositivo client, che funge da canale di comunicazione con le risorse accessibili a livello locale e remoto.

27


SICUREZZA DEI DISPOSITIVI MOBILI

diversi livelli di sicurezza: mobile device management (MDM), sicurezza supplementare e misure emergenti per la sicurezza. L’uso di iPhone, device Androd o Blackberry implica l’implementazione di soluzioni di sicurezza diverse? Indipendentemente dai dispositivi mobile utilizzati dai dipendenti - iPhone, device Android, Blackberry o anche un dispositivo mobile basato su qualsiasi altra piattaforma - è importante che le aziende implementino soluzioni di Mobile Device Management (MDM) per proteggere i dati e informazioni sensibili. Per alcune aziende è sufficiente utilizzare Exchange ActiveSync® o BlackBerry® Enterprise Server, ma altre richiedono una soluzione MDM completa di livello enterprise.

Information Security n° 24 mar/apr 2014

Quali vantaggi offre la tecnologia di Mobile Device Management?

28

In primo luogo consente di gestire in modo centralizzato il ciclo di vita dei dispositivi mobili, offrendo anche molte funzionalità di gestione rilevanti sotto l’aspetto della sicurezza. Per esempio, se è possibile configurare le impostazioni Wi-Fi e aggiornare le applicazioni, le medesime funzionalità si possono usare anche per ridurre l’esposizione del dispositivo a eventuali attacchi. Altre funzionalità, come la cancellazione da remoto e il controllo della crittografia, forniscono ulteriori livelli di protezione dei dati. Tuttavia le soluzioni di MDM non sono sufficienti da sole. Gli utenti devono, infatti, conoscere le policy aziendali di sicurezza mobile ed è importante che queste siano rispettate. Gli accordi firmati dimostrano che i dipendenti hanno compreso i propri diritti e le proprie responsabilità e i diritti dell’azienda sono decisivi. Le funzionalità di Mobile Device Management e il rispetto delle policy non permetteranno di bloccare to-

talmente le minacce, per questo motivo è importante implementare anche le fasi seguenti per garantire la massima sicurezza. È quindi importante passare al secondo livello e installare delle misure di sicurezza supplementari? Anche se i dipendenti controllano solo la posta con il proprio dispositivo mobile, è importante prendere in considerazione anche altre soluzioni. Le funzionalità di sicurezza orientate al modello MDM sono sicuramente un eccellente punto di partenza per una strategia di mobile security, ma è consigliabile attivare una protezione aggiuntiva dei dati per garantire la sicurezza dei dispositivi mobili, controllando effettivamente a quali dati è possibile accedere attraverso i device. Oggi assistiamo ad un cambiamento nel panorama delle minacce mobile? Stiamo registrando un aumento costante


SICUREZZA DEI DISPOSITIVI MOBILI

sia delle minacce mobile Web che di quelle basate sulle applicazioni, dal momento che la diffusione dei dispositivi mobili sta superando quella dei desktop. Ciò di cui le aziende hanno veramente bisogno è un valido “cocktail” di sicurezza Web, in grado di esaminare i contenuti da ogni angolo possibile per rilevare le nuove minacce. Noi consigliamo sempre alle aziende di essere un sempre un passo avanti rispetto ai criminali informatici. Per questo è importante avere la più recente intelligence in grado di rilevare in tempo reale le minacce, utilizzando molteplici motori d’ispezione complementari in grado di offrire l’analisi delle minacce e la classificazione dei contenuti, come ad esempio il nostro Advanced Classification Engine (ACE) che mette a disposizione difese in linea e contestuali per Web, email, dati e dispositivi mobile tramite l’analisi e l’assegnazione di punteggi ai rischi in sette aree di valutazione della

Bisogna proteggere i dati a cui si accede, che diventano locali, ma anche il dispositivo client, che funge da canale di comunicazione con le risorse accessibili a livello locale e remoto. La principale complicazione per la strategia aziendale di mobile security è rappresentata dalla diversità di dispositivi e piattaforme mobili

protezione Altrettanto utile sarà la capacità di filtrare le applicazioni mobili in base alla reputazione che impedisce agli utenti di scaricare app mobili infettate da malware, un problema attualmente in crescita, soprattutto per gli app store automatizzati. In cosa consistono invece le misure emergenti per la sicurezza mobile? Questo terzo livello di contromisure rappresenta una certa novità sul mercato. I primi utilizzatori di queste tecnologie solitamente hanno una tolleranza molto ridotta per i rischi, usano dati estremamente sensibili, oppure devono sottostare a requisiti normativi molto rigorosi. Tra le tecnologie emergenti possiamo ad esempio citare: l’application e desktop virtualization che evita ai dati di fuoriuscire dal datacenter, le applicazioni Selfdefending, il sandbox enterprise che crea una zona isolata dove gli utenti possono lavorare con le risorse aziendale, VPN always-on per reindirizzare il traffico dati verso la sede centrale attraverso un tunnel crittografato.

Quali sono le caratteristiche che dovrebbe avere la soluzione enterprise ideale? Nessuno restituisce il proprio laptop o desktop quando riceve uno smartphone, di conseguenza, la mobilità aggiunge semplicemente nuove sfide alla sicurezza aziendale. Questo aspetto, insieme alle pressioni a livello di budget, stimola le esigenze di efficienza amministrativa nella scelta delle soluzioni di mobile security. Per le aziende, le soluzioni ideali avranno una natura di classe enterprise e consentiranno di ridurre i costi minimizzando il numero di prodotti e produttori. La necessità di supportare e rendere sicura una popolazione crescente di dispositivi mobili è un problema di grande attualità. Questa sfida è resa più complicata da una serie di fattori e non esiste alcuna ricetta semplice e generica per risolvere il problema della sicurezza mobile. Ciò nonostante, le aziende dovrebbero cercare di essere sempre concentrate sull’obiettivo principale, al fine di garantire la protezione dei dati mobile. Inoltre, seguire un approccio a vari livelli dove le funzionalità MDM sono integrate a controlli avanzati rappresenta un altro importante fattore di successo. Le aziende non devo perdere di vista gli obiettivi di sicurezza che sono stati definiti per aver già vinto metà della battaglia, mentre per la restante metà è importante affidarsi a vendor che siano in grado di offrire una soluzione di sicurezza efficiente massimizzando il total cost of ownership. 

Information Security n° 24 mar/apr 2014

Quali sono le “complicazioni” che potrebbero emergere? La principale complicazione per la strategia aziendale di mobile security è rappresentata dalla diversità di dispositivi e piattaforme mobili. Questo aspetto si manifesta in due modi. In primo luogo, le differenze nell’architettura delle piattaforme hanno un impatto negativo sull’esigenza e disponibilità di molte funzionalità di sicurezza add-on. Per esempio, il modello di isolamento adottato da Apple iOS riduce l’efficacia di gran parte dei malware, ma contemporaneamente preclude l’utilizzo di agenti di sicurezza completamente funzionali. Altre piattaforme soffrono di una resistenza variabile nei confronti del malware e altri tipi di minacce, associata a vari livelli di supporto per agenti di sicurezza locali. Un problema correlato è

che la diversità di piattaforme, dispositivi e service provider ha un impatto negativo sulla disponibilità ed efficacia delle funzioni di sicurezza native. Conseguentemente, ci sono considerevoli variazioni da un dispositivo all’altro in termini di che cosa occorre dal punto di vista della sicurezza e come si può implementare nel modo migliore.

29


CYBERCRIME

PER PROTEGGERE (DAVVERO) LA RETE OCCORRONO DIFESE MULTISTRATO

Information Security n° 24 mar/apr 2014

A cura della Redazione

30

Nostra intervista a Marco Gioanola, Consulting Engineer di Arbor Networks: “La nona edizione del nostro Worldwide Infrastructure Security Report (WISR) dimostra chiaramente che i team responsabili dell’IT e della sicurezza di ISP e aziende stanno affrontando uno scenario di minacce dinamico contro avversari pazienti e molto esperti”

Come ogni anno, Arbor Networks ha pubblicato il suo studio sulla sicurezza informatica, cos’è emerso? La nona edizione del nostro Worldwide Infrastructure Security Report (WISR) dimostra chiaramente che i team responsabili dell’IT e della sicurezza di ISP e aziende stanno affrontando uno scenario di minacce dinamico contro avversari pazienti e molto esperti. Grazie ai dati comunicati ad Arbor da service provider, aziende, società di hosting, fornitori di cloud e altri operatori di rete di tutto il mondo, infatti, il report riesce a fornire una visione realistica delle minacce di sicurezza dirette contro le aziende e delle strategie adottate per controbatterle. L’impressione generale che ne emerge è che, al giorno d’oggi, non esista una singola soluzione universale e che la sola tecnologia non è più sufficiente per proteggere una rete. Occorrono difese multistrato. Entriamo più nel dettaglio. Stando ai risultati del vostro studio, nel corso

dell’ultimo anno gli attacchi alle reti mobili sono più che raddoppiati Esatto: quasi un quarto degli intervistati che offrono servizi mobili ha indicato di aver osservato attacchi DDoS che hanno avuto un impatto contro le proprie infrastrutture per mobile Internet (Gi). Questo dato equivale a più del doppio della proporzione registrata lo scorso anno. Inoltre, più del 20% di coloro che offrono servizi mobili ha subìto un’interruzione percepibile dai clienti a causa di un incidente di sicurezza. Quali potrebbero/dovrebbero essere secondo lei le contromisure da prendere? La prima contromisura da adottare è sempre la visibilità: non puoi proteggere ciò che non conosci. Spesso, anche quando vengono adottate delle misure di sicurezza come firewall o IPS, ci si affida ad esse senza analizzare con attenzione il loro operato, ed è così che è possibile trovarsi impreparati di fronte ai nuovi tipi di attacco. E’ necessario dotarsi di strumenti che forniscano indicazioni sui

trend di traffico in modo da rilevare anomalie e allo stesso tempo diano la possibilità di analisi approfondite sugli incidenti di sicurezza. Andiamo avanti con l’analisi dello studio. I vostri risultati indicano una decisa crescita degli attacchi DDoS ad alto volume di traffico. In tutte le precedenti edizioni del report, l’attacco di maggiori dimensioni osservato era stato di 100 Gbps. Nel 2013 il picco è stato invece di 309 Gbps, e più di un intervistato ha registrato attacchi superiori ai 100 Gbps. Per farsi un’idea delle proporzioni del fenomeno, basti pensare che queste cifre sono migliaia di volte superiori alla quantità massima di banda a disposizione delle più grandi aziende del nostro paese: il 36% degli operatori di data center intervistati ha segnalato almeno un caso di attacco che ne ha completamente saturato la capacità di banda. L’altra faccia della medaglia è il continuo utilizzo di attacchi di dimensioni minori


CYBERCRIME

ma sempre più mirati alle applicazioni, principalmente all’HTTP ma sempre più frequentemente anche verso canali cifrati come l’HTTPS.

A nostro avviso risulta sempre più necessario che le aziende intraprendano la mitigazione degli attacchi DDoS con un approccio multilivello; gli attacchi di grandi dimensioni vanno contrastati attraverso i servizi forniti dagli ISP ma devono essere anche rafforzati da soluzioni specifiche per rilevare e bloccare in tempo reale gli attacchi allo strato applicativo.

Oggi un data center può ospitare centinaia o migliaia di clienti delle dimensioni più svariate, e mentre da un lato i forti livelli di virtualizzazione portano evidenti vantaggi di ridondanza e resilienza, dall’altro localmente moltiplicano il rischio di “danni collaterali” causati da attacchi verso altri servizi ospitati nella stessa località

” Marco Gioanola, Consulting Engineer di Arbor Networks

Un altro punto estremamente interessante riguarda le minacce APT alle reti interne. Stando a quanto emerso dallo studio la preoccupazione maggiore è legata agli host infettati da bot. Queste preoccupazioni sono giustificate dai fatti: la proporzione di intervistati che ha registrato attacchi ATP contro le proprie reti, infatti, è salita dal 20% al 30% in un anno. Il dato sorprendente, però, è che quasi il 60% degli intervistati ha ammesso di non disporre di una soluzione capace di identificare i dispositivi dei dipendenti che accedono alla rete aziendale ((BYOD,

Bring Your Own Device). Esiste poi una tipologia di attacco ibrida, dove il DDoS viene usato, ad esempio, come diversivo per nascondere un furto di informazioni. Abbiamo notato come spesso gli attacker sfruttino vulnerabilità note ma per le quali non sono state applicate le necessarie patch, o attraverso tecniche di social engineering per carpire password o altre informazioni necessarie all’accesso. In quest’ultimo caso, l’anello debole della catena non è la tecnologia ma l’essere umano: è quindi necessario da un lato avere strumenti in grado di rilevare ano-

malie di comportamento nel traffico di rete, e dall’altro avere strumenti di incident response in grado di scoprire e visualizzare chiaramente l’accaduto. In altri casi, invece, abbiamo registrato intrusioni effettuate attraverso attività prolungate nel tempo e che hanno coinvolto diversi vettori d’attacco, dall’invio di documenti PDF infetti, allo sfruttamento di vulnerabilità zero-day (cioè ancora ignote ai vendor). Anche in questo caso, Arbor ritiene che la risposta agli attacchi siano visibilità e rilevamento delle anomalie.

Information Security n° 24 mar/apr 2014

In particolare, i data center sembrano attirare gli attacchi DDoS. Oltre il 70% di loro ha riportato questo tipo di attacco durante l’anno, più di un terzo ha sperimentato attacchi che hanno superato il totale della connettività Internet disponibile e circa il 10% ha registrato oltre 100 attacchi al mese. Sappiamo bene come i servizi “cloud” siano al centro dell’attenzione, e i data center sono l’incarnazione di questa “nuvola”: è quindi naturale che si trovino nel mirino degli attacchi DDoS. Oggi un data center può ospitare centinaia o migliaia di clienti delle dimensioni più svariate, e mentre da un lato i forti livelli di virtualizzazione portano evidenti vantaggi di ridondanza e resilienza, dall’altro localmente moltiplicano il rischio di “danni collaterali” causati da attacchi verso altri servizi ospitati nella stessa località. La vastissima gamma di servizi (e business) offerti tramite Internet e le diverse motivazioni dietro gli attacchi generano nei data center un ambiente molto difficile da controllare.

31


CYBERCRIME

Altro dato significativo che emerge dal vostro studio è quanto l’infrastruttura DNS resti vulnerabile. Secondo il WISR 2014, poco più di un terzo degli intervistati ha sofferto di attacchi DDoS rivolti contro la propria infrastruttura DNS, mentre più di un quarto ha indicato di non possedere al proprio interno alcun gruppo specializzato in sicurezza avente responsabilità formale della sicurezza DNS, in aumento rispetto al 19% dell’anno precedente. Questo incremento è sorprendente considerato il numero di attacchi di amplificazione o di riflesso che nel periodo interessato dalla ricerca hanno colpito in modo particolarmente visibile infrastrutture DNS.

Information Security n° 24 mar/apr 2014

Dr Gioanola, tiriamo le somme. Questa è la nona edizione del vostro studio, chi meglio di lei può quindi darci una fotografia di quanto siano cambiati gli scenari nel corso degli ultimi anni e azzardare una previsione per il futuro? Ciò che abbiamo osservato è che la dimensione e l’intelligenza degli attacchi sono cresciute di pari passo alla sempre maggiore pervasività di Internet nel modo di fare business e nei rapporti interpersonali, e non c’è ragione di credere che questo trend si possa interrompere. Su Internet ogni progresso porta con sé la potenzialità di essere usato per scopi impropri: pensiamo ad esempio alle reti mo-

32

bili 4G, che da un lato offrono agli utenti l’opportunità di usufruire di nuovi servizi ma dall’altro rendono sempre più appetibili i dispositivi mobili come veicolo per attacchi DDoS, per non parlare delle intrusioni o del furto di informazioni. Internet è composta da una miriade di parti molto fragili e nonostante ciò le profezie più apocalittiche sono state sempre sfatate: sicuramente tra un anno saremo qui a difenderci da attacchi che oggi non riusciamo nemmeno a immaginarci, ma non per questo useremo di meno Internet. A fronte dell’ evidente aumento del numero di attacchi, ritiene che le aziende stiano facendo tutto il possibile per difendersi o dovrebbero modificare il loro approccio al problema? Credo che sia fondamentale, innanzitutto, conoscere la natura e le reali proporzioni dei problemi di sicurezza che l’azienda deve affrontare: non è possibile pensarsi al sicuro dagli attacchi DDoS solo raddoppiando la propria banda Internet, così come un antivirus non è sufficiente a garantire un buon livello di protezione. Le aziende devono considerare la sicurezza informatica come una funzione “core” da sviluppare internamente, al fine di poter quindi selezionare i consulenti, i prodotti e i servizi di chiara e provata affidabilità ed esperienza a cui affidarsi. Nel 2013, comunque, abbiamo rilevati diversi

segnali incoraggianti: più dell’80% degli intervistati utilizza strumenti efficaci di rilevamento degli attacchi, il 62% utilizza soluzioni dedicate alla mitigation intelligente degli attacchi DDoS, mentre la percentuale di chi ritiene che i firewall possano fornire una protezione efficace contro tale minaccia è scesa dal 57 al 47%. Il 60% degli intervistati, inoltre, ha dichiarato di essere in grado di mitigare un attacco DDoS in meno di 20 minuti, in miglioramento rispetto agli scorsi anni. Dr Gioanola, un’ultima domanda: ritiene che in Italia il livello di sensibilizzazione al problema sia in linea con il resto del mondo? In Italia il livello di sensibilità è ancora inferiore rispetto ad altri mercati, non solo quelli tradizionalmente più avanzati come gli USA o il Nord Europa, ma anche ad esempio quello turco, dove gli ISP sono periodicamente coinvolti in esercitazioni anti-ddos. Rispetto a qualche anno fa, comunque, i maggiori Internet Service Provider italiani hanno ben chiaro che gli attacchi DDoS sono un problema reale, e hanno implementato soluzioni per contrastarli. La penetrazione sul mercato delle offerte commerciali di servizi anti-ddos procede lentamente, ma vediamo costantemente piccoli segnali di miglioramento, in particolar modo tra gli operatori di data center. 


WEB SECURITY

FRODI CREDITIZIE: OLTRE 10.000 CASI NEL PRIMO SEMESTRE 2013, SEMPRE PIÙ COLPITI GLI UNDER 30 Nonostante la crisi economica e la conseguente contrazione dei finanziamenti richiesti ed erogati alle famiglie, le frodi creditizie non accennano minimamente a diminuire. Considerando la contemporanea contrazione dei finanziamenti concessi, nei primi 6 mesi dell’anno in corso il rapporto tra il numero di frodi creditizie e i crediti concessi è risultato in crescita addirittura del +23,8% rispetto al primo semestre 2012

semestre 2012. Queste le principali salienze contenute nell’ultima edizione dell’Osservatorio CRIF sui furti di identità e le frodi creditizie le cui analisi purtroppo confermano un incremento pressoché costante dei casi da quando CRIF ha iniziato a monitorare sistematicamente questo fenomeno criminale, a partire dal 2005. Di pari passo non sembrano essere cresciute in proporzione la consapevolezza e l’attenzione da parte dei cittadini, nemmeno nelle fasce di popolazione più giovani soprattutto che - come vedremo - a seguire approfondendo l’analisi e i dati - risultano i più colpiti dal furto d’identità e dalle frodi creditizie. L’INCIDENZA SULLE DIVERSE FORME TECNICHE DI CREDITO ALLE FAMIGLIE Nel complesso si cade facilmente vittima di frode creditizia tramite furto d’identità per molteplici ragioni, innanzi tutto a causa della grande facilità con la quale i criminali riescono ad accedere a informazioni personali e riservate altrui attra-

verso documenti cartacei o in formato digitale, anche in virtù della scarsa conoscenza dei rischi da parte dei cittadini, con la conseguente ridotta tendenza a tutelarsi adeguatamente adottando comportamenti virtuosi e sistemi di protezione realmente efficaci. A questo si aggiungono le oggettive difficoltà da parte degli istituti di credito e, soprattutto, degli esercizi commerciali nel verificare la reale veridicità dei dati presentati al momento della richiesta di un finanziamento. Entrando nel dettaglio delle singole forme tecniche, i prestiti finalizzati continuano a fare la parte del leone, con un’incidenza dell’80,2% sul totale dei casi. In questa poco invidiabile classifica seguono i prestiti personali, con una quota pari al 10,4%, e le frodi sulle carte di credito, con il 7,2%. Nel periodo di osservazione, però, si registra anche un significativo aumento dei casi perpetrati su cessione del quinto dello stipendio, anche se l’incidenza sul totale rimane ancora complessivamente modesta.

Information Security n° 24 mar/apr 2014

Il fenomeno delle frodi creditizie, che si realizza mediante furto di identità ed il successivo utilizzo illecito dei dati personali e finanziari altrui per ottenere credito o acquisire beni con l’intenzione premeditata di non rimborsare il finanziamento e non pagare il bene, in Italia si conferma avere dimensioni di assoluto rilievo anche se questo non sembra destare un adeguato allarme sociale. In effetti, nonostante la crisi economica e la conseguente contrazione dei finanziamenti richiesti ed erogati alle famiglie, le frodi creditizie non accennano minimamente a diminuire tanto che solamente nel I semestre 2013 sono stati intercettati oltre 10.000 casi, con un incremento pari a +12,5% rispetto al corrispondente periodo 2012. Inoltre, considerando la contemporanea contrazione dei finanziamenti concessi, nei primi 6 mesi dell’anno in corso il rapporto tra il numero di frodi creditizie e i crediti concessi è risultato in crescita addirittura del +23,8% rispetto al primo

Beatrice Rubini Direttore della linea Mister Credit di CRIF

33


WEB SECURITY

sono risultati essere assegni, per il restante 5% si trattava di cambiali.

Tipologia di finanziamento oggetto di frode Fonte: CRIF

Information Security n° 24 mar/apr 2014

Altro aspetto decisamente interessante che emerge dall’Osservatorio CRIF è che il fenomeno del furto di identità sta assumendo proporzioni significative anche per quanto riguarda le frodi perpetrate su cambiali e assegni. I casi riguardano in particolare l’utilizzo di carnet di assegni rubati o smarriti ed emessi falsificando la firma del titolare e sostituendosi ad esso. Sono però tutt’altro che isolati anche i casi in cui viene aperto un conto corrente a nome di un’altra persona per poi emettere assegni a suo nome. In entrambi i casi l’assegno viene inevitabilmente protestato e a pagarne le conseguenze è l’ignara vittima del furto di identità. Nello specifico, dallo studio di CRIF emerge che, nel primo semestre 2013, i titoli di credito protestati con firme falsificate a seguito di furto di identità sono stati oltre 2.500, per un importo superiore agli 11 milioni di Euro. Nel 95% dei casi gli effetti protestati

34

I BENI PIÙ FREQUENTEMENTE ACQUISTATI ATTRAVERSO UN FINANZIAMENTO FRAUDOLENTO Anche nel I semestre 2013 le principali tipologie di prodotti acquistati illecitamente ricorrendo ad una frode creditizia sono state auto e moto, con quasi 1/3 dei casi totali, e gli articoli di elettronica-informatica-telefonia (ad esempio computer, smartphone e tablet) che tipicamente si collocano nella fascia di importo più bassa. Confermano una quota significativa anche i casi relativi all’acquisto di mobili e prodotti di arredamento ed elettrodomestici, anche per importi di tutto rispetto. L’ANALISI PER FASCE DI IMPORTO Per quanto riguarda le fasce d’importo, rispetto al passato emerge una crescita delle frodi di importo superiore ai 10.000 Euro (+19,7% rispetto al I semestre 2012). In ogni caso, la fascia al di sotto dei 1.500 Euro si conferma quella più soggetta ai casi di frode, con circa il 38% del totale dei casi. Questo trend risulta fondamentalmente in linea con l’elevata incidenza sul totale dei prestiti finalizzati e si spiega con il fatto che i finanziamenti di piccolo importo, specie se erogati non allo sportello

Fonte: CRIF

della banca o della società finanziaria ma direttamente presso gli esercizi commerciali, si caratterizzano per tempi di erogazione più rapidi e controlli meno sofisticati sull’identità del richiedente credito. D’altro canto, l’aumento dei casi nella fascia superiore ai 10.000 Euro sembra suggerire che la sofisticazione con cui vengono commesse le frodi sia sempre maggiore. IL PROFILO DELLE VITTIME Relativamente alla distribuzione per genere, dall’analisi di CRIF emerge un aumento dei casi di frode tra le donne (38,3% dei casi totali; +9,7% rispetto al corrispondente periodo 2012), concentrati in particolare nelle fasce di importo più basse. Sotto il profilo socio-demografico, invece, si conferma la tendenza già evidenziata nelle precedenti rilevazioni: il maggior numero di vittime si concentra nella classe di età compresa tra 18 e 30 anni, con il 32,8% del totale, in preoccupante aumento rispetto al corrispondente semestre 2012 (+9,9%). Seguono la classe di età compresa tra 31 e 40 anni, con il 24,6%, e quella tra 41 e 50 anni, con il 20,5%. Non può che destare preoccupazione il fatto che ancora una volta siano proprio i giovani, che almeno teoricamente dovrebbero avere una maggiore consapevolezza verso questa tipologia di fenomeni, a risultare le vittime più frequenti di frodi creditizie perpetrate attraverso un furto di identità. Spesso sono però proprio gli under 30 a sottovalutare i rischi ai quali si espongono ad esempio pubblicando i propri dati personali sul web, in particolare sui social net-


WEB SECURITY

work, fornendo così ai frodatori un facile accesso alle informazioni utilizzate per richiedere finanziamenti fraudolenti. Per quanto riguarda gli importi dei finanziamenti ottenuti fraudolentemente, essi crescono all’aumentare dell’età della vittima: infatti per gli over 50 si rileva una maggiore incidenza di frodi che superano i 10.000 Euro. Relativamente alla ripartizione delle frodi per regione, infine, essa mostra una maggiore incidenza in Campania, Sicilia e Lombardia, seguite da Lazio, Puglia e Piemonte. Si tratta nella sostanza delle medesime regioni che anche nel I semestre 2012 occupavano i primi posti del ranking.

I TEMPI DI SCOPERTA Un dato decisamente allarmante che emerge dallo studio di CRIF riguarda i tempi di scoperta della frode: circa un caso su due viene scoperto dopo più di un anno ma continuano ad aumentare (+14% rispetto al corrispondente periodo 2012) le frodi scoperte addirittura dopo oltre 5 anni. Questo aspetto risulta particolarmente delicato in quanto più la frode viene scoperta in ritardo, tanto più sarà difficoltoso per la vittima ripristinare la propria posizione creditizia, senza considerare che molto più limitate saranno anche le possibilità di individuare l’autore del crimine. Inoltre, con l’allungarsi dei tempi di detection può peggiorare, anche termini di responsabilità legale, la posizione dell’Istituto che ha erogato il fi-

nanziamento nei confronti della vittima di furto d’identità. I CONSUMATORI COME POSSONO DIFENDERSI? QUALE RUOLO POSSONO SVOLGERE LE AZIENDE DI CREDITO? Essere consapevoli dell’esposizione dei propri dati personali e finanziari sul web

e avere una loro gestione attenta è sicuramente il primo passo per evitare di scoprire troppo tardi di essere vittima di furto di identità, con i relativi danni finanziari e reputazionali. Le aziende di credito possono svolgere un ruolo prezioso di informazione ai consumatori per la crescita della consapevolezza dei rischi e dei metodi per proteggersi più efficacemente. Oltre a monitorare attentamente e diffondere conoscenza sul fenomeno delle frodi con un osservatorio dedicato, CRIF da tempo partecipa attivamente ai principali tavoli di lavoro formati da organi istituzionali ed esperti di settore sui temi di prevenzione e contrasto di questi fenomeni illeciti. A fianco delle aziende di credito nei processi di fraud assessment e prevention, CRIF con la linea Mister Credit è stata la prima società in Italia a occuparsi in maniera specifica della tutela antifrode per i consumatori, consapevole della necessità di sistemi di prevenzione e protezione dei dati personali di tipo proattivo. Soluzioni che gli istituti di credito, in partnership con CRIF, possono offrire alla clientela arricchendo la propria gamma di servizi. 

Information Security n° 24 mar/apr 2014

Fonte: CRIF

Un dato decisamente allarmante che emerge dallo studio di CRIF riguarda i tempi di scoperta della frode: circa un caso su due viene scoperto dopo più di un anno, ma continuano ad aumentare (+14% rispetto al corrispondente periodo 2012) le frodi scoperte addirittura dopo oltre 5 anni

35


PRIVACY

AUDIT, ATTIVITÀ DEL PRIVACY OFFICER A VANTAGGIO DELLA SICUREZZA DEI DATI È prioritario ed urgente che siano fissate nuove regole a livello internazionale idonee a garantire un livello di sicurezza dei dati adeguata, tanto è che la figura del privacy officer, voluta dalla proposta di regolamento europeo, si sta nel frattempo comunque affermando anche negli scenari aziendali italiani Nicola Bernardi

Information Security n° 24 mar/apr 2014

Presidente Federprivacy

36

Una lacuna che spesso si verifica nelle aziende, è quella di non verificare dovutamente le possibili lacune. Anche se il nostro italico dna, a tratti anche un po’ geniale, spesso ci dà una mano nel risolvere i problemi più complessi, è anche vero che gran parte dei disastri accadono proprio per mancanza di controlli periodici adeguati, e sarebbe quindi possibile evitarli se si adottasse un efficace comportamento proattivo. Quando si parla di infrastrutture informatiche, il pericolo del disastro si percepisce in modo meno lampante rispetto a questioni legate alla sicurezza fisica, eppure recentemente il primo illustre Garante della Privacy Stefano Rodotà, ha affermato che “i dati personali degli oltre 500 milioni di abitanti dei 28 Paesi dell’Unione Europea nel 2020 avranno un valore commerciale stimato attorno ai 1.000 miliardi di euro”, l’8% del Pil europeo. Una vera miniera d’oro. Non a caso, la diatriba del nuovo regolamento europeo sulla protezione dei dati, che va avanti dal 25 gennaio 2012,

quando è stata presentata dalla Commissione Europea, vive adesso una fase di impasse proprio nel momento in cui era attesa la sua approvazione definitiva, con i grandi colossi del web da una parte, che non vogliono rinunciare ai loro business miliardari che sono abituati a fare attraverso i dati, e sul fronte opposto la maggior parte dei governi politici dell’area UE, che chiedono invece regole e multe decisamente più severe, con una comprensibile “voce fuori dal coro”, cioè UK, che per motivi di storica alleanza e amicizia con gli USA, svolge il ruolo di imbonitore invitando il resto degli stati membri UE ad essere ragionevoli. Per quanto possa prevalere il “buon senso”, è assodato però che è prioritario ed urgente che siano fissate nuove regole a livello internazionale idonee a garantire un livello di sicurezza dei dati adeguata, tanto che, anche se l’entrata in vigore del regolamento si sta facendo attendere più del previsto, la figura del privacy officer, voluta dalla proposta di regolamento europeo, si sta nel frattempo comunque affermando

anche negli scenari aziendali italiani, prima ancora che questa possa essere introdotta per obbligo di legge. Badando più alla sostanza che ai formalismi, nella proposta di regolamento, il ruolo del responsabile della protezione dei dati (il privacy officer) è presentato come una figura proattiva, con compiti di responsabilità sul sistema di gestione dei dati aziendale, per prevenire o comunque ridurre al minimo il rischio di violazioni, e quindi di potenziali sanzioni, danni, e pericoli di risarcimenti. Riguardo a questo, è infatti degno di nota che ai sensi delle previsioni dell’art.37 della proposta di regolamento, il privacy officer non deve essere solo un esperto giuridico della normativa, ma ha anche il ruolo di “controllore”, avendo l’onere di “sorvegliare l’attuazione e l’applicazione delle politiche in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e gli audit connessi”. Per chi non avesse tanta dimestichezza


PRIVACY

rifica; Da non trascurare che, i risultati e l’esito complessivo dell’audit (conclusioni) deve essere documentato attraverso un audit report. Eventuali anomalie (non conformità, punti deboli, difetti, raccomandazioni, ecc) devono essere dettagliatamente precisate. Il report deve contenere o richiamare le modalità per correggere le anomalie. Il rapporto (o relazione di audit) deve essere spiegato e consegnato all’ufficio o reparto auditato, affinchè possa attivarsi per risolvere le non conformità rilevate con le opportune azioni correttive. In pratica, il privacy auditor è il medico della situazione, l’azienda auditata è il paziente, e il rapporto di audit è la ricetta con i medicinali da prendere per guarire se è stato appurato uno stato di malattia. Certo, a tirare le somme, le competenze richieste al Privacy Officer sono davvero molteplici e complesse. Come se non fosse bastato che questa figura avesse dovuto conoscere bene la normativa sulla protezione dei dati, e possedere skills informatiche, adesso il fatto di dover conoscere anche i sistemi di gestione basati sulle norme ISO e gestire le attività di audit, può sembrare davvero troppo. Ma è l’Europa a chiederlo, e soprattutto è il valore che hanno assunto i dati nei nuovi scenari mondali, che identificano i dati come un vero e proprio “asset” aziendale. D’altra parte, i privacy officer oltreoceano sono professionisti altamente preparati, nonchè pagati profumatamente, e per chi possiede già una parte degli skills necessari, può valere la pena adoperarsi per completare il proprio profilo per poter fruire delle

opportunità interessanti nel mondo delle nuove professioni che vivono un trend positivo, come quelle dei privacy professionals. Con competenze così variegate, un bel contributo per fissare i paletti e stabilire quali debbano essere le best practices del modus operandi del Privacy Officer, come la gestione degli audit in tema di privacy, verrà dal fronte della normazione volontaria, dal quale stanno per partire le attività finalizzate a creare una norma nazionale su questa figura professionale. Da gennaio 2014, Federprivacy è infatti diventata socio effettivo UNI, e già a maggio sono attese le prime attività di normazione per coinvolgere al tavolo dei lavori le istituzioni e gli enti pubblici interessati, anche se nel frattempo sono già molte le grandi aziende e le multinazionali richiamate dalle tematiche della protezione dei dati personali che hanno manifestato il loro interesse a vedere la pubblicazione di una specifica norma riconosciuta a livello nazionale sulla figura professionale del privacy officer. Che sia una legge o meno a imporla, la previsione di un privacy officer nell’organigramma aziendale può solamente giovare a una impresa che decide di designarlo. Ecco perchè un’azienda il cui core business gira intorno ai dati non può trascurare di sottoporsi a un check-up periodico per verificare il proprio stato di salute attraverso un processo di audit. Inutile dire che, se teniamo alla nostra salute, è fondamentale rivolgersi a un buon medico, e non al primo che capita solo per sentirsi dire che scoppiamo di salute. 

Information Security n° 24 mar/apr 2014

con i sistemi di gestione, l’audit, consiste in una valutazione indipendente che si svolge periodicamente sulla base di un campionamento volta a ottenere evidenze, relativamente ad un determinato oggetto (l’azienda), e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno. Il concetto di audit può essere applicato a molte attività, comprese quelle della gestione dei dati, come è previsto dallo stesso Regolamento Europeo. L’auditor (il valutatore) è invece la persona che ha caratteristiche personali dimostrate e la competenza per effettuare un audit, nel nostro caso, dovrà essere quindi un esperto di data protection sia a livello giuridico che informatico. Se è il Privacy Officer a svolgere il ruolo di auditor, egli deve essere oggettivo, imparziale e, soprattutto, non deve avere conflitti di ruolo con l’oggetto dell’audit. In pratica, non deve avere responsabilità dirette con l’organizzazione o con il reparto/ufficio valutati. Una caratteristica dell’auditor spesso trascurata è la spiccata capacità comunicativa, di gestione delle risorse umane centrata sull’assertività nonché l’abilità di persuadere grazie alla condivisione più che al mero e burocratico richiamo a prescrizioni e regolamenti. Come negli altri ambiti, anche nel sistema di gestione privacy aziendale, un audit deve avere sempre fissato un obiettivo, che può essere per esempio: • verificare il grado di conformità alla normativa vigente, attualmente il Dlgs 196/2003 ed i provvedimenti del Garante per la protezione dei dati personali, in futuro il Regolamento Privacy UE • verificare il grado di conformità alle privacy policy aziendali, ovvero i regolamenti privacy interni dettati dal titolare del trattamento, che tutti i dipendenti sono tenuti ad osservare • qualificare un fornitore di servizi che implichino la gestione e/o il trattamento di dati, (es. un call center in outsourcing, o semplicemente il consulente del lavoro che elabora le buste paga), per verificare che questo soddisfi la normativa privacy e le nostre privacy policy aziendali, al fine di utilizzarlo successivamente come fonte di approvvigionamento; • accertare l’efficacia di azioni correttive intraprese a seguito di “non conformità” scaturite da un precedente audit di ve-

Il ruolo del responsabile della protezione dei dati (il privacy officer) è presentato come una figura proattiva, con compiti di responsabilità sul sistema di gestione dei dati aziendale, per prevenire o comunque ridurre al minimo il rischio di violazioni, e quindi di potenziali sanzioni, danni, e pericoli di risarcimenti

37


VETRINA

PLUSTEK OPTICSLIM 1180 LA DIGITALIZZAZIONE DEI DOCUMENTI A3 E TABLOID DIVENTA VELOCE

www.plustek.com/it

Plustek Technology, Azienda leader a livello mondiale nell'ambito delle soluzioni di imaging e per la videosorveglianza, presenta il suo nuovo scanner OpticSlim 1180. Progettato per digitalizzare documenti con dimensioni fino a 12" x 17" (circa 30 x 43 cm) con ottimi risultati in termini qualitativi, OpticSlim 1180 è ideale per acquisire documenti artistici e storici, album fotografici, materiale grafico, ricerche di genealogia, quotidiani e altri documenti di grandi dimensioni. Compatibile con Windows 8, questo nuovo scanner piano USB consente di digitalizzare alla risoluzione di 1200 dpi un grande documento in formato tabloid in appena 15 secondi. OpticFilm 1180 dispone, inoltre, di quattro pulsanti "one-touch" per semplificare e automatizzare le funzioni più comuni, come ad esempio: digitalizzare, eseguire l'OCR, creare PDF e mandare email, rendendo tutto il processo estremamente rapido.

HUAWEI PRESENTA IL PIÙ SOTTILE ATOM ROUTER AL MONDO

www.huawei.com/mwc2014/

Huawei, azienda leader nelle soluzioni di Information e Communication Technology, ha presentato al Mobile World Congress 2014 Atom Router, il più sottile carrier-grade router al mondo. Il dispositivo, della dimensione di un dito, consente di visualizzare l’O&M (Operation and Maintenance) delle reti IP, di misurare in tempo reale le prestazioni per utente e per servizio. Il router può essere facilmente installato su qualsiasi nodo della rete. Questo router innovativo dimostra la forte competitività di Huawei nel campo delle reti IP. Il router altamente integrato gestisce piattaforme software avanzate, utilizza tecnologie fotoelettriche e chip NP e sfrutta le tecniche più all'avanguardia nel settore. Atom Router si attiva immediatamente dopo essere stato inserito in una porta di un dispositivo della rete esistente, come una stazione base, un router o uno switch, senza bisogno di alimentazione, con un ottimo rapporto costo-efficacia.

38

www.kaspersky.com/it/

Information Security n° 24 mar/apr 2014

KASPERSKY LAB RILASCIA SAFE BROWSER PER WINDOWS PHONE Kaspersky Lab annuncia la disponibilità dell’applicazione gratuita Kaspersky Safe Browser per Windows Phone che ha lo scopo di salvaguardare la navigazione web da smartphone con sistema operativo mobile di Microsoft. Il download dell'applicazione è disponibile dal Windows Phone Store. La nuova soluzione offre protezione contro il phishing. Kaspersky Safe Browser per Windows Phone blocca i link che portano a contenuti che potrebbero essere dannosi, grazie al fatto che riceve in tempo reale le informazioni sui siti nocivi direttamente dal database anti-phishing di Kaspersky Security Network basato su cloud. Oltre a bloccare i link di phishing, l'applicazione consente di filtrare le risorse web in base al loro contenuto. Gli utenti possono scegliere quale tipologia di siti bloccare, come ad esempio i siti pornografici, le pagine che contengono parole oscene o scene di violenza, i siti di giochi, i siti di social networking, ecc.


VETRINA

SMARTNA-X HD www.symbolic.it/prodotti/network_critical/

La piattaforma SmartNA-X HD è il membro più recente della famiglia di Network Packet Broker SmartNA-X. SmartNA-X HD utilizza la tecnologia Drag-n-Vu per offrire il più semplice metodo di configurazione per i sistemi di network monitoring. SmartNA-X HD è una soluzione che tramite upgrade software permette di estendere le capacità del sistema: partendo dalla funzionalità base di aggregazione, è possibile aggiungere feature di filtering e arrivare a una soluzione di Packet Broker completa in grado di svolgere attività di load balancing session aware, header stripping e packet slicing. La tecnologia Drag-n-Vu permette di configurare il sistema e renderlo operativo in brevissimo tempo. I prodotti Network Critical sono caratterizzati da una estrema modularità: le varie opzioni di chassis e moduli permettono di avere soluzioni che si adattano alle esigenze dell'utente supportando tutte le tecnologie presenti sul mercato.

WD RED, 4 TERABYTE IN 3,5 POLLICI PER USO INTENSIVO

www.wdc.com/it/

Con la serie RED da 2,5 e 3,5 pollici, WD ha progettato degli hard disk per piccoli NAS per la casa e l'ufficio. Dato l'indirizzo di mercato, il form factor e le prestazioni non sono state il fulcro dello sviluppo: WD ha lavorato invece per realizzare prodotti con qualità e resistenza in primo piano. Per operare in ambienti NAS, inoltre, bisogna consumare il meno possibile e generare poco calore. La versione da 2,5 pollici del WD RED è molto interessante, perché gli hard disk per i NAS in questo formato non sono stati pensati per ambienti SOHO, ma sono più adatti al settore professionale. Tra le mani però abbiamo una soluzione da 3,5 pollici da 4 TB, il WD RED WD40EFRX. Disponibile a circa 170 euro, questa soluzione ha piatti che girano a 5400 RPM, con 64 MB di cache e un MTBF - tempo medio tra i guasti - stimato in 1.000.000. Il prodotto è coperto da tre anni di garanzia.

DA BARRACUDA NETWORKS ARRIVA LA NUOVA VERSIONE DI COPY

Information Security n° 24 mar/apr 2014

www.copy.com/price/

Barracuda Networks, Inc. (NYSE: CUDA), fornitore leader nelle soluzioni di sicurezza e storage in modalità cloud, presenta una serie di nuove funzionalità, aggiornamenti e integrazioni per Copy, la piattaforma di sincronizzazione e condivisione file. La nuova versione di Copy nasce con l’obiettivo di continuare a semplificare il modo in cui le organizzazioni collaborano e lavorano, ovunque e con qualunque dispositivo. Copy integra le esigenze aziendali, come la gestione utente e dei gruppi, con i controlli per proteggere i dati aziendali, consente un setup e una gestione semplificata per velocizzare il flusso di lavoro, offrendo allo stesso tempo agli utenti opzioni flessibili per accedere e condividere dati. Gli utenti di Copy possono facilmente firmare, salvare e condividere documenti in modo sicuro dentro e fuori la rete aziendale.

39


COMITATO CONSULTIVO

www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA

Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali

Raoul Chiesa - Founder, Security Brokers Inc.

Elio Molteni - Presidente AIPSI, ISSA Italian Chapter

Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis

Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato

Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT

Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - HP EMEA - Communication & Media Solutions, RealTime BSS (RTBSS), Center of Excellence Manager

INDICE INSERZIONISTI

Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00

Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria

Abbonamento annuale Euro 52,00

Stefano Zanero - Responsabile Tecnico, Secure Network

Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma

II COP. III COP. IV COP. PAG. 16 PAG. 25

Direttore Responsabile Maria Giulia Mazzoni

Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio

Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter

WATCHGUARD GFI FUTURE TIME IS ABBONAMENTI TREND MICRO

Information Security Anno V - n. 24 Marzo/Aprile 2014

BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it

PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA

Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Marzo 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma




Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.