INDICE My Newsroom è una risorsa aziendale creata per aumentare la funzionalità e la fruibilità delle redazioni tradizionali online e promuovere le attività sui social media e i contenuti multimediali diffusi da un’azienda. My Newsroom è destinata a favorire il dialogo e la condivisione delle informazioni. A differenza di una sala stampa online chiusa, il contenuto è accessibile non solo ai giornalisti, ma anche a tutti coloro con i quali l'azienda si impegna - clienti, partner e investitori - dando loro facile accesso alle notizie in tempo reale, ai contenuti redazionali, alle immagini, all’audio, ai video e ad altri file multimediali.
PRIMO PIANO
6
4
ATTUALITÀ
6 E-commerce: un’opportunità per valorizzare il Made in Italy e trarne vantaggio Stefano Sordi
11 Identità digitale, rischi ed opportunità
IDENTITÀ DIGITALE
12
Paolo Ardemagni
Identità digitale questione di privacy
15
Per accedere ai contenuti da QRCode, devi utilizzare un lettore QR. Inquadra il codice QR tramite la fotocamera digitale del tuo telefono. Il tuo cellulare aprirà l’indirizzo corrispondente. Se non hai un lettore QR installalo sul tuo cellulare o smartphone, puoi trovarne molti gratuiti nei negozi/store di applicazioni per il tuo cellulare (iTunes, App store, Android market, Blackberry Appworld, Ovi store, ecc.).
Information Security n° 27 set/ott 2014
QR
Marco Fanizzi
1
INDICE
BUSINESS CONTINUITY
18 Business continuity e disaster recovery …Facing the Murphy’s laws… Emanuele De Lucia
24
SCENARI
La minaccia più grande viene dall’interno Marco Scattareggia
9
Information Security n° 27 set/ott 2014
42
2
Sempre più italiani visitano siti maligni VETRINA
BUSINESS SOLUTION
EDITORIALE
di Maria Giulia Mazzoni Direttore Responsabile
IDENTITÀ DIGITALE, NON C’È OPPORTUNITÀ PRIVA DI RISCHI late tramite cloud server; dall’altro cresce l’esigenza di proteggere le informazioni rese ‘volatili’ da queste nuove tecnologie, e di pari passo aumentano a vista d’occhio i criteri per mettere i dati in sicurezza”. Da questa certezza parte il nostro viaggio attraverso i rischi e le opportunità di una vita ‘online’. Un’analisi attenta soprattutto ai problemi legati alla tutela della privacy nei cui meandri saremo accompagnati da Marco Fanizzi, CEO di EMC Italia. Ma in questo numero non ci occuperemo solo di questo, e come sempre la rivista Information Security analizzerà le molte sfaccettature della sicurezza informatica. Ci faremo guidare da Stefano Sordi nell’affascinante mondo dell’e-Commerce chiedendoci come (e quanto) questo possa rappresentare un volano per il nostro Made in Italy, e snoccioleremo assieme a Emanuele De Lucia tutte le tematiche legate alla Business Continuity, scoprirendo come tanto più le organizzazioni andranno a basare il loro ‘business’ sull’ Information Technology (IT) “tanto più sarà necessario un piano di Business Continuity (BC) e Disaster Recovery (DR) dettagliato ed in grado di affrontare efficacemente qualsiasi evenienza avversa”. Riprenderemo con Marco Scattareggia lo spinoso problema delle frodi interne, ossia quelle perpetrate da impiegati, dirigenti e a volte anche dagli stessi proprietari di una azienda. Buona lettura.
Information Security n° 27 set/ott 2014
el pieno dell’European Cyber Security Month (ECSM), ossia il mese che L’ENISA (European Union Agency for Network and Information Security) ha dedicato alle questioni legate alla Sicurezza Informatica, la rivista Information Security si dedica a sviscerare le problematiche legate alla cosiddetta identità digitale. Partiamo da una riflessione di merito: la nostra vita quotidiana ha da tempo ‘traslocato in rete’. I report statistici ci informano che oggi circa un terzo della popolazione mondiale viaggia abitualmente su Internet (dato questo destinato a crescere) e inserisce i propri dati per accedere ad una variegata serie di operazioni. Sempre più spesso capita di gestire i propri account e di effettuare operazioni che comportano l’inserimento di dati personali attraverso (uno o più) dispositivi mobili ed i sistemi Cloud based. Cosa ne consegue? A spiegarcelo entrando nei dettagli è Paolo Ardemagni, Amministratore Delegato di Boole Server: “Da un lato sempre più spesso i contenuti sono concepiti per un utilizzo in mobilità, e le applicazioni progettate per essere veico-
3
ATTUALITÀ
Sicurezza informatica, aumentano gli attacchi Il Rapporto Clusit 2014 sulla sicurezza informatica delinea una situazione preoccupante: gli attacchi informatici “gravi” aumentano in maniera significativa sia in termini di quantità e di valore economico dei dati sottratti. Tra i fenomeni più significativi emersi nei primi sei mesi del 2014 c’è il costante aumento del cybercrime, che rappresenta ormai il 60% degli attacchi analizzati (era il 36% nel 2011). A farne le spese sono soprattutto il settore governativo (26%), i servizi cloud e i social network (12%). Particolarmente significativo il fatto che oltre ai crimini informatici si registra la crescita del fenomeno dell’ “hacktivism” (che si assesta sul 29%). Si tratta di operazioni di hackeraggio informatico posto in atto da gruppi “antagonisti” che mirano ad operazioni di disturbo sul web.
Pericolo in rete, tutti preoccupati per Shellshock Una nuova minaccia preoccupa per gli utenti web. Si tratta di un bug capace di disturbare anche le macchine Apple e che potrebbe rivelarsi peggiore di Hartbleed. Si chiama Shellshock ed è una vulnerabilità che per gli utenti di computer potrebbe rappresentare una minaccia molto insidiosa e pericolosa, permettendo ai malintenzionati o agli hacker di prendere il controllo completo di un sistema. Per coglierne la pericolosità basti pensare che secondo il Dipartimento per la Sicurezza americana, se il temuto bug Heartbleed aveva su 10 un rischio 5, Shellshock raddoppia, 10/10 di pericolo. L’infezione Shellshock è capace di prender possesso di intere linee di comunicazione online restando ben nascosta per mesi e rilasciando poi “worms” capaci di bloccare terminali, rubare e distruggere dati o, peggio ancora, offrendo un coordinamento ad operazioni terroristiche.
Information Security n° 27 set/ott 2014
Ottobre è il mese dedicato alla Sicurezza Informatica
4
L'ENISA (European Union Agency for Network and Information Security) ha recentemente promosso l’European Cyber Security Month (ECSM), ossia ha dedicato l'intero mese di ottobre alle questioni legate alla Sicurezza Informatica. Saranno quindi organizzati eventi e manifestazioni in tutti i 27 paesi membri dell'Unione Europea. L'UE ha così deciso di varare linea comune in materia di sicurezza e di premere sull'acceleratore per promuovere tra i cittadini la conoscenza delle minacce informatiche e dei metodi per contrastarle. In Italia è il Clusit, Associazione Italiana per la sicurezza informatica, ad essere la principale protagonista di questa iniziativa, ed è proprio lei che assieme a 19 tra università e centri di ricerca sta promuovendo un totale di 27 eventi in Italia, di cui il primo è proprio la tappa veronese del Security Summit, il 2 ottobre.
ATTUALITÀ
Alfano: combattere il cybercrime è una priorità del semestre di presidenza italiano Il Centro Ue sul cybercrime, organismo di Europol, in occasione della Conferenza sulla strategia di sicurezza europea a cui hanno preso parte, tra gli altri, il ministro dell'Interno Angelino Alfano, il commissario Ue agli Affari interni Cecilia Malmstrom, il direttore di Europol Rob Wainwright, ed il coordinatore antiterrorismo Ue Gilles De Kerchove, ha scattato la fotografia di un fenomeno in preoccupante crescita. La criminalità digitale, spiegano, “non ha una struttura organizzativa tradizionale e utilizza aree di Internet, (Darknets), per il traffico di droga, di armi, e di materiale pedopornografico". Ma non solo. In forte crescita anche il riciclaggio di denaro, lo sfruttamento minorile ed altre attività criminose. Un quadro allarmante che ha spinto il ministro Alfano a porre il fenomeno del cybercrime tra le priorità della presidenza italiana del semestre Ue.
Dati on line, sai davvero dove vanno a finire? Quando devono inserire i propri dati su internet, milioni di cittadini sono ormai consapevoli, che saranno bersagliati da continue mail pubblicitarie e telefonate promozionali da parte di soggetti terzi che non hanno mai contattato. A sancire il dato di fatto è uno studio condotto da Federprivacy e pubblicato lo scorso mese. Su 2.500 siti web di enti e imprese italiane, in 1.690 casi non è rispettato l’obbligo di informare su come saranno trattati i dati personali o la richiesta di consenso al trattamento dei dati. Il 6% dei contravventori sono grandi aziende, multinazionali, enti pubblici, e anche personalità come artisti, politici ed altri vip. Nel 7% dei casi, a commettere tali violazioni sono aziende informatiche che sviluppano numerosi altri siti web e diventano moltiplicatori esse stesse di violazioni privacy online ad insaputa dei loro clienti.
Attenti alla privacy sugli smartwatch di nuova generazione
Information Security n° 27 set/ott 2014
Appena arrivato il nuovo smartwatch di Apple sta già facendo parlare di sé non solo per le sue prestazioni. Il primo a preoccuparsi degli aspetti legati alla privacy ed alla sicurezza dei milioni di dati che saranno raccolti dai dispositivi Apple è stato procuratore generale dello stato del Connecticut George Jepsen. L’autorità ha infatti inoltrato una lettera ufficiale al CEO di Apple Tim Cook chiedendo lumi circa il funzionamento del nuovo orologio tecnologico. Le principali perplessità riguardano gli aspetti legati alle informazioni sulla salute: in che modo Apple potrà memorizzare i dati raccolti sui propri server (frequenza cardiaca, calorie consumate, cicli di sonno), se soggetti terzi potranno avere accesso a questi dati, e quali politiche andranno messe in campo per tutelare la privacy medica degli utenti.
5
PRIMO PIANO
pp
E-COMMERCE: UN’OPPORTUNITÀ PER VALORIZZARE IL MADE IN ITALY E TRARNE VANTAGGIO
Stefano Sordi
Information Security n° 27 set/ott 2014
Direttore Marketing di Aruba
6
Secondo l’Internet Export Report Google-Doxa, la domanda mondiale di prodotti Made in Italy è cresciuta del + 4,1% e nel corso del 2013 le esportazioni di beni a marchio italiano hanno fatto guadagnare oltre 68 miliardi di euro1. Un business più che promettente sul quale puntare, soprattutto in un periodo in cui l’economia nostrana necessita di nuovi stimoli. Parlando di Made in Italy, la mente corre in autonomia verso quelli che sono i settori di riferimento nell’immaginario comune, come il design e la moda, ma c’è molto di più: basti pensare che l’enogastronomia italiana ha subito una crescita del + 5,2 % solo nell’ultimo anno2, ed ottimi risultati hanno ottenuto anche i settori dell’artigianalità in senso più ampio, dell’automazione e del turismo. Ragion per cui, qualunque settore del Made in Italy si stia rappresentando, la chiave del proprio successo sta nel saperne valorizzare l’identità: per farlo è necessario scegliere il canale che per-
metta di dare al proprio marchio tutte le opportunità che merita. In media, il 31,5% di fatturato export delle PMI che vendono Made in Italy arriva attraverso l’e-commerce3, in quanto tale mezzo permette di raggiungere un bacino di utenza elevatissimo e variegato, consentendo alla propria piccola e media impresa di crescere e presentarsi sul mercato internazionale senza intermediazione. Cosa fare, quindi, per approfittare di questa opportunità? Prima di tutto, bisogna iniziare a pensare all’e-commerce come mezzo privilegiato per valorizzare il proprio essere Made in Italy: Il Made in Italy è il terzo marchio più famoso al mondo4, affinchè venga recepito come prodotto è necessario che si affermi anche come filosofia e stile di vita5. Per ottenere tale risultato sarà utile: • creare un effetto visuale che ne esalti il concetto: utilizzare un logo Made in Italy o lavorare sulla base del tricolore può essere un buon punto di partenza • mostrare la propria artigianalità e ren-
dere visibile il proprio processo produttivo • raccontare il proprio prodotto, le sue caratteristiche e le sue peculiarità, quindi ciò che lo rende unico • esaltare la tradizione o l’innovazione (a seconda che il bene da commercializzare appartenga ad esempio al settore agroalimentare piuttosto che a quello del design): tali concetti, a prima vista incompatibili, rappresentano in effetti due realtà complementari, in quanto ogni prodotto nel corso del proprio ciclo di vita non resta immutato, ma anzi si adatta alle esigenze di carattere commerciale, normativo, ambientale, sociale e culturale __________________ 1
Liuc – Università Cattaneo – 2013 Report (Made in) Italy works? KPMG 3 Internet Export Report Google-Doxa 4 KPMG Italia, 2010 5 Indagine condotta da Assocamerestero 2
PRIMO PIANO
La domanda mondiale di prodotti Made in Italy è cresciuta del + 4,1% e nel corso del 2013 le esportazioni di beni a marchio italiano hanno fatto guadagnare oltre 68 miliardi di euro. Un business più che promettente sul quale puntare anche con l’e-commerce. Vediamo come
si sta puntando o creando un blog direttamente all’interno del proprio negozio online, così che il cliente abbia facilità nel reperire le informazioni principali in merito al prodotto • lavorare sul SEO: curare i contenuti del proprio sito per migliorarne il posizionamento nei motori di ricerca scrivendo tag title efficaci, ottimizzando gli URL delle pagine e citando i propri prodotti già in home page, che rimane la principale fonte di PageRank • creare campagne di AdWords con keywords legate al Made in Italy e al proprio prodotto: da Italian shoes a Italian food, fino a Italian design, potrà risultare utile monitorare le parole chiave digitate dagli utenti, modificando di conseguenza la propria selezione • diversificare i propri canali di vendita, approfittando ad esempio della visibilità che possono offrire i portali di prodotti: sono molti, infatti, gli acquirenti che utilizzano portali come Ciao o Shopping.com per confrontare prezzi e
Information Security n° 27 set/ott 2014
• rafforzare il legame con il territorio: mostrarsi attraverso Google Maps e raccontare qual è stato il concreto apporto dell’Italia relativamente a quel determinato prodotto • sfruttare l’associazionismo nato attorno al Made in Italy: Slow Food, Made in Italy produttori italiani o Federazione Moda Italia sono solo alcuni nomi riconosciuti a livello internazionale che possono dare credibilità e rivendicare la qualità del prodotto che si sta commercializzando. Indispensabile nel corso di questo processo è rendere visibile il made in Italy agli occhi dei propri acquirenti e per farlo potrà essere utile: • far crescere la propria notorietà attraverso la blogosfera: c’è un universo che pullula di blog di gourmet, moda, design e di italianità, grazie ai quali sarà possibile coinvolgere in prima persona il cliente ad esempio fornendo periodicamente dei video che mostrino il processo di produzione dei prodotti su cui
ARUBA S.p.A. Aruba S.p.A., fondata nel 1994, è la prima società in Italia per i servizi di web hosting, e-mail, PEC e registrazione domini. La società gestisce oltre 2 milioni di domini, 6 milioni di caselle e-mail, 3,8 milioni di caselle PEC, 20.000 server ed un totale di oltre 2 milioni di clienti. La società è attiva sui principali mercati europei quali Francia, Inghilterra e Germania e vanta la leadership in Repubblica Ceca e Slovacca ed una presenza consolidata in Polonia ed Ungheria. In aggiunta ai servizi di web hosting, Aruba fornisce anche servizi di server dedicati, housing e colocation, servizi managed, firma digitale, conservazione sostitutiva e produzione di smart-card. Dal 2011 ha ampliato la sua offerta con servizi Cloud. Aruba ha una grande esperienza nella gestione dei data center disponendo di un network europeo in grado di ospitare circa 60.000 server. Per ulteriori informazioni: www.aruba.it, http://e-commerce.aruba.it/
7
PRIMO PIANO
Information Security n° 27 set/ott 2014
valutarne il migliore • sfruttare i social network: creare collegamenti a Twitter, costruire una pagina Facebook insieme al proprio Facebook Shop o creare una pagina Google Plus completa di informazioni. Fondamentale, infine, è la scelta del dominio: mentre un dominio .com o .eu conferiscono un tratto più internazionale, il .it offre al proprio e-commerce orientato al Made In Italy una caratterizzazione fondamentale dalla quale non si può prescindere. Trattandosi di una vera e propria strategia di comunicazione, a seconda del proprio pubblico di riferimento, sarà possibile: • utilizzare il dominio .it come landing page principale per tutti i propri clienti • diversificare la propria strategia così
8
che gli IP italiani siano indirizzati sul .it, mentre quelli stranieri sul .com o .eu • registrare i domini dei principali mercati di riferimento (ad esempio .de o .co.uk) e rimandare rispettivamente gli ip tedeschi e inglesi sul sito nella propria lingua, con il dominio nazionale come appoggio. L’e-commerce è il canale che in assoluto offre le più valide opportunità per migliorare la competitività dell’export Made In Italy, impiegando budget compatibili con le risorse di gran parte delle PMI. Ma nonostante il comprovato valore offerto dal mezzo, la presenza su internet di PMI Made in Italy è ancora bassa: soltanto il 34% di queste ha un proprio sito internet ed un esiguo 13% lo utilizza per fare e-commerce6. E’ quindi necessa-
rio continuare a sensibilizzare le aziende italiane a fidarsi della tecnologia e pensare al canale online come ad un’opportunità in più per il proprio business. Agli occhi del cliente straniero il Made in Italy è sinonimo di elevata qualità del prodotto, design attraente, funzionalità, precisione e tecnica, ma senza l’adeguata visibilità, propria di un canale quale quello dell’e-commerce, anche il prodotto dalle potenzialità più elevate sarà destinato al fallimento: vendere un prodotto di qualità è importante ma intercettare il pubblico a cui venderlo è essenziale. __________________ 6
Indagine condotta da Assocamerestero
BUSINESS SOLUTION
per info
www.trendmicro.it
SEMPRE PIÙ ITALIANI VISITANO SITI MALIGNI Trend Micro presenta il report delle minacce informatiche del secondo trimestre 2014
lungo termine, non come una risposta sporadica a eventuali criticità”. Nel dettaglio, ecco quanto è accaduto in Italia nel secondo trimestre del 2014: L’Italia è scesa dal podio delle nazioni che inviano più spam, passando dal terzo posto del primo trimestre al quinto del secondo. La classifica dei paesi che inviano più spam è guidata dalla Spagna, seguita da Argentina, Stati Uniti e Germania. In Italia sono stati bloccati 670 milioni di indirizzi IP che inviano spam. In tutto il mondo più di 13 miliardi. L’Italia è entrata nella top ten dei paesi
maggiormente colpiti da malware diretti al settore dell’online banking. La classifica in questo caso è guidata da Giappone, Stati Uniti e India. Nel secondo trimestre 2014 sono stati ben 2.420 i malware diretti al banking che hanno colpito direttamente l’Italia. In tutto il mondo 121.000. L’Italia è entrata nella top ten dei paesi con il più alto numero di visite a siti malevoli. Anche in questo caso la classifica è guidata da Stati Uniti e Giappone con l’Italia terza a pari merito. Tradotto in cifre significa che gli italiani sono capitati in siti malevoli 37 milioni di volte.
Information Security n° 27 set/ott 2014
Sempre più italiani finiscono nelle trappole di siti malevoli. Questo è quanto rivela il report sulle minacce informatiche del secondo trimestre di Trend Micro, leader globale nella sicurezza per il cloud. Il documento, dal titolo “Invertire la tendenza degli attacchi informatici. Rispondere alle tattiche in evoluzione” rivela anche che l’Italia scende finalmente dal podio delle nazioni che spammano di più, ma purtroppo cresce il numero di attacchi all’online banking nel nostro paese. In generale, il report di Trend Micro mostra che le vulnerabilità ad alto rischio e le violazioni di dati hanno continuato a dominare la prima metà del 2014. La severità di questi attacchi si è intensificata contro le istituzioni finanziarie, le banche e le catene di negozi retail, provocando la cifra record di 10 milioni di dati personali violati nel mese di luglio. Al 15 luglio, infatti, erano state raccolte più di 400 denunce di incidenti di violazioni di dati. Questo dato sottolinea ancora una volta come le aziende e le organizzazioni abbiano bisogno di una strategia di difesa efficace, per proteggere i loro dati sensibili. Gastone Nencini, Country Manager Trend Micro Italia, ha commentato: “Le organizzazioni devono considerare la sicurezza informatica come un tassello primario di una strategia di business a
9
PROTAGONISTI IDENTITÀ DIGITALE Nell’ambito di una sempre maggiore attenzione ai problemi legati alla sicurezza informatica, la comunicazione è chiamata ad una costante evoluzione. Alla luce di questa esigenza, la Rivista Information Security pubblica “Prota-
gonisti”, una serie di Speciali monotematici che affrontano verticalmente una tematica del piano editoriale, rendendo in questo modo protagonisti sia gli autori sia le aziende di riferimento.
PRIVACY E SICUREZZA Uscita: Gennaio/Febbraio
SICUREZZA DISPOSITIVI MOBILI Uscita: Marzo/Aprile
CLOUD COMPUTING SECURITY Uscita: Maggio/Giugno
DISASTER RECOVERY E BUSINESS CONTINUITY Uscita: Luglio/Agosto Information Security n° 27 set/ott 2014
CYBERCRIME Uscita: Novembre/Dicembre
11
PROTAGONISTI IDENTITÀ DIGITALE
“ Information Security n° 27 set/ott 2014
Un terzo della popolazione mondiale è su Internet e a breve la percentuale si avvicinerà al 50%. In questa maniera si verifica una pericolosa esposizione delle identità digitali che vengono utilizzate dagli operatori online per l’accesso a servizi digitali, quali email, social network, eCommerce.
12
”
IDENTITÀ DIGITALE
IDENTITÀ DIGITALE, RISCHI ED OPPORTUNITÀ
Paolo Ardemagni Amministratore Delegato di Boole Server
garantire la sicurezza dell’identità. La mancanza di criteri minimi di protezione, espone le identità digitali ad una serie di rischi tra cui: • furto di identità ed impersonificazione: comporta l’utilizzo di un’identità digitale da parte di un soggetto o di un’entità terza rispetto al corretto “titolare” dell’identità. Un’identità rubata può essere utilizzata per impersonificare un soggetto terzo e compiere azioni/transazioni e comunicazioni in nome del reale titolare dell’identità (invio di email, transazioni online, pagamenti, ecc.); • violazione della privacy: alcuni attributi di un’Identità contengono informazioni personali protette dalla legge sulla privacy. Un’identità non opportunamente protetta può comportare una violazione della privacy, rendendo noti attributi confidenziali a terzi. In alcuni casi queste violazioni avvengono non solo per violazione del sistema di gestione dell’identità (hacking), ma anche per configurazioni non corrette da parte della piattaforma o del sistema; • truffe online: nel caso d’identità digitali di tipo finanziario (dati di una carta di credito), il loro uso non autorizzato comporta frodi e truffe online (uso non autorizzato della carta); • forgiatura di Identità: consiste nella
Information Security n° 27 set/ott 2014
Un terzo della popolazione mondiale è su Internet e a breve la percentuale si avvicinerà al 50%. La tendenza infatti è sempre più verso il mobile e il Cloud, ma a distanza di 20 anni dall’arrivo di queste innovazioni tecnologiche, gli utenti e le aziende italiane non sono ancora pronte. Oggi è sempre più frequente accedere alle proprie e-mail e ad altri dati personali da più di un dispositivo il più delle volte mobile. Questo fenomeno dà luogo a due effetti contrapposti: da un lato sempre più spesso i contenuti sono concepiti per un utilizzo in mobilità e le applicazioni progettate per essere veicolate tramite cloud server; dall’altro cresce l’esigenza di proteggere le informazioni rese “volatili” da queste nuove tecnologie e di pari passo aumentano a vista d’occhio i criteri per mettere i dati in sicurezza. Due tendenze che nel loro rapido affermarsi generano confusione tra gli utenti. In questa maniera si verifica una pericolosa esposizione delle identità digitali, che vengono utilizzate dagli operatori online per l’accesso a servizi, quali email, social network, eCommerce, e che sono di norma costituite da un nome utente e password oltre a una serie di attributi funzionali alla fruizione del servizio e solitamente non sono soggette a definite indicazioni e raccomandazioni volte a
13
IDENTITÀ DIGITALE
Information Security n° 27 set/ott 2014
Boole Server è la soluzione leader di mercato per la protezione centralizzata dei dati e per la prevenzione del furto e della perdita di documenti condivisi e riservati. Scelto da centinaia di clienti in tutto il mondo, da grandi marchi internazionali a piccole imprese, Boole Server protegge la condivisione di dati confidenziali, sia all’interno (sui server) che all’esterno dell’azienda (iPad, iPhone, Tablet e smartphone Android) La soluzione Boole Server è attualmente distribuita in oltre 20 Paesi grazie a una fitta rete di partner e di uffici in Europa, Medio Oriente e Stati Uniti. Per ulteriori informazioni: www.booleserver.com
14
creazione di un’identità collegata a un’entità diversa da quella a cui l’identità si riferisce. Ad esempio, la creazione di un account di email a nome di un terzo. A tali rischi sono soggetti soprattutto gli utenti finali di internet, considerati all’interno del sistema l’anello debole della catena “internet”. A tal proposito, rileviamo che anche la maggior parte degli utenti business hanno familiarità con l’uso degli antivirus, firewall e DRM (Digital Right Management), ma non sanno tutelarsi dalla perdita o dal furto dei dati riservati: documenti, progetti, ricerche, dati personali, strategie aziendali, ecc. Inoltre, da indagini svolte a livello internazionale risulta che anche chi dovrebbe conoscere molto bene questa tipologia di rischio è il primo a smarrire documenti, pc portatili, tablet e smartphone in luoghi pubblici. Ben il 35% dei dispositivi portatili e il 38% dei telefoni cellulari vengono persi o rubati durante i viaggi e l’82% di essi sono destinati a non essere più recuperati. L’Italia è ancora indietro sia da un punto di vista giuridico-normativo che imprenditoriale, soprattutto per quanto riguarda il fenomeno del Cloud. Presente da molti anni da un punto di vista teorico, è entrato nell’utilizzo quotidiano delle persone da poco. Inoltre l’utilizzo del Cloud
Computing avviene principalmente per i servizi e-mail e basici, tralasciando quasi completamente gli altri utilizzi più marcatamente business. Il “mondo” si sta muovendo con sempre più veemenza verso il mobile e quindi verso la “nuvola”, e sulla nuvola bisogna essere certi che i dati siano al sicuro. Le tecnologie cloud, rappresentano un’opportunità enorme per lo sviluppo dell’economia, non solo digitale ma anche e soprattutto reale poiché, se adeguatamente implementate nei processi aziendali, consentono un’importante razionalizzazione dell’attività produttiva e una sensibile riduzione degli investimenti tecnologici. Ci sono tuttavia alcuni ostacoli che si frappongono all’uso dei servizi cloud da parte delle aziende. Innanzitutto c’è una distanza culturale: da una recente ricerca commissionata da Google, emerge che il 60% delle PMI italiane non ha neanche una vera e propria funzione ICT interna, così che la comprensione dei benefici del cloud a questa vasta platea di potenziali utilizzatori appare assai lontana. Inoltre non dobbiamo dimenticare la sicurezza dei dati in Cloud! E’ indispensabile mettere in guardia tutte le aziende e tutti coloro che condividono informazioni rilevanti per il loro business sia sulla propria rete aziendale che sul Cloud, che devono sceglire con cura la soluzione più sicura per la
protezione dei dati sensibili. Quando abbiamo iniziato a progettare Boole Server ci siamo concentrati, a differenza della maggior parte dei competitor, sul dato e non sulla sicurezza periferica (firewall e antivirus). Abbiamo sviluppato un software, riconosciuto a livello mondiale quale migliore sistema di cifratura, in grado di proteggere il file sia esso Office, jpg, dwg, AVI, MPEG senza comprometterne la condivisione, la modifica e tutte quelle funzioni necessarie all’utilizzo quotidiano, compreso l’invio di file tramite mail. Boole Server cifra con algoritmi usati in ambito militare i file e da la possibilità ai “proprietari intellettuali” di concedere autorizzazioni granulari agli utilizzatori; abbiamo così chi può solo leggere un documento, altri che lo potranno stampare e/o modificare e altri ancora che non potranno salvarlo neanche su chiavette USB. Proprio in questi giorni abbiamo chiuso accordi con alcune società sia italiane che inglesi per l’utilizzo di Boole Server quale software per la protezione di tutti i dati presenti sul Cloud. Con Boole Server si potrà mettere anche sulla “nuvola” qualunque informazione, sia personale che professionale, con grande facilità e tranquillità senza vivere nel dubbio che qualche sistemista curioso o “visitatore indesiderato” possa avere accesso ai nostri dati.
PROTAGONISTI IDENTITÀ DIGITALE
IDENTITÀ DIGITALE QUESTIONE DI PRIVACY Marco Fanizzi CEO di EMC Italia
zione e firma. Ma come si colloca il tema della privacy in questo scenario? Gli sforzi che si stanno facendo in tema di identità digitale puntano principalmente a mettere il cittadino nelle condizioni di poter dialogare in rete con la Pubblica Amministrazione, dotandolo di uno strumento per l’identificazione certa degli individui sia nel mondo fisico sia in quello virtuale. Ma i cittadini, in rete, non solo non si confrontano con la sola Pubblica Amministrazione ma rivestono anche ruoli differenti: sono consumatori quando acquistano un bene o un servizio, sono clienti quando dispongono operazioni, sono infine utenti quando richiedono informazioni. I dati che tutti noi riversiamo in rete sono esponenzialmente in crescita: come già confermato da un recente studio di EMC - in collaborazione con IDC - i cittadini sono immersi in un universo digitale che moltiplica le sue dimensioni ogni biennio, con una crescita che sarà pari a dieci volte tra il 2013 e il 2020, passando dai 4.4 trilioni di giga-
byte ai 44 trilioni di gigabyte; e forse non tutti hanno l’esatta percezione di come in questo scenario le informazioni personali vengano trattate. Ecco perchè il tema della privacy in rete sarà sempre più un elemento centrale nella società in cui viviamo, che va necessariamente affrontato facendo leva sulla collaborazione tra aziende, cittadini e istituzioni. Proprio per capire meglio qual è l’atteggiamento degli utenti rispetto ai servizi disponibili su internet, e in particolare come il concetto di privacy si inserisce nel tema più generale dell’accesso ai servizi in rete, EMC, tra le principali aziende al mondo operanti nel settore dell’ICT, ha condotto una ricerca a livello mondiale su ben 15 Paesi differenti, tra cui l’Italia. Il risultato è un vero e proprio indice EMC Privacy Index - che evidenzia come il tradizionale dibattito inerente il grado di visibilità che Governi e aziende dovrebbero avere sulle attività private, sulle comunicazioni e sui comportamenti dei cittadini, riguarda ormai anche il mondo
Information Security n° 27 set/ott 2014
È di inizio luglio la notizia che il Governo italiano ha notificato alla Commissione europea la bozza del Dpcm (Decreto Presidenza Consiglio dei Ministri) che definirà le caratteristiche del nostro sistema pubblico per la gestione dell’identità digitale dei cittadini e delle imprese – SPID (Sistema per l’Identità Digitale); si avvicina dunque l’obiettivo di avere un unico Pin per usufruire online dei servizi offerti dalle amministrazioni pubbliche, che potrà essere integrato anche con i servizi offerti dagli operatori privati. Si auspica dunque che possa essere rispettato l’avvio del sistema SPID entro aprile 2015, come da indicazione del Presidente del Consiglio dei Ministri. Il tema è caldo: l’Europa e gli Stati membri, tra cui dunque l’Italia, stanno accelerando per promuovere iniziative volte a garantire ai cittadini una vera e propria identità digitale, che permetta l’interoperabilità giuridica e tecnica fra i Paesi dell’Unione europea, attraverso strumenti elettronici di identificazione, autentica-
15
IDENTITÀ DIGITALE
“
Il Governo italiano ha notificato alla Commissione europea la bozza del Dpcm (Decreto Presidenza Consiglio dei Ministri) che definirà le caratteristiche del nostro sistema pubblico per la gestione dell’identità digitale dei cittadini e delle imprese. Si auspica dunque che possa essere rispettato l’avvio del sistema SPID entro aprile 2015
Information Security n° 27 set/ott 2014
online. I dati raccolti, in particolare, offrono uno spaccato dell’atteggiamento dei consumatori di tutto il mondo e provano un punto fondamentale: il rispetto della privacy e la tutela dei dati sono valori fondamentali che dovrebbe essere condivisi da aziende, Governi e persone, per creare un ecosistema maggiormente affidabile. Se infatti le organizzazioni adotteranno pratiche di gestione delle informazioni in modo trasparente e responsabile, gli individui saranno in grado di gestire meglio le proprie esistenze digitali secondo le modalità preferite da ciascuno per condividere le proprie informazioni personali massimizzando appieno i benefici erogati dalla tecnologia e dall’innovazione. Lo studio che abbiamo condotto ha voluto, in particolare, capire come i consu-
16
(81%) prevede che la privacy continuerà a diminuire nei prossimi cinque anni. Sempre a livello globale, il 27% degli intervistati dichiara di essere disposto a sacrificare i propri livelli di privacy per poter usufruire di tutti i vantaggi della rete e delle tecnologie online. Questo dato sale leggermente in Italia, dove arriva al 29%. Tuttavia, in Italia, solo il 41% degli intervistati cambia regolarmente le proprie password; quasi 1 utente su 3 dichiara di non avere una password per i propri dispositivi mobile, telefoni o tablet; più di 1 utente su 3 non regola, quando si iscrive a un Social Network, in modo mirato le proprie impostazioni legate alla privacy. Inoltre, sebbene l’89% degli italiani (l’84% a livello globale) dichiari di non apprezzare la diffusione online delle proprie informazioni personali o delle abitudini personali, a meno che questo non derivi da una propria decisione di condividere determinate informazioni, il 64% utilizza regolarmente i Social Media e
”
matori considerano i propri diritti alla privacy online, e quanto sono disposti a rinunciare ai vantaggi di un ambiente interconnesso pur di salvaguardare la propria riservatezza. In Italia, gli utenti vivono in generale le stesse contraddizioni degli altri Paesi del mondo, con una presenza su Internet e sui social che è inversamente proporzionale alla fiducia che gli stessi hanno nella protezione della privacy dei dati personali sui social media. A livello globale invece, il Brasile e gli Stati Uniti hanno riportato la più alta percentuale di intervistati che ritengono di avere oggi meno privacy, rispettivamente il 71% e il 70%. La Francia è l’unico Paese con una maggioranza (56%) che non ritiene di avere meno privacy rispetto a un anno fa, mentre una significativa maggioranza di intervistati
IDENTITÀ DIGITALE
ben l’86% del campione acquista prodotti in rete. In Italia, l’88% degli utenti crede che debbano esserci delle leggi ad hoc che proibiscano la compravendita dei dati personali, senza il consenso del diretto interessato. Dalla ricerca emergono anche alcuni “paradossi” identificati sulla base dei dati globali: • Il paradosso del “voglio tutto” - Indipendentemente dalla tipologia di utente online e dal tipo di vantaggio che potrebbero ottenere dalla tecnologia digitale, le persone sono molto poco disposte a “intaccare” la propria privacy. Tanto è vero che il 91% degli intervistati apprezza “l’accesso più facile alle informazioni e alla conoscenza” reso possibile dalla tecnologia digitale; eppure solo il 27% è disposto a sacrificare qualcosa della propria privacy in cambio dei vantaggi offerti da Internet. E ancora: l’85% degli intervistati apprezza “l’uso della tecnologia digitale per la protezione dalle attività terroristiche e/o criminali”; tuttavia solo il 54% è disposto a rinunciare a parte della propria privacy in cambio di questa protezione. • Il paradosso del “non fare nulla” - Oltre metà degli intervistati ha affermato di aver subìto una violazione dei propri dati (account di posta violato; dispositivo mobile rubato o smarrito; account di social media violati ecc.). Tuttavia, molti non prendono misure per proteggersi: il 62% non modifica le proprie password con regolarità; 4 intervistati su 10 non modificano la configurazione della privacy sui social network; il 39% non protegge i propri dispositivi mobili con password. Per il campione intervistato, i principali rischi che riguardano il futuro della privacy sono da imputare alle aziende che usano, vendono o scambiano dati finanziari a scopo di lucro (51%) e all’assenza di attenzione da parte dei Governi (31%). Bassa l’autocritica: solo l’11% del campione imputa le possibili violazioni alla “assenza di attenzione da parte di persone normali come me”. • Il paradosso del “social sharing” - L’uso dei social media continua ad aumentare nonostante gli intervistati prevedano che la loro privacy sui social media sarà difficilmente mantenuta nei prossimi cinque anni e nonostante la bassa fiducia dei consumatori nelle capacità e nel senso etico delle istituzioni per la protezione della privacy dei dati personali sui social media. Tornando ai risultati italiani, invece è interessante notare come solo il 40% del campione italiano – dato per altro in linea con quelli globali – crede che le Istituzioni stiano lavorando per la protezione della privacy dei propri cittadini e, in questo contesto, l’86% degli italiani è convinto che sarà sempre più difficile mantenere la propria privacy nel prossimi 5 anni. Un risultato che sembra essere in contraddizione con quanto, in apertura di questo articolo, abbiamo visto si sta facendo a livello istituzionale per promuovere iniziative volte a proteggere l’identità digitale in rete, e di conseguenza la privacy del cittadino. In conclusione dunque, il Privacy Index può offrire un ampio ventaglio di spunti di riflessione sull’impatto costante che l’innovazione esercita nella vita quotidiana di noi tutti, ma soprattutto evidenzia che non c’è limite alle potenzialità della tecnologia: se tutti i player che lavorano per promuovere servizi in rete saranno impegnati a promuovere una cultura del web e a rendere maggiormente trasparenti i processi, la fiducia degli utenti verso il contesto digitale non potrà che aumentare.
BUSINESS CONTINUITY
BUSINESS CONTINUITY E DISASTER RECOVERY …FACING THE MURPHY’S LAWS… Tanto più le organizzazioni andranno a basare il loro “business” sull’Information Technology, tanto più sarà necessario un piano di Business Continuity e Disaster Recovery dettagliato ed in grado di affrontare efficacemente qualsiasi evenienza avversa Emanuele De Lucia
Information Security n° 27 set/ott 2014
ISACAA
18
Se qualcosa può andar male, (quasi) sicuramente lo farà. È sulla base di tale assunzione che i piani per la continuità di servizio e per il recupero da interruzioni prendono forma e si articolano all’interno di organizzazioni più o meno complesse. Tanto più tali organizzazioni andranno a basare il loro “business” (sia direttamente che non) sull’ Information Technology (IT), tanto più sarà necessario un piano di Business Continuity (BC) e Disaster Recovery (DR) dettagliato ed in grado di affrontare efficacemente qualsiasi evenienza avversa. In poche parole, andremo ad indirizzare la creazione di una valida e robusta alternativa di servizio! Nonostante la loro intrinseca ed evidente importanza, tuttavia tali argomentazioni sono spesso prese poco in considerazione o accantonate per mancanza di fondi e, anche qualora ci si preoccupi realmente del problema, frequentemente si arriva ad affrontare questioni non facili da risolvere come: 1. Cos’è che realmente ho necessità di salvaguardare per fare in modo che la
mia attività possa riprendere in tempi accettabili in caso di calamità/incidente e qual è il modo migliore per identificare i miei sistemi/infrastrutture critiche? 2. Come posso essere sicuro che dopo aver creato il mio piano di recupero questo funzionerà correttamente assicurandomi il minimo impatto possibile in termini economici e di immagine ? 3. Qual è la migliore soluzione che possa permettermi di contenere i costi mantenendo comunque un alto livello di efficacia? 4. Avrò necessità di rivolgermi a del personale esterno con l’esperienza specifica per questo tipo di progetti? Ovviamente non c’è un modo immediato e sempre giusto per rispondere a tali questioni (ogni situazione è diversa e va inserita in un contesto specifico), tuttavia si parte sempre dal presupposto che un buon BCP/DRP va inizialmente creato, successivamente testato ed implementato, e testato nuovamente su base periodica. Per quanto riguarda l’utilizzo di
consulenti esterni specifici del settore, questi possono sicuramente aiutare ad identificare eventuali inefficienze, ambiguità o ridondanze inutili nel nostro progetto. Infine, con il riferimento ad un concetto più ampio rispetto alle sole infrastrutture IT (e sicuramente più associabile con la pura BC), avremo sicuramente necessità di affrontare problemi relativi alle infrastrutture fisiche quali: 1. Dove potrebbe essere svolta l’attività giornaliera dei dipendenti in caso di inagibilità dei locali primari? 2. In via primaria, di cosa avranno bisogno i dipendenti/collaboratori per portare a termine il loro lavoro quotidiano e quali sono le dotazioni minime che devo garantire loro? 3. Posso temporaneamente sostituire la presenza fisica di alcuni collaboratori mettendo a loro disposizione tecnologie (RAS, VPN, NAS etc. etc.) in grado di fare svolgere in tutto o in parte il loro lavoro da casa o da siti remoti? Le risposte a tali quesiti rappresentano la vera sfida di questa materia e sicura-
BUSINESS CONTINUITY
“
BUSINESS CONTINUITY PLAN VS DISASTER RECOVERY PLAN Essendo consapevoli di quelle che sono le più comuni minacce da prevedere e
contrastare, è possibile dunque approfondire l’avvicinamento alla creazione di un BCP/DRP efficace. Malgrado tali terminologie possano far pensare a pratiche dal nome diverso che in realtà si occupano delle medesime problematiche, è tuttavia importante sapere che il BCP
Figura 1
”
contrasta principalmente eventuali indisponibilità non relative all’infrastruttura IT come, per esempio, il controllo della reputazione societaria verso l’esterno, le facilities aziendali, le comunicazioni in caso di emergenze etc .etc, mentre il DRP contrasta indisponibilità
Information Security n° 27 set/ott 2014
mente porteranno via tempo e risorse ma sono tuttavia necessarie per il contrasto a quelle che possono essere definite le minacce comuni al nostro business, catalogabili in cinque principali macro-categorie (la trattazione delle quali esula dallo scopo di questo documento): 1. Disastri Naturali: un disastro naturale (alluvioni, terremoti, uragani etc. etc.) è uno degli eventi più pericolosi che un’organizzazione può trovarsi ad affrontare. Il 60% delle piccole e medie imprese non riesce più a “riavviare” il proprio business dopo un evento catastrofico. 2. Fallimento di sistemi critici (o di supporto a questi ultimi): Al giorno d’oggi molte società fanno sia direttamente che indirettamente affidamento su sistemi che proprio per la loro importanza vengono definiti “critici”. 3. Fallimento delle infrastrutture di rete: Le infrastrutture di rete si occupano di rendere i sistemi “critici” disponibili per chiunque ne abbia necessità (concetto di disponibilità del dato) o permettono a questi di interagire con altri sistemi per inseguire il “business” aziendale. 4. Intrusioni informatiche e sottrazione volontaria/involontaria di dati dall’interno: Le intrusioni esterne possono rappresentare una seria minaccia ai sistemi e ai dati che questi custodiscono (concetto di confidenzialità ed integrità del dato) e ledere sia direttamente che indirettamente il nostro business (danno di reputazione). Una reale minaccia in questo senso arriva anche dai collaboratori interni che, per le più svariate ragioni, possono sottrarre e diffondere progetti, dati o informazioni aziendali vitali. 5. Codice malevolo: Il codice malevolo è sicuramente in grado di causare instabilità dei sistemi ed interruzione di servizio e può dunque rappresentare una grave minaccia alla continuità delle nostre operazioni.
Essendo consapevoli di quelle che sono le più comuni minacce da prevedere e contrastare, è possibile dunque approfondire l’avvicinamento alla creazione di un BCP/DRP efficace. il BCP contrasta eventuali indisponibilità non relative all’infrastruttura IT, il DRP contrasta indisponibilità relative alle tecnologie IT
19
BUSINESS CONTINUITY
nere un BCP operativo che manchi del corrispettivo DRP. APPROCCIO STRUTTURATO AL PIANO PER LA CONTINUITÀ DEL BUSINESS La creazione di un BCP e di tutta la relativa documentazione è una pratica sicuramente molto impegnativa per qualsiasi tipo di realtà. Per tale motivo questa andrebbe identificata all’ombra di un vero e proprio “progetto” interno, che necessità quindi di una corrispondente figura coordinativa di riferimento: il Project Manager (PM). Costui sarà responsabile della coordinazione fra le varie BU (Business Unit), il reparto IT, le facilities aziendali ed il senior management, nominando, se necessario, responsabili di settore o di attività oltre a creare un vero e proprio Business Continuity Team (BCT) che abbia il fine di seguire e rispettare passo dopo passo quelle che sono le fasi di creazione di un piano efficace ed efficiente. La prima di tali fasi è sicuramente quella concernente l’identificazione degli asset, la valutazione dei rischi e l’eventuale impatto sul business (BIA – Business Impact Analysis). Questo signi-
Information Security n° 27 set/ott 2014
Figura 2
20
relative alle tecnologie IT (server, network, applicazioni etc. etc.). Un DRP ben strutturato va infatti inserito all’interno di un processo molto più vasto, che prende appunto il nome di BCP (Business Continuity Plan). Quest’ultimo ha infatti lo scopo di garantire la sopravvivenza dell’organizzazione nella sua interezza, assicurando il recupero delle funzioni critiche alla “mission” aziendale, definendo risposte ad una preventiva analisi dei rischi (Risk Analysis), identificando le possibili aree di fallimento (SPOF Analysis) e quantificando gli eventuali impatti sulle operazioni vitali. Una rapida e definitiva differenziazione accademica fra il BCP ed il DRP potrebbe dunque essere rappresentata dal fatto che mentre il BCP non può essere relegato alla responsabilità di un singolo dipartimento, il DRP è quasi sempre di unica responsabilità del reparto IT. Considerando tali ultime assunzioni infine, è altresì facile dedurre che, malgrado sia possibile ottenere un DRP pienamente efficiente ed indipendente senza un BCP di più alto livello, non è possibile otte-
Figura 3
BUSINESS CONTINUITY
fica calcolare sia le eventuali perdite finanziarie sia quelle operazionali di incidenti o disastri (distruzioni fisiche degli apparati, perdita di credibilità, problemi legali etc. etc.) anche in relazione al periodo dell’anno nel quale questi andrebbero a verificarsi. Una valutazione dei rischi deve essere dunque eseguita all’interno della Business Impact Analysis, determinando cosa effettivamente è esposto a rischi (le persone, le proprietà anche intellettuali, le
schema come quello disponibile al link http://www.ready.gov/sites/default/files/d ocuments/files/BusinessImpactAnalysis_Worksheet.pdf al fine di riportare e consultare efficacemente le stime di quanto rilevato. Nella figura 1 è schematizzata la prima fase. La seconda fase per la creazione di un BCP prevede di determinare effettivamente la strategia per la continuità del business da adottare sulla base delle in-
Figura 4
formazioni reperite nella fase 1. Ciò significa in prima istanza determinare quali funzioni appartengono al “core business” o sono per noi “mission critical”, determinando sia come gestire i rischi identificati in precedenza (mitigare o accettare) sia le strategie di recupero ad esse asso-
Figura 5
IL DISASTER RECOVERY PLAN (DRP) – (TERZA FASE) Come parte integrante di un BCP dunque, troviamo il DRP che rappresenta una parte essenziale per quelle organizzazioni che fanno fortemente affidamento sulle tecnologie IT, comprensive di server, basi di dati, devices di rete, connettività wan etc. etc. Generalmente, un DRP si focalizza sul ripristino delle operazioni IT su di un sito alternativo nel momento in cui gravi problemi dovessero verificarsi sul sito primario e, in accordo con l’ Ente federale per la gestione delle emergenze (FEMA), questo dovrebbe essere previsto per ciascuno dei seguenti: 1. Ambiente fisico dove i dati sono ritenuti oltre ai dati stessi 2. Hardware (comprendente servers, periferiche, devices di rete etc. etc.) 3. Applicazioni software 4. Connettività Inoltre, determinare quanto prima i propri Recovery Point Objective (RPO) e Recovery Time Objective (RTO) è di sicuro aiuto in tal senso. L’ RPO rappresenta l’ “età” (espressa generalmente in ore o giorni) di un file che dovrà essere recuperato dai supporti di backup al fine di ripristinare le normali operazioni in caso di fallimento. Ovviamente, tale valore determina la frequenza alla quale i backup dovranno essere eseguiti. L’RTO rappresenta invece il valore temporale massimo che un’organizzazione può accettare Information Security n° 27 set/ott 2014
infrastrutture, i sistemi IT etc. etc.) e la probabilità di un possibile avvenimento avverso che mini la loro disponibilità (incendi, disastri naturali, attacchi informatici, sabotaggio etc. etc.). In questo contesto va altresì inserito il documento relativo all’identificazione dei singoli punti di fallimento (SPOF Document). Riassumendo, la prima fase per la creazione di un BCP si concentra sull’identificazione dei rischi (RA) e dei singoli punti di fallimento (SPOF), sulla loro prioritizzazione e sulla loro quantificazione in termini di impatto economico ed operazionale, con un’ottica sempre focalizzata alla richieste legislative del paese nel quale si opera, agli standard e alle best practices. In ultimo, a scopo organizzativo, è utile adottare un modello di
ciate. Un’elaborazione specifica di tali analisi (BIA + Recovery Strategies) andrà direttamente a costituire il corpo del nostro documento principale (BCP document). Come accennato in precedenza, la creazione di un Disaster Recovery Plan fa parte di questa fase. Nella figura 2 lo schema della seconda fase.
21
BUSINESS CONTINUITY
(prima che il downtime causi dei danni dunque) dopo il fallimento di un sistema critico. Relazionando tali valori con soluzioni tecnologiche specifiche, è possibile dunque indirizzare una strategia di recupero. Ovviamente, tanto più saranno stringenti i livelli desiderati di continuità di servizio, tanto più generalmente sarà costosa la soluzione per il DRP. Segue lo schema della terza fase nella figura 3.
Information Security n° 27 set/ott 2014
INFRASTRUTTURE AD ALTA DISPONIBILITÀ Per “alta disponibilità” si intende uno specifico approccio di sviluppo sia nel design dell’infrastruttura sia nella componentistica in grado di garantire un elevato grado di “disponibilità” (cioè di pro-
22
babilità che un servizio sia fruibile in un dato istante). Usando dotazioni ad alta disponibilità si riducono i rischi di perdita dovuti a downtime di sistemi o collegamenti critici, oltre a permetterci di eseguire operazioni di manutenzione senza tempi morti. Ovviamente, anche adottando soluzioni che ci avvicinano al 99.999% di uptime, il concetto di “centro di ridondanza” e “salvataggio esterno dei dati” rimane ancora molto importante poiché l’alta disponibilità non può aiutare in caso di disastri naturali come alluvioni, uragani o incendi. CENTRO DI RIDONDANZA Un centro di ridondanza rappresenta il vero punto focale durante lo sviluppo di un DRP. La pratica consiste nel ridondare
il sito primario con un sito secondario o “sito di Disaster Recovery”, in modo tale che, qualora ce ne fosse la necessità, sia possibile portare avanti l’intera attività prevista attraverso quest’ultimo con la minima perdita di dati e tempo possibile. Di solito ciò prevede anche l’adozione di due ISP (Internet Service Provider) ed apparecchiature di rete con “failover detection” automatico. La figura 4 mostra come potrebbe apparire un’ipotetica architettura di rete con due DC e connettività ridondata. In base alla loro configurazione iniziale ed alla capacità di subentrare tempestivamente in caso di disastro, un sito remoto si divide in tre grandi macro-categorie, dette “cold site”, “warm site” e “hot site”. Un “cold site” rappresenta il
BUSINESS CONTINUITY
sito di ridondanza meno costoso poiché comprende, in tempi calmi, poco più che i locali destinati al sito di ridondanza. Ovviamente, in caso di necessità, occorrerà molto tempo prima che il sito secondario sia in grado di sostituire il primario adottando tale approccio. Un “worm site” rappresenta un compromesso fra il “cold site” e l’ “hot site”. Questi siti per il DRP solitamente posseggono già l’hardware e la connettività necessaria a subentrare al sito primario, ma non posseggono, in tempi calmi, la completa capacità operativa. Infine, un “hot site”, è un sito completamente ridondato ed in grado di subentrare al sito primario in pochissimo tempo. Come è facile dedurre quest’ultima rappresenta la soluzione più costosa ma anche la più efficace nel garantire tempi di risposta veloci in caso di necessità. In questa soluzione i dati fra i due siti vengono solitamente mantenuti sincronizzati utilizzando software appropriato e link wide area network. DISASTER RECOVERY AS A SERVICE Il disaster recovery as a service (la nomenclatura arriva direttamente dai servizi cloud), o DRaaS, è un servizio in rapida espansione che mira ad abbattere i costi degli approcci tradizionali al Disaster Recovery sfruttando appunto modelli di cloud computing. Malgrado questo approccio potrebbe essere a prima vista confuso con i semplici servizi di backup dei dati su cloud, in realtà la maggiore differenza tra questi è che il DRaaS prevede capacità di elaborazione propria dei dati conservati. Tale capacità viene tuttavia mantenuta “a riposo” fino al momento in cui diventi effettivamente necessaria, abbattendo i costi di servizio rispetto ad un “worm site” o “hot site” dove le risorse di recupero devono essere mantenute attive anche durante le normali operazioni o peacetime. I servizi RaaS prevedono diversi modelli operativi in dipendenza da dove si trova la locazione del sito di produzione primario: 1) To Cloud RaaS: quando il sito di produzione primario si trova nel DC privato del Cliente ed il Cloud è usato come sito di recupero. 2) In Cloud RaaS: quando sia il sito di produzione primario che il centro di recupero si trovano nel Cloud. 3) From Cloud RaaS: quando il sito di produzione primario si trova nel Cloud e in centro di recupero è invece un DC privato. Molti provider mettono già a disposizione pacchetti DRaaS pre-configurati con servizi di elaborazione standard che è possibile pagare in base all’effettivo utilizzo ed i livelli di risposta attesi (in base ovviamente ai propri RPO ed RTO). Nella figura 5 un’immagine rappresentativa di un’ipotetica infrastruttura DRaaS: CONCLUSIONI Prevedere e testare piani di continuità e recupero dovrebbero essere considerate attività regolari per un’organizzazione. Molte società infatti, soprattutto le piccole-medie imprese, si trovano spesso a dover affrontare perdite troppo elevate in caso di veri disastri o incidenti, tali da minare pesantemente la loro capacità di effettivo recupero. Evitare che ciò accada è appunto lo scopo della strategia di BC e DRP.
SCENARI
LA MINACCIA PIÙ GRANDE VIENE DALL’INTERNO In questo articolo Marco Scattareggia riprende lo spinoso problema delle frodi interne, già descritto nell’ambito delle telecomunicazioni sul numero 18 (Mar/Apr 2013) di Information Security. Frodi che sono perpetrate da impiegati, dirigenti e a volte anche dagli stessi proprietari di una azienda. Marco Scattareggia
Information Security n° 27 set/ott 2014
Esperto nella progettazione e realizzazione di soluzioni di fraud intelligence e di risk management.
24
Secondo l’Ordine dei Dottori Commercialisti in Italia, al di là delle congiunture economiche negative del momento, le frodi interne o esterne sono spesso la causa principale degli ultimi crolli finanziari delle società. Ma la minaccia più grande per tutte le organizzazioni pubbliche e private viene dall’interno ed emerge chiaramente nei “Global Fraud Report” annuali di Kroll (www.kroll.com), ovvero di una delle più autorevoli società investigative nell’ambito della due diligence, nota negli Stati Uniti come “l’occhio privato di Wall Street”. I report di Kroll evidenziano che solamente all’estero, sotto l’impulso delle normative internazionali anticorruzione, si registra una diminuzione della corruzione dovuta ai maggiori controlli aziendali. Viceversa in Italia i casi di corruzione aumentano e secondo Transparency International (www.transparency.org) il nostro è il secondo paese più corrotto d’Europa. In Italia le società non riescono a inve-
stire sui controlli interni a causa del taglio dei costi e della crisi. Nel 2012 più del 4% delle aziende italiane ha perso fino al 10% dei ricavi annuali e a ciò va anche aggiunto il possibile danno di reputazione e i costi associati ai procedimenti penali o regolatori. I settori più colpiti sono quello assicurativo, il settore dei servizi finanziari e quello manifatturiero. La tipologia di frode più frequentemente dichiarata è l’appropriazione in-
debita (67%), cui seguono le frodi informatiche (10%), la corruzione (10%) e i comportamenti anticoncorrenziali (10%). Le frodi interne minacciano maggiormente le piccole aziende, meno dotate di strumenti di controllo e perciò più vulnerabili. Più è alto il livello aziendale di chi commette una frode, maggiore è la dimensione delle perdite come mostrato nella figura 1. Inoltre, più a lungo il frodatore ha lavorato in una azienda e più
Figura 1. Distribuzione delle frodi interne in Europa nel 2012 Fonte: Association of Certified Fraud Examiners
SCENARI
“
elevato tende ad essere il danno causato. La maggior parte dei frodatori sono individuati nei reparti di contabilità, in quelli operativi, nelle vendite, tra i manager e dirigenti, presso il servizio clienti e l’ufficio acquisti. Le ragioni che spingono impiegati o dirigenti a commettere frodi a danno della propria azienda possono variare a seconda dei casi, ma generalmente ricadono in una delle seguenti motivazioni: • Guadagno economico dovuto a necessità o ingordigia • Collusioni con delinquenti esterni o altri impiegati infedeli • Azioni a causa di minacce o ricatti • Rivendicazioni contro la propria azienda per torti precedentemente subiti • Semplice malizia • Violazione di regole e procedure interne dovuta a ingenuità o raggiri ottenuti tramite ingegneria sociale
cietà trasparenti e responsabili. Ma soltanto il 56% degli italiani segnalerebbe un episodio di corruzione, a fronte di una media europea del 71% e di percentuali superiori all’80% nei paesi nordici. Questo, perché la segnalazione sarebbe inutile, per paura di ritorsioni e per il nostro contesto culturale in base al quale le segnalazioni sono considerate delazioni. Alla scarsa attenzione sul piano normativo si è contrapposta un’attenzione particolare per la tutela della privacy e il Garante per la protezione dei dati personali ha anche chiesto al Parlamento e al Governo di intervenire a livello normativo con norme che risolvano le perplessità indicate dai Garanti europei riguardo quali soggetti possano essere segnalati, quali fatti possano essere oggetto di delazione e se sia possibile accettare le segnalazioni anonime. LA PREVENZIONE E GLI ASPETTI NORMATIVI E LEGALI Le misure preventive sono indubbiamente migliori delle cure anche nel caso delle frodi, ma sono anche attività generalmente più difficili da realizzare per l’imprevedibilità dei comportamenti illeciti e per la difficoltà di prevederne le conseguenze economiche, finanziarie e di reputazione. Tuttavia il primo strumento di contrasto alle frodi interne è un modello organizzativo efficace ed idoneo a prevenire i reati da parte di dirigenti e dipendenti, nonché di tutti i soggetti riferibili alla società. Un’altra misura di contrasto fondamentale ma, spesso, sottovalutata dalle aziende italiane è l’adozione di un sistema di whistleblowing, come descritto nel precedente paragrafo, che consenta ai dipendenti di riportare possibili episodi di cattivo comportamento e di possibile frode, in modo anonimo sotto la tutela di specifiche politiche di protezione e di non discriminazione. Il decreto legge 231/2001 ha esteso alle persone giuridiche la responsabilità per i
”
reati commessi in Italia ed all’estero da persone fisiche che operano per la società. In aggiunta alla responsabilità della persona fisica che realizza l’eventuale fatto illecito la normativa ha introdotto la responsabilità in sede penale degli enti per alcuni reati commessi nell’interesse o a vantaggio degli stessi, da persone che rivestono funzioni di rappresentanza, di amministrazione o di direzione dell’ente stesso. Pertanto adempiere a tali obblighi legislativi richiede, tra l’altro, di: • adottare, prima della commissione del fatto, modelli organizzativi e gestionali idonei a prevenire reati; • definire i modelli di organizzazione e gestione; • costituire un organismo dell’ente con compito di vigilare efficacemente sul funzionamento e sull’osservanza dei modelli e curare il loro aggiornamento; • essere in grado di evitare la commissione del reato se non mediante l’elusione fraudolenta dei modelli stessi; • individuare le attività nel cui ambito possono essere commessi tali reati; • prevedere specifici protocolli diretti a programmare la formazione e l’attuazione delle decisioni dell’ente in relazione ai reati da prevenire; • individuare modalità di gestione delle risorse finanziarie idonee ad impedire la commissione di reati. Ma ovviamente tali adempimenti devono poter essere svolti senza danneggiare l’attività aziendale per cui è necessario l’utilizzo di strumenti che permettano di raggiungere il risultato senza gravare in modo eccessivo sui processi aziendali riducendo al contempo il costo correlato agli adempimenti stessi. Se la normativa vigente prevede che siano valutati i rischi di non conformità per evitare di incorrere in sanzioni giudiziarie o amministrative, le aziende devono instituire una funzione “regolamentare”, ovvero di compliance, che tra i suoi compiti avrà sia quello di valutare
Information Security n° 27 set/ott 2014
IL WHISTLEBLOWING NELLA PREVENZIONE DELLE FRODI Il termine inglese whistleblower, letteralmente “soffiata”, è comunemente riferito a chi nello svolgimento della propria attività rileva una possibile frode e decide di segnalarla. In pratica si distinguono le segnalazioni che provengono dall’interno dell’azienda, quando l’informazione viene diretta al proprio diretto superiore o a un manager di livello più alto oppure ad appositi organismi interni, da quelle esterne all’azienda nei casi in cui la segnalazione è indirizzata tramite una denuncia a un ente regolatore, alla polizia o all’autorità giudiziaria, ma anche ad organi di stampa e comunicazione. In base al Barometro globale sulla corruzione recentemente pubblicato da Transparency International, oltre il 60% degli italiani intervistati pensa che la corruzione sia aumentata e che l’azione di contrasto sia del tutto inefficace. L’89% pensa che i partiti politici siano il luogo in cui la corruzione prolifera maggiormente. Il 62% degli italiani ritiene che i cittadini, se si impegnano, possano fare la differenza. Il 77% si dichiara disposto a partecipare attivamente alla lotta alla corruzione, sia sostenendo le organizzazioni e le associazioni che lavorano in questo settore, sia pagando un prezzo superiore per acquistare prodotti di so-
Il termine inglese whistleblower, letteralmente “soffiata”, è comunemente riferito a chi nello svolgimento della propria attività rileva una possibile frode e decide di segnalarla. In pratica si distinguono le segnalazioni che provengono dall’interno dell’azienda, da quelle esterne all’azienda nei casi in cui la segnalazione è indirizzata tramite una denuncia
25
SCENARI
Information Security n° 27 set/ott 2014
la corretta conformità normativa sia quello di salvaguardare la società dal rischio di non conformità con riferimento ai danni di reputazione. Tale funzione aziendale deve pertanto assumere direttamente la responsabilità di analizzare e valutare i rischi aziendali di frode, elaborare le procedure ad hoc per prevenire le frodi, predisporre la formazione interna per tutto il personale, individuare e far predisporre gli strumenti di allarme (anche in senso etico) ed infine sviluppare il piano di verifica e miglioramento continuo.
26
LA TIPOLOGIA DELLE FRODI INTERNE Negli scenari di frode interna, gli impiegati e i dirigenti sono ovviamente in grado di sfruttare a proprio vantaggio la competenza acquista, la conoscenza delle regole e delle procedure e soluzioni interne. Ciò, congiuntamente con la possibilità di accedere ai sistemi aziendali dall’interno evitando ogni controllo di sicurezza posto per bloccare le intrusioni esterne, può essere strumentalizzato per facilitare degli attacchi criminali se non addirittura per organizzare gli attacchi stessi. Tipici fenomeni fraudolenti di questo tipo sono: • Frodi del servizio clienti – Manipolazioni dei sistemi interni a beneficio di amici, parenti o in collusione con frodatori esterni. • Frodi dell’ufficio acquisti – Collusioni tra impiegati e fornitori per derubare l’azienda manipolando ordini, fatture o documenti contabili. • Frodi nei reparti tecnici – Abuso o cessione illegale di informazioni sensibili della società, quali informazioni sui clienti, su una gara, sui piani strategici, sulle tecnologie e brevetti, ecc. • Frodi nel reparto di Information Technology (IT) – Utilizzo improprio dei privilegi posseduti dai tecnici di manutenzione, o comunque appartenenti ai reparti di IT, per commettere o facilitare abusi e frodi. • Frodi impiegatizie – Manipolazioni delle timbrature sui cartellini di ingresso e uscita, assenze con giustificazioni falsificate o di medici compiacenti, manipolazioni delle note spese, ecc. L’individuazione e l’investigazione delle frodi interne sono attività complesse e ri-
chiedono nuovi schemi di difesa e detection. Pongono altresì una sfida importante al Reparto di Antifrode aziendale su tutte le opportune attività di difesa e contrasto da compiere. Le soluzioni di fraud management che operano principalmente con metodi statistici e si presentano all’operatore come un’opaca black box, ovvero nascondendo la logica di detection all’interno di complicati algoritmi matematici, sono di difficile utilizzazione pratica nel combattere il fenomeno. Pertanto nel contesto impiegatizio meglio si prestano i motori a regole potenziati con metodi di rappresentazione visuali delle relazioni esistenti tra le entità coinvolte nei fenomeni sotto indagine. Invece l’identificazione di queste frodi avviene attraverso modalità e segnalazioni diverse. Ad esempio il CIFAS (http://www.cifas.org.uk/) nel Regno Unito ha così classificato i modi con cui vengono scoperte le frodi interne: • 60% sistemi interni di controllo e audit • 30.9% clienti • 3.6% impegati • 0.1% polizia • 3.6% anomalie o rischi segnalati dai lavoratori • 1.8% altri mezzi L’ACFE (http://www.acfe.com/) stima che il costo dei vari tipi di frodi interne, rap-
Figura 2. Classificazione delle frodi occupazionali Fonte: Association of Certified Fraud Examiners
presentati nella Figura 2, superi complessivamente il 5% dei ricavi aziendali. Ma i danni che ne derivano vanno anche oltre il costo economico e si ripercuotono nell’immagine esterna dell’azienda come nel morale e nel turn-over degli impiegati all’interno, con la non trascurabile difficoltà di inserimento e addestramento di nuove persone. METODI E STRUMENTI DI CONTRASTO DELLE FRODI INTERNE Un programma per il contrasto delle frodi è sempre molto complesso e deve essere affrontato seguendo un adeguato programma che stabilisca quali siano gli obiettivi da perseguire e il processo, suddiviso per fasi, necessario per raggiungerli e valutarne gli effettivi risultati. Di seguito viene riportato lo schema di una possibile metodologia per la realizzazione di una soluzione di contrasto delle frodi interne. 1. Risk assessment e gap analysis Intraprendere un risk assessment interno per valutare le priorità e i livelli di rischio nei vari reparti e funzioni di business o di supporto. Contemporaneamente definire i livelli di rischio accettabili per l’azienda e valutare la dimensione delle lacune da colmare per ridurre il rischio al di sotto di tali livelli. 2. Benchmarking Eseguire, ove possibile, un’operazione di
SCENARI
“
client, alla fatturazione e contabilità, i sistemi di pagamento, i reparti di information technology, le agenzie, i punti vendita, ecc. Fondamentale è poi la capacità di creare e gestire i casi di probabile frode (case management) e di gestire il processo stesso di contrasto delle frodi (workflow management). Per avere una protezione sicura contro tutti i tipi di frode, e a maggior ragione nel caso di frodi interne, è necessario adottare contemporaneamente più tecniche e strumenti al fine di coprire il più possibile tutti i cinque strati di fraud management identificati da Gartner in una significativa ricerca del 21 aprile 2011: “The Five Layers of Fraud Prevention and Using Them to Beat Malware” 1. Strato centrato sull’utente per identificare univocamente il terminale utilizzato che deve aver incluso delle applicazioni software sicure. Ad esempio un web-browser proprietario, o un dispositivo hardware come le chiavette USB (fob) che generano dei codici numerici variabili in continuazione. 2. Strato che monitorizza e analizza la sessione di navigazione sulle maschere delle applicazioni (click pattern). Ciò per identificare situazioni anomale in termini di percorsi eseguiti seguendo schemi non usuali come, ad esempio, una velocità eccessiva delle transazioni, un cambio password che precede una richiesta di trasferimento fondi, ecc.. 3. Strato che controlla il comportamento nel tentativo di identificare le deviazioni dal profilo standard specifico della classe di utenti di appartenenza. Per questo livello di protezione sono normalmente utilizzati dei motori a regole (rule engine), le black/grey list, i modelli di previsione statistici o basati su sistemi di pesatura (scoring) del rischio mediante politiche e procedure proprie (policies e business rules). 4. Strato simile al terzo che estende il
”
monitoraggio contemporaneamente ai diversi canali informativi (cross-channel) disponibili e correla tutte le informazioni acquisite incrociandole in modo integrato. 5. Strato che esamina le relazioni esistenti tra tutte le diverse entità come clienti, impiegati, fornitori, eventuali intermediari, ecc., al fine di identificare le possibili organizzazioni e collusioni criminali (fraud ring). Si tratta di strumenti interattivi di investigazione per l’analisi dei collegamenti (link analysis) in modalità grafica e con il supporto di algoritmi statistici per mappare le entità e le relazioni in una rete di collegamenti finalizzati a scopo frodatore (social network analysis). Dal momento che nessun prodotto commerciale di contrasto delle frodi è attualmente in grado di coprire contemporaneamente tutti i cinque strati di protezione individuati da Gartner, il miglior modo di procedere è stabilire un proprio elenco di criteri rilevanti rispetto ai propri specifici obiettivi. Se si assegna a ciascun criterio un peso e in sua corrispondenza un voto al fornitore, è possibile valutare con grafici radar e istogrammi il grado di copertura di ciascuna soluzione. Ovviamente i pesi da assegnare a ciascun criterio variano a seconda del tipo di frode da contrastare e sono diversi se il contrasto deve avvenire su applicazioni on-line, come quelle del commercio elettronico su Internet, in un contesto di servizi telefonici, nell’ambito di transazioni finanziarie o di borsa, per frodi interne oppure per bloccare attacchi esterni, a seconda del numero ed esperienza di analisti disponibili per la detection e l’investigazione, il budget di spesa, ecc. Moltiplicando poi ogni singolo voto per il rispettivo peso, sommando i risultati delle moltiplicazioni e dividendo per il numero di criteri, è possibile stabilire anche un ranking delle proposte basandosi su un unico indice di qualità.
Information Security n° 27 set/ott 2014
benchmarking con istituzioni aziendali simili e note come virtuose, in Italia o presso altri paesi e località. 3. Compliancy regolamentare Verificare il rispetto di leggi, eventuali norme interne, regolamenti sindacali, ecc., che potrebbero pregiudicare l’implementazione di specifiche misure di controllo dell’attività di impiegati e dirigenti, e relative tecniche di contrasto. 4. Selezione della migliore soluzione e del fornitore Identificare e scegliere la migliore soluzione sulla base dei criteri di selezione esemplificati nel seguente paragrafo. 5. Progetto pilota Scegliere la prima area di intervento su cui eseguire un proof of concept (POC) di valutazione della soluzione adottata. 6. Mettere in opera il programma di contrasto delle frodi interne Estendere il pilota ai vari reparti e divisioni di interesse sulla base di una pianificazione progressiva. 7. Valutazione e miglioramento continuo Valutare i risultati ottenuti sulla base di obiettivi e metriche prestabilite, e avviare un ciclo virtuoso di miglioramento continuo che ripercorra, sia pure più velocemente, tutte le fasi precedenti. Creare un modello analitico, basato su algoritmi statistici o regole perscrittive, per la detection delle frodi interne è complicato a causa del grande numero di contesti deversi e dei vari possibili comportamenti degli impiegati. Comportamenti che è viceversa difficile schematizzare perché talvolta si riducono a un’unica azione trasgressiva. Possono venire in aiuto le tecniche d’indagine basate su metodologie di Revenue Assurance (RA), per la detection di anomalie lungo la catena del valore e dei ricavi aziendali, supportate da strumenti interattivi di Social Network e Link Analysis (SNA, LA) per l’evidenziazione e la risoluzione di complessi circuiti criminali (fraud rings) organizzati nell’esecuzione di frodi sistematiche. Soluzioni in outsourcing o in modalità SaaS possono ridurre le difficoltà di avviamento e manutenzione di una soluzione. In una realtà aziendale complessa è inoltre indispensabile correlare le informazioni provenienti da diversi canali, che spaziano dall’ufficio acquisti al servizio
Dal momento che nessun prodotto commerciale di contrasto delle frodi è attualmente in grado di coprire contemporaneamente tutti i cinque strati di protezione individuati da Gartner, il miglior modo di procedere è stabilire un proprio elenco di criteri rilevanti rispetto ai propri specifici obiettivi
27
COMITATO CONSULTIVO
www.informationsecuritynews.it Piero Giovanni Caporale - Sicurezza Organizzativa e Gestionale Settore ICT - DigitPA
Baldo Meo - Responsabile Comunicazione Garante per la protezione dei dati personali
Raoul Chiesa - Founder, Security Brokers Inc.
Elio Molteni - Presidente AIPSI, ISSA Italian Chapter
Isabella Corradini - Professore di Psicologia sociale della Facoltà di Psicologia dell'Università degli Studi dell'Aquila e Presidente del Centro Ricerche Themis
Alessandro Musumeci - Direttore Centrale Sistemi Informativi (DCSI), Ferrovie dello Stato
Mauro Cosmi - Value Team S.p.A Elena Ferrari - Docente del Dipartimento di Informatica e Comunicazione dell’Università dell’Insubria Pierfrancesco Ghedini - Direttore Dipartimento Tecnologie dell'Informazione e Biomediche - Azienda USL di Modena – in qualità di AISIS (Associazione Italiana Sistemi Informativi in Sanità) Gianpiero Guerrieri - Dirigente Analista. Direttore UOC Sistema Informativo, Sistema di Reporting Aziendale e ICT - Azienda Ospedaliera San Giovanni Addolorata Giovanni Hoz - Direttore Sistemi Informativi Policlinico A. Gemelli Andrea Lisi - Professore a contratto di Informatica Giuridica - Scuola Professioni Legali, Facoltà Giurisprudenza - Università del Salento, Presidente di ANORC (Associazione NazionaleOperatori e Responsabili della Conservazione Sostitutiva), Coordinatore del Digital&Law Department Studio Legale Lisi, Studio Associato D&L Business&Legal Consultancy, ICT &International Trade, Executive Management SCiNT - Study&Research Centre
Silvano Ongetta - Presidente AIEA, Associazione Italiana Information Systems Auditors Massimo F. Penco - Presidente Associazione Cittadini di Internet, Membro del Antiphishing Working Group, Vice presidente Gruppo Comodo Filomena Polito - Presidente APIHM - Associazione Privacy and Information Healthcare Manager Andrea Rigoni - Director General GC-SEC Global Cyber Security Center Giuseppe Russo - Chief Technology Officer - Oracle Hardware group Marco Scattareggia - KEY DATA ANALYICS - Practice Manager Corrado Aaron Visaggio - Ricercatore in Ingegneria del Software presso il Dipartimento di Ingegneria dell’Università degli Studi del Sannio Anthony Cecil Wright - Presidente ANSSAIF, Associazione Nazionale Specialisti Sicurezza in Aziende di intermediazione Finanziaria Stefano Zanero - Responsabile Tecnico, Secure Network
Giovanni Manca - Esperto di digitalizzazione documentale nella PA e sicurezza ICT Alberto Manfredi - MSc, CISA, CISSP, GCFA, CRISC - Presidente Cloud Security Alliance - Italy Chapter
INDICE INSERZIONISTI
Carlo Maria Medaglia - Docente e coordinatore RFID Lab - CATTID Università La Sapienza di Roma
SINERGY WATCHGUARD FUTURE TIME E-HEALTH CONFERENCE IEEE FESTIVAL ICT
II COP. III COP. IV COP. PAG. 10 PAG. 17 PAG. 23
Information Security Anno V - n. 27 Settembre/Ottobre 2014 Direttore Responsabile Maria Giulia Mazzoni Collaboratori Alberto Blasi, Sarah Ferri Impaginazione Cecilia Lippi Francesconi Progetto grafico Giulia Pissagroia Redazione Oriana Mazzini Gestione e Servizi Ruggero Genna ROC – Registro Operatori di Comunicazione n. 17883 – Pubblicazione bimestrale registrata presso il Tribunale di Roma il 7/10/2010 n. 379 Codice ISSN: ISSN 2037-5611 Edisef Roma Poste Italiane S.p.A. Spedizione in Abbonamento Postale – D.L. 353/2003 (conv. in L. 27/02/2004 n. 46) Art. 1 Comma 1 – DCB Roma – Euro 10,00 Abbonamento annuale Euro 52,00 BONIFICO BANCARIO Banca Popolare del Lazio Ag. 45 Piazzale della Radio 41 00146 ROMA IBAN: IT80 U051 0403 205C C036 0001 434 Siti internet www.edisef.it www.ehealthnews.it www.informationsecuritynews.it
PER COLLABORARE La collaborazione è sempre gradita ma deve rispettare alcune caratteristiche tecniche. Articoli – I testi devono essere originali, liberi da diritti d’autore verso terzi e non sottoposti ad altre pubblicazioni. La decisione sull’eventuale pubblicazione è ad esclusiva discrezione della Redazione. I testi devono pervenire in formato elettronico in qualsiasi forma di Word Processing e non devono superare le 15.000 battute (spazi inclusi). Grafici, loghi e immagini a corredo devono pervenire in redazione in f.to jpg, tigg o eps con risoluzione minima di 300 dpi. Testi e immagini devono essere inviati a: redazione@edisef.it oppure visti in originale a: EDISEF - Via A. Toscani, 26 - 00152 ROMA
Abbonamenti Via Antonio Toscani, 26 00152 Roma Tel. 06.53.730.96 Fax 06.58.200.968 e-mail: info@edisef.it Finito di stampare nel mese di Ottobre 2014 presso: C.S.R. SRL TIPOGRAFIA Via di Pietralata, 155 00158 Roma