Pianificazione, formazione e tecnologia proteggono l’azienda. I social fanno parte della nostra vita e in futuro saranno sempre più importanti. Ma sono anche un terreno su cui proliferano minacce e pericoli. Il gap tra strategie di attacco e difesa, oggi sfavorevole alle seconde, può essere superato. Ma serve l’impegno di tutti: persone, aziende, istituzioni e vendor
In Francia, Germania e Austria già c’era. Ora sbarca pure da noi. Si tratta del sito che dà corpo al progetto Vivere in un mondo connesso, curato da Facebook in collaborazione con il Garante per la protezione dei dati personali. Il sito si articola in tre sezioni, consapevolezza, controllo e protezione, ognuna dispensatrice di consigli utili per adottare una condotta più prudente online in relazione al tema della privacy sui social e corredata da link ragionati a una serie di risorse e strumenti per mantenere il controllo sui propri dati. Un percorso di autoformazione al termine del quale, l’utilizzatore può valutare le proprie competenze grazie a uno strumento di autovalutazione sviluppato dall’Unione nazionale consumatori. Iniziative come questa negli ultimi tempi si stanno moltiplicando. E rappresentano un tentativo concreto di andare oltre le buone intenzioni per sensibilizzare gli utenti sui pericoli che arrivano dai social. Uno sforzo che merita di essere salutato con benevolenza. Il granello di sabbia per far saltare il meccanismo perverso di disinformazione e superficialità. L’humus su cui proliferano i pericoli della rete.
Attacchi informatici
Il futuro è social
Oltre la metà delle aziende Fortune500 usa attivamente i social media sia al proprio interno sia nei rapporti con partner, clienti e media. Anche in Italia, si moltiplicano i casi di utilizzo virtuoso dei social come strumenti di business evoluti. Ma sui social, anche una pletora di azioni fraudolente trova un terreno fertile su cui svilupparsi. La casistica dei rischi connessi al loro utilizzo è molto estesa. Frodi, truffe, infezioni da virus e malware. Furti di dati sensibili e di materiale proprietario. Danni alla reputazione dell’azienda. I numeri dimostrano che i social sono uno dei canali preferiti per condurre attività illecite. Secondo il Rapporto Clusit 2015, un italiano su due è stato vittima di un crimine online: estorsioni, ricatti, furti di identità. Di questi almeno la metà veicolati dai social. Il mondo mobile rappresenta l’ultima frontiera. «L’utilizzo dei social avviene in prevalenza attraverso tablet e smartphone» – conferma Carmen Palumbo, field marketing manager di Check Point Software Technologies. «I dispositivi mobili offrono un accesso diretto più semplice agli asset aziendali di valore rispetto a ogni altro punto di accesso alla rete. Ciò li rende l’anello debole nella catena della security». Buona parte degli attacchi che si consumano sulle piattaforme social fanno leva sulle tecniche di social engineering. «In passato, richiedeva un investimento significativo di tempo e fatica da parte degli hacker» – ci spiega Ivano Mantovani, security systems leader di IBM Italia.
«Oggi, la situazione è cambiata. Tutto è più semplice per il “cattivo”. L’utilizzo di siti professionali social ha reso più facile la raccolta di informazioni personali oltre che il contatto con persone che non si conoscono». In molti casi, tutto quel che serve è già disponibile. Basta soltanto raccoglierlo. Sono ormai rari i casi in cui chi attacca incontra difficoltà a ricostruire il profilo del proprio target. Semmai, la difficoltà è quella di riuscire a indurre la vittima a comportarsi in un certo modo. Pornografia, programmi craccati, password, keylogger, crack per sbloccare programmi commerciali sono le esche più gettonate. La varietà di malware in circolazione consente qualsiasi forma di adescamento personalizzato. «Nella maggior parte dei casi, l’attacco viene innescato da un dipendente che apre una presunta email di un collega» – afferma Carla Targa, marketing & communication manager di Trend Micro. «I malintenzionati studiano i profili delle persone, le foto postate su Facebook e Twitter, ricostruiscono i loro movimenti. Con queste informazioni confezionano email personalizzate recapitate da indirizzi di alberghi, ristoranti, e da qualunque altro luogo collegato alla sfera privata del target che in questo modo tende ad abbassare il grado di allerta». In molti casi, un profilo social fasullo rappresenta il trampolino di lancio verso un’azione criminale. Anche per via della scarsa attenzione con la quale sono solitamente gestiti. In generale agli utilizzatori – e in particolare ai minori di età – non interessano le problematiche legate a condivisione, trattamento e sottrazione dei dati che riguardano i loro profili in rete. Altre sono le priorità connesse alla presenza online. Persino i più responsabili incontrano difficoltà a modulare le proprie preferenze in relazione al livello di sicurezza che si vuole avere. E questo perché la complessità e anche l’ambiguità delle interfacce (per la mancanza di linee guida chiare) di certo non aiutano gli utilizzatori a scegliere i settaggi più appropriati alle proprie esigenze. Così come non aiutano i ritardi con cui i gestori bloccano le violazioni di identità che con cadenza quotidiana si verificano sui social, uniti all’estrema lentezza con cui le misure di sicurezza basilari (meccanismi di autenticazione sicura, controllo accessi, captcha, limitazioni alla pubblicazione di info sensibili, cancellazione sicura e univoca dei profili sul web) sono adottate. Carenze che fanno arrabbiare e preoccupano.
Ashley Madison reloaded
Un conto è il minorenne che non si preoccupa della propria incolumità in rete. Altra cosa invece è che un popolare sito non adotti neppure le più elementari misure di sicurezza per tutelare i dati e la privacy dei propri iscritti. Simbolica in tal senso la vicenda Ashley Madison (AM), il sito di dating preso di mira da un gruppo di hacker nel luglio scorso. “The last truly secure space on the Internet”, l’ultimo luogo davvero sicuro su internet, recitava il demenziale claim del sito. In realtà, la canadese Avid Life Media proprietaria del portale non solo non esercitava alcun controllo sulla veridicità delle informazioni fornite dai 37 milioni di utenti dichiarati (condotta oltre che censurabile, a rischio sanzioni da parte dalla Federal Trade Commission, l’ente di controllo statunitense sulle frodi in commercio) – ma vendeva servizi di sicurezza che di fatto non poteva garantire. Come la cancellazione dei dati registrati. Che invece AM conservava, intascando 19 dollari da ogni sottoscrittore – oltre al costo dell’abbonamento ai servizi di dating – per un servizio fasullo. La diffusione in rete di dati personali, email, numeri di telefono, carte di credito ha gettato nel panico milioni di persone.
Il lato “social” dell’IT
La componente social trasforma le strategie di business dell’azienda. Ma in che misura cambia quelle di sicurezza dell’azienda? Che posto occupano i social nelle preoccupazioni dell’IT? Se dovessimo basarci sulle cifre – virtualmente, almeno un individuo su dieci sul Pianeta possiede un account social – i social dovrebbero essere in cima. Oggi, nessuno vuole più rinunciare ai vantaggi che derivano dall’aprirsi verso il pubblico. è innegabile che in molte aziende questa apertura fa parte di una strategia più ampia di business. Ma come potrebbe essere calibrato l’intervento di sicurezza in ambito social? E in che misura si è disposti a pagarne il prezzo in termini di investimenti, education, policy?
Nelle realtà, in cui l’utilizzo professionale delle piattaforme social non è strategico, le preoccupazioni dell’IT saranno ovviamente contenute. La presenza di policy che vietino agli utenti l’accesso ai social dalle postazioni aziendali attraverso la creazione di una semplice “blacklist” di siti non consentiti è più che sufficiente. Dove invece le funzioni aziendali impiegano i social per rendere più efficace la comunicazione o per incentivare l’interazione tra i colleghi, in che misura sono presenti politiche di sicurezza, cultura e soluzioni in grado di modulare l’accesso alle varie applicazioni senza mettere a repentaglio la sicurezza interna? Giancarlo Vercellino, research & consulting manager di IDC Italia suggerisce un approccio al problema della sicurezza sui social, mediante l’adozione di una classica metodologia a strati. «Procedendo a spirale in un progressivo avvicinamento alla sicurezza, occorre innanzitutto dotarsi di strumenti specializzati di sentiment analysis in grado di offrire un monitoraggio ad ampio spettro di quel che accade in rete». In pratica, «si tratta di integrare tali funzionalità – continua Vercellino – con appositi strumenti di information Discovery/Governance per tenere traccia di documenti e responsabilità all’interno del perimetro organizzativo». L’ultimo passo in caso di proprietà intellettuale, brevetti oppure informazioni altamente riservate o sensibili, sarà quello di adottare strumenti di data loss prevention.
Partiamo dalle politiche di sicurezza
Si sarebbe portati a credere che quando si autorizza l’utilizzo degli strumenti di collaborazione social, l’impresa sia orientata a disciplinarne l’utilizzo attraverso l’utilizzo di policy di protezione. «Regolamentarne l’uso è fondamentale» – concorda Luigi Cattaneo, country manager di Panda Security Italia. «Per questo è necessaria una forte attività di formazione agli utenti e di responsabilizzazione, per illustrare e approfondire in modo reale i rischi, le minacce di Internet e i danni che potrebbero causare a se stessi e all’azienda, in termini di furto di informazioni confidenziali e violazione della privacy». La vicenda Ashley Madison dimostra quanta strada ci sia ancora da fare. Di certo, le esigenze delle aziende, salvo pochi casi limite, vanno ben oltre il “consenti/nega tutto”. Naturalmente, un buon tecnico che disponga della soluzione di sicurezza adatta sarà in grado di bloccare del tutto o in parte alcuni siti – e dunque anche un social network – considerati inappropriati o rischiosi per l’attività dell’azienda.
Però, come rileva Walter Narisoni, sales engineer manager di Sophos Italia investire in comunicazione social e poi bloccare l’accesso dei propri dipendenti a tali piattaforme «rischia di rivelarsi un comportamento anacronistico». Anche perché l’accesso ai social non avviene più solo in azienda né utilizzando esclusivamente i device aziendali. «Di conseguenza, “vietare” qualcosa in senso assoluto è diventato oggettivamente molto difficile, se non addirittura controproducente» – fa notare Andrea Zapparoli Manzoni, membro del comitato direttivo di Clusit. Serve un approccio più equilibrato. «Il bilanciamento tra abilitazione e protezione del business richiede un cambio nel modo in cui viene approcciata la sicurezza IT» – rileva Stefano Volpi, area sales manager, global security sales organization (GSSO) di Cisco. Secondo Volpi occorre adattarsi ai comportamenti degli utenti e allo stesso tempo garantire la più ampia visibilità sulle minacce. Tecnologia dunque. Mediata da una piattaforma adatta. «Le imprese che persistono con l’utilizzo di soluzioni di sicurezza tradizionali saranno esposte a maggiori rischi». Un atteggiamento particolarmente pericoloso – rimarca Volpi – quando in azienda entrano i nativi digitali, più abili nell’utilizzo della tecnologia IT e dotati di conoscenze e mezzi per bypassare le policy di sicurezza presenti. «Una recente ricerca Cisco sui comportamenti dei dipendenti che minano la sicurezza IT delle aziende italiane dimostra che 1 intervistato su 14 aggira le policy di sicurezza IT quando lo ritiene necessario» – racconta Volpi.
Controllo e regole chiare
La policy di sicurezza non può dunque non tenere conto delle caratteristiche dell’utente. E del suo ruolo all’interno dell’organizzazione. Idealmente la policy perfetta consente un utilizzo mirato degli strumenti social. Prevede sia la possibilità per alcuni utenti di aggiornare il proprio profilo sia di impedire l’utilizzo di funzionalità pericolose quali chat o plug-in. Inoltre, incorpora il controllo dei contenuti e delle vulnerabilità, per scongiurare il pericolo che all’interno del traffico consentito vengano veicolati attacchi. Infine, la sua efficacia sarà massima se puntellata dall’impiego di certificati che garantiscano l’autenticità della relazione tra le parti e da meccanismi di controllo degli accessi basati su regole chiare. Non solo. La costruzione di policy incentrate sul profilo utente consente ai chief information security officer di gestirle centralmente e in modo automatico, abbandonando le procedure tradizionali. «Questo trend – spiega Stefano Volpi di Cisco – fornisce ai manager IT la possibilità di impostare protocolli specifici per l’utente, che agiscono su tutti i dispositivi in suo possesso, ovunque si trovi. Politiche di sicurezza “più reattive” dovrebbero consentire alle aziende di essere più agili da una parte e meno esposte ai rischi dall’altra».
Le piattaforme attrezzate che abilitano l’IT alla configurazione di permessi di accesso correlati al profilo del singolo utente non mancano. «Consapevoli dell’importanza delle policy di sicurezza definite nell’azienda, IBM ha reso disponibile una soluzione di security intelligence, IBM QRadar, in grado di monitorare l’applicazione delle policy di sicurezza da parte degli utenti» – ci dice Ivano Mantovani di IBM Italia. «La soluzione, oltre al rilevamento delle anomalie tecnologiche e di rete, consente di verificare l’utilizzo di siti e di applicazioni esterne all’azienda, inclusi i social media. Permette inoltre la correlazione tra siti di phishing, indirizzi di posta e IP malevoli, evidenziando così eventuali rischi di perdita di informazioni, dati e utenze». Anche sul fronte mobile l’offerta si sta facendo più aggressiva. CheckPoint per esempio segnala la disponibilità di Mobile Threat Prevention, una soluzione ad hoc per proteggere i dispositivi mobili. «Una piattaforma innovativa in grado di sondare le minacce sui dispositivi, sulle applicazioni e sulle reti, che permette di gestire la sicurezza nel contesto di un’infrastruttura più ampia già esistente» – afferma Carmen Palumbo.
Esperienza e competenza
Anche le soluzioni di mitigation, pur in continua evoluzione, presentano tuttavia dei limiti. Per esempio, non sempre riescono a stare al passo della rapidità con cui evolvono le minacce in circolazione. Inoltre, l’implementazione di policy all’altezza delle minacce come i comportamenti virtuosi scontano sempre un ritardo rispetto alle tecnologie. E per finire, conoscenze ed esperienza degli utenti non sempre sono all’altezza della sfida. «L’inesperienza e la scarsa sensibilità delle persone rispetto alla sicurezza e al valore dei dati aziendali possono trasformarsi in facili varchi per gli hacker» – spiega Mantovani di IBM. Una vulnerabilità che può essere tamponata solo con azioni mirate di education. Come i corsi di security awareness, suggeriti da Denis Cassinerio, security BU director & sales director North Italy di Hitachi Systems CBT adatti a «far capire quali sono i doveri dei collaboratori nella classificazione e gestione dei dati, in termini di responsabilità aziendale e giuridica». Fondamentale in tal senso, lo sviluppo di una adeguata cultura sulle tematiche di sicurezza che consenta di prevenire comportamenti scorretti forieri di conseguenze dannose. Soprattutto oggi che gli utenti utilizzano sempre più massicciamente strumenti propri. «Tale cultura deve toccare tutti i livelli aziendali e deve essere costruita attraverso percorsi formativi sviluppati con l’obiettivo di spiegare agli utenti i comportamenti scorretti da evitare e le possibili esposizioni che si potrebbero avere operando sui siti social» – ci dice Mantovani di IBM. «Solo partendo dalla consapevolezza degli utenti e dallo sviluppo di una adeguata cultura aziendale, sarà possibile seguire e rispettare le policy di sicurezza definite». Di conseguenza, è opportuno implementare policy che mirino alla costruzione di un’effettiva consapevolezza negli utenti che accedono alle piattaforme social.
Secondo Zapparoli Manzoni di Clusit, per rendere le policy comprensibili è necessario mostrare ai collaboratori un gran numero di esempi e spiegare che tramite i social possono essere colpiti sia sul piano aziendale sia personale. «Comprendere le loro peculiarità aiuta a convincere i collaboratori ad applicare prudenza e buon senso». Si tratta di investire denaro e risorse ovviamente. Ma i risultati non tarderanno ad arrivare. «Esistono molti esempi di come grandi compagnie e multinazionali si stanno muovendo su questo campo con semplici regole che vanno a integrare le comuni norme sulla disciplina del lavoro. Da questi esempi, si desume il clima e lo spirito di una organizzazione. E in molti casi, almeno formalmente, grandi operatori hanno dimostrato di avere una notevole lungimiranza» – ci dice Giancarlo Vercellino di IDC Italia. Ma anche un certo sense of humor negli ambienti di lavoro può essere utile per raggiungere lo scopo. «L’interiorizzazione di una social media policy richiede diligenza e disciplina da parte del lavoratore ma anche una specifica attività di sensibilizzazione e formazione, e quindi un investimento da parte delle aziende». Azioni di education e formazione tecnica, presenza di policy che regolino l’impiego di strumenti social e tecnologia di sicurezza. «Quale sia il cocktail di fattori per garantire il risultato vincente è un tema di discussione interdisciplinare sempre più ampio e articolato, che attraversa management, tecnologia e giurisprudenza. Se in un’organizzazione esiste un buon clima organizzativo e le persone vivono in prima persona un forte senso di appartenenza, la maggior parte dei problemi è già risolto alla radice» – conclude Vercellino.
Var Group e KPMG: alleanza e strategia innovativa per la security
Per Francesca Moriani, amministratore delegato di Var Group, la digital revolution offre importanti opportunità di crescita che le imprese devono cogliere per competere, anche se devono farlo in completa sicurezza. Per questo, Var Group e KPMG hanno sviluppato una soluzione congiunta di security innovativa che permette alle imprese di ogni dimensione di proteggere le aree più importanti del business, andando oltre la tradizionale sicurezza informatica. In questa offerta, si uniscono le best practice di KPMG in tema di cyber security, il valore della soluzione IBM di Security Information and Event Management e i servizi e le infrastrutture Var Group, in particolare, il Security Operation Center realizzato in collaborazione con Yarix, che fornisce un approccio esaustivo in tema di sicurezza. «La nostra mission è essere partner delle imprese nello sviluppo del loro business e, dato che il tema della sicurezza è certamente uno dei più pervasivi, siamo riusciti a sviluppare un’offerta unica in Italia per completezza, qualità del servizio e innovazione – dichiara Francesca Moriani – una proposta che mette a disposizione competenze specializzate e infrastrutture di alto livello in modalità as a service, con tutti i vantaggi finanziari collegati».
Conclusioni
La diffusone dei social network dimostra il cambiamento in atto nella natura delle nostre relazioni. Sempre di più digitali e meno analogiche. Il filtro attraverso cui ci rapportiamo al mondo è cambiato. Attualmente, si basa su informazione e conoscenza. Una mutazione che investe anche il business. Si tratta di un processo appena iniziato e che ha investito solo una parte di aziende e organizzazioni. Con il tempo molte altre impareranno a convivere con le spinte social provenienti dal web. Alla sostanziale impreparazione da parte di molte organizzazioni a pensare in modo strategico allo sviluppo di questi strumenti dovrà subentrare una pianificazione di medio periodo anche in termini di sicurezza e integrazione con gli asset e i sistemi aziendali. A partire dalle persone, insegnando a utilizzare al meglio i settaggi di sicurezza attivabili direttamente sul social e prevenendo il disinteresse e la superficialità di taluni attraverso un alto livello di restrizioni di partenza. Modificabili a fronte della crescita di consapevolezza ed engagement. Fino alla completa capacità di configurarsi un profilo social più aperto rispetto a protezione e privacy, a seconda delle esigenze di ognuno. Sul fronte opposto l’auspicio è che i gestori delle piattaforme social facciano sempre di più e meglio per garantire ai propri utenti privacy e protezione adeguate, smentendo con i fatti coloro che ritengono che si faccia ancora troppo poco per difendere la sicurezza dei dati delle persone.
