RSA, la divisione di sicurezza di EMC, ha recentemente commissionato due ricerche che esaminano le implicazioni, a livello di sicurezza, derivanti dall’adozione di nuove e promettenti tecnologie come il cloud computing, la virtualizzazione, i social network e le comunicazioni mobili per le organizzazioni a livello mondiale, esplorandone i rischi ed i vantaggi di business.
La prima ricerca – condotta da IDG Research Services – rileva un gap significativo tra la velocità con la quale le organizzazioni stanno adottando nuove tecnologie di collaboration, connettività e comunicazione e la loro disponibilità ad implementarle in modo sicuro. Il secondo studio, del Security For Business Innovation Council di RSA, sottolinea come le aziende possano capitalizzare sugli importanti vantaggi di business che queste tecnologie offrono senza esporre le organizzazioni al rischio.
“Le imprese stanno diventando iper-estese, oggi scambiano informazioni tra più realtà, in molti modi e in posti diversi, ben più che in passato”, ha a ffermato Art Coviello – Executive Vice President, EMC Corporation e Presidente di RSA. “La rapida adozione di nuove tecnologie come il web, i social network e quelle mobili, combinata con l’incremento dell’outsourcing sta velocemente dissolvendo quanto rimare dei confini tradizionali dell’azienda e dei suoi asset. Le strategie di sicurezza devono cambiare drammaticamente per assicurare il raggiungimento degli obiettivi, la riduzione dei costi e i livelli di fatturato previsti senza creare vulnerabilità al business.
Nuove tecnologie: troppo entusiasmo, poca sicurezza
Commissionata da RSA e realizzata grazie alle testimonianze di 100 Top Security Executive di aziende con un fatturato superiore a 1 miliardo di dollari, la ricerca evidenzia quanto le imprese siano entusiaste del potenziale offerto dalle nuove tecnologie web e mobile anche se vengono implementate senza mettere in sicurezza i processi critici e i dati aziendali.
Nel dettaglio:
• Oltre il 70% degli intervistati reputa che l’inserimento e l’elevato utilizzo di nuove tecnologie web e mobile stiano trasformando le loro aziende in ‘iper-estese’.
• La maggior parte delle società ha aumentato l’uso della virtualizzazione, della mobily e dei social network rispetto agli ultimi 12-24 mesi; in un terzo dei casi si è registrato anche un incremento nel cloud computing.
• La maggior parte delle aziende intervistate non ha un’adeguata strategia di valutazione dei rischi derivanti dall’introduzione di queste nuove tecnologie. In alcuni casi, la sicurezza aziendale viene considerata solo quando accadono incidenti e, in altri casi, i dipartimenti di sicurezza non vengono neppure informati dell’adozione di queste nuove tecnologie.
• Circa la metà degli intervistati ha sviluppato policy aziendali che supportino i dipendenti nel corretto uso dei siti di social networking.
• Più del 30% della aziende ha applicazioni o processi che lavorano nel cloud, mentre un altro 16% sta pianificando di passare al cloud computing nel corso del prossimo anno. Tra questi, i due terzi non hanno ancora ipotizzato una strategia di sicurezza nel cloud.
• 8 su 10 hanno risposto che la pressione per la riduzione dei costi e contemporaneamente l’esigenza di incrementare il fatturato ha esposto le aziende a maggiori rischi di sicurezza; 7 su 10 hanno infatti avuto problemi di sicurezza negli ultimi 18 mesi.
• La maggior parte degli intervistati si trova concorde sulla necessità di cambiamento e miglioramento nell’approccio alla sicurezza aziendale in modo da rispondere alle reali esigenze delle società ‘iper-estese’.
Le società ‘iper-estese’ necessitano di un nuovo approccio alla sicurezza
Nel quarto report del Security for Business Innovation Council, rilasciato da RSA, dal titolo “Charting the Path: Enabling the “Hyper-Extended” Enterprise in the Face of Unprecedented Risk” i leader nella sicurezza a livello mondiale valutano come le strategie di sicurezza debbano evolversi, in un mondo nel quale azioni per la generazione di nuovo business possono implicare fortissime esposizioni al rischio.
“In questo momento delicato, in cui stiamo assistendo a cambiamenti profondi, urge un momento di riflessione. Fermandoci possiamo analizzare con lucidità se i programmi adottati sono consoni alla situazione” ha dichiarato Claudia Natanson, Chief Information Security Officer di Diageo e membro del Security Council. “Il programma della tua azienda è strutturato in base alle reali necessità, è pronto per affrontare nuove ‘sfide’? Perché solo il più agile, il più flessibile e il più preparato raggiungerà gli obiettivi di business”.
Da un report precedente di RSA, dal titolo “Driving Fast and Forward: Managing Information Security for Strategic Advantage in a Tough Economy”, viene sottolineata l’importanza dell’investimento nell’innovazione nonostante i problemi di budget e di risorse. L’analisi dimostra come tutti i leader di sicurezza siano allineati sulla necessità di innovazione proteggendo l’informazione da rischi sempre più evidenti.
Le sette ‘regole’ di un buon modello di sicurezza, secondo il report di RSA
Sulla base delle discussioni avute tra i membri del Security for Business Innovation Council, i cui membri sono i security officer delle più importanti società a livello mondiale, il report analizza dove la sicurezza debba venir indirizzata in azienda. Offre suggerimenti specifici per sviluppare un modello di sicurezza che rispecchi le opportunità emergenti e valuti i rischi correlati. I membri del Council descrivono i motivi per i quali le minacce ambientali siano particolarmente pericolose e offrono consigli su come rendere sicure le imprese “iper estese” portando vantaggi di business.
Tra i consigli dei membri del Council:
1. Proteggere il business: identificare come utilizzare le risorse in modo efficiente attraverso un approccio alla gestione del rischio partendo dal livello di sicurezza esistente. Per esempio, il Council delinea le strategie per ridurre le risorse di sicurezza dedicate alla protezione degli asset, ai dati archiviati e ai dispositivi aziendali non fondamentali . Grazie a questo controllo le aziende possono contemporaneamente ridurre i costi e limitare i rischi, svincolando così risorse che possono essere dedicate a progetti di alta priorità.
2. Essere competitivo: in una situazione economica impegnativa, se i leader di business si dovessero render conto di non riuscire ad ottenere ciò di cui necessitano da parte dei dipartimenti interni di sicurezza, potrebbero aumentare il livello di rischio aziendale rivolgendosi a service provider esterni senza il coinvolgimento della corporate security. Il Council spiega come i team di sicurezza interna debbano focalizzarsi sulla qualità ed efficienza dei servizi offerti ed evidenziare il valore che sono in grado di portare al business.
3. L’adozione proattiva di nuove tecnologie: il reparto di information security deve rendersi conto dell’impossibilità di rallentare l’adozione di nuove tecnologie di comunicazione e web; piuttosto dovrebbero focalizzarsi sul renderle più sicure. I membri del Council consigliano un approccio alla sicurezza di tipo preventivo piuttosto che reattivo, e hanno tracciato una roadmap per l’adozione di nuove tecnologie.
4. Passare dalla protezione dei container alla protezione dei dati: nell’era delle società ‘iper-estese’, un numero sempre maggiore di informazioni aziendali vengono elaborate e archiviate in container non controllati direttamente dalle organizzazioni. Per esempio, può darsi che i dati vengano elaborati dai service provider o siano contenuti in PDA o in laptop assegnati a dipendenti con contratto di consulenza che potrebbe al contempo gestire più clienti.
5. Adozione di tecniche di monitoraggio avanzate: nelle situazioni attuali, di enormi minacce, i team di sicurezza devono aggiornare il loro approccio monitorando tutti gli eventi anomali o sospetti. I membri del Council consigliano di cambiare le proprie tecniche passando da anti-virus basati su firme e blacklist a tecniche più accurate come quelle di monitoraggio basate su comportamento tipo e le whitelist.
6. Collaborazione nella creazione di standard di mercato: i membri del Council spiegano perché l’esigenza di standard abbia raggiunto un punto critico per i professionisti della sicurezza , i provider e le tecnologie emergenti.
7. Condivisione delle informazioni sui rischi: per aiutare le aziende a difendersi dalle minacce e dai frodatori internazionali che tra loro creano un network di dimensioni mondiali, il Council propone di instaurare una solida e collaborativa intelligence, tra le impresa, , le forze governative e le polizie locali.
