L’accesso alle tecnologie Web 2.0 dovrebbe essere gestito adeguando il livello di sicurezza interno all’organizzazione. Soprattutto, le aziende sono chiamate a formalizzare i processi di governance delle piattaforme di social network prevedendo il coinvolgimento strutturato e fattivo della funzione It
La storia di Pamela, account di un’importante società di relazioni pubbliche, inizia con la richiesta di uno sconosciuto di avere maggiori info su un certo prodotto. L’azienda di Pamela cura i rapporti con la stampa di molti nomi importanti nel settore delle telecomunicazioni. Anche se in genere su Facebook non si parla di lavoro, la risposta non si fa attendere più di tanto; Pamela non ha nessuna difficoltà a indirizzare lo sconosciuto verso il link sul quale potrà trovare le specifiche tecniche del prodotto. La risposta a quel messaggio abilita il misterioso interlocutore ad accedere al profilo di Pamela consentendogli di navigare tra tutte le pagine che la riguardano. Da questo momento potrà procedere con un’indagine più approfondita della personalità di Pamela, del suo giro di amicizie, dei suoi interessi e così via. Individuato nella sua cerchia di amicizie l’immancabile collezionista di contatti l’intruso cercherà di ottenerne l’amicizia, millantando un’amicizia condivisa. Il cerchio si chiude; le attività dannose che d’ora in avanti il malintenzionato può innescare vanno dalla diffusione di dati sensibili alla violazione della privacy; dall’innesco di un’infezione di malware al danneggiamento della reputazione dell’azienda.
COSA RISCHIANO LE IMPRESE?
«Gli strumenti di social network costituiscono oggi uno degli obiettivi preferiti dagli hacker per la realizzazione di attività illecite e dannose all’indirizzo degli utenti di Internet», ci conferma Rossano Ferraris, senior security specialist, research engineer per CA Technologies Isbu – Internet Security business unit (www.ca.com/it). “Cyberbullying”, “stalking”, “furto di identità”, “phishing”, “scam”, “marketing spam” sono alcune delle minacce più diffuse sulle piattaforme di social network. Chi ha agganciato Pamela potrebbe essere partito ricostruendo la mappa delle gerarchie interne: determinare la ripartizione di taluni compiti all’interno dell’azienda; individuare i nomi dei suoi più stretti collaboratori; saputo che Tizio e Caio oltre che colleghi sono anche confidenti potrebbe provare a fare leva su quel rapporto di fiducia; per esempio inviando una mail a Tizio spacciandosi per Caio, suo confidente, del quale ha ricostruito il profilo. In questo modo le probabilità che venga aperto un allegato dannoso in grado di paralizzare la rete aumenterebbero sensibilmente. A impressionare è la facilità con cui un malintenzionato può mettere le mani su dati personali e la mole di informazioni che è possibile raccogliere. Anche senza immaginare scenari apocalittici la possibilità di reperire dati personali interessanti come la mail, il numero di telefono, magari l’indirizzo è già di per sé un ottimo risultato considerando che con quattro/cinque informazioni personali verificate il margine d’errore nell’identificare qualcuno è inferiore al 5%. L’imprudente condivisione dell’informazione oltre a mettere a rischio la propria privacy compromette anche quella di amici e conoscenti.
ANCHE I VIRUS SOCIALIZZANO
Secondo quanto rileva Sophos negli ultimi 12 mesi il 57% degli utenti ha ricevuto messaggi spam (+70.6% rispetto al 2008) e il 36% malware tramite social network, con un aumento del 69.8% rispetto allo scorso anno. Un’altra indagine recente condotta da Panda Security sulle Pmi degli Stati Uniti, ha mostrato che quasi un terzo delle società interpellate, con un numero di dipendenti da 15 a 1.000, è stato colpito da malware proveniente da siti di social media; «di queste, il 35% ha subito una perdita economica, per oltre un terzo dei casi, superiore ai 5mila dollari», ci conferma Domenico Fusco, direttore vendite Italia di Panda Security (www.pandasecurity.com). Nessuno contesta che l’aumento di spam e malware si deve in larga parte alla diffusione dei siti di social network; chi attacca sa che su tali piattaforme le probabilità che un worm si propaghi sono alte; sa della mancanza di misure di sicurezza efficaci da parte di chi le gestisce e ha ben presente che, poiché gli utenti credono di essere parte di un network di persone fidate, sono più vulnerabili; «il 20% degli attacchi criminali online oggi è indirizzato verso i siti di social network grazie all’elevato numero di utenti registrati e al fatto che gli utenti stessi sembrano essere meno sospettosi circa la possibilità di un attacco di social engineering. Il numero di possibili obiettivi è infinito e il ritorno dell’investimento per un malintenzionato elevato» ci conferma Sabrina Mazzanti, RSA marketing manager (http://italy.rsa.com/).
LA REAZIONE DELL’AZIENDA
Twitter, LinkedIn, My Space, Facebook, ognuno con caratteristiche diverse sono altrettanti canali di comunicazione impossibili da ignorare. Le loro potenzialità per lo sviluppo del business e per promuovere l’impresa sono note. I social network forniscono visibilità immediata alle aziende che vi si affacciano. «Ovviamente, ciò comporta un aumento delle possibilità di subire attacchi informatici che sfruttano le vulnerabilità dei sistemi e la quantità di informazioni messa a disposizione dagli utenti», avverte Maurizio Martinozzi, manager sales engineering Trend Micro Italy (www.trendmicro.it). «Tutti perciò devono imparare a essere molto più attenti nella gestione dei dati personali, se si vuole evitare di essere vittima del prossimo furto di identità online», rileva Marco D’Elia, country manager Sophos Italia (www.sophos.it). Soprattutto le aziende devono fare di più. Nonostante l’utilizzo di questi strumenti sia sempre più diffuso, tra loro solo una minima parte ha formalizzato processi di governance che li incorporino. Anche se non si tratta di un compito agevole, anzi la loro integrazione solleva problemi che vanno affrontati su diversi piani; gli aspetti da considerare sono la sicurezza, la privacy, il controllo delle informazioni, l’integrazione con i sistemi esistenti. «Il fenomeno – sottolinea Fabio Panada, security technical professional leader, IBM South West Europe, (www.ibm.com/security -www.ibm.com/software/it/tivoli) – non è soltanto tecnologico, ma è il risultato di una progressiva evoluzione sociale e organizzativa che trova nelle nuove tecnologie un importante fattore di accelerazione»; proprio quest’ultimo aspetto, sottolinea Panada, «rende problematica una corretta gestione del rischio in un ambiente sempre più aperto e dinamico». Idealmente «la creazione di processi di governance, unita al rafforzamento degli strumenti di protezione, permetterebbe alle aziende di limitare i rischi e di fare fronte più rapidamente alle eventuali emergenze», riconosce Martinozzi di Trend Micro. Tuttavia come rileva Emilio Turani, country manager di Stonesoft Italia, Svizzera Italiana, Grecia e Turchia (www.stonesoft.com/it/), «questi strumenti veicolano minacce che ormai hanno poco di tecnologico, ma sono perfette per sfruttare le vulnerabilità legate al fattore umano»; perciò, continua Turani, «un approccio basato unicamente sulla tecnologia non è sufficiente. Limitare l’accesso ai soli contenuti “non malevoli”, ovvero focalizzare l’attenzione sullo sviluppo delle soluzioni di security verso il lato applicativo, costituisce una sfida che il mercato della security deve affrontare e rappresenterà probabilmente un ambito di sviluppo fondamentale nel medio termine». Anche secondo Isabelle Poncet, technology marketing manager Borderless Network Med di Cisco (www.cisco.com/it), questa situazione «richiede un ripensamento radicale dell’approccio da tenere da parte dei dipartimenti It e dei responsabili della sicurezza delle aziende», che dovrebbe aver luogo, argomenta Poncet, «senza attendere la formalizzazione di processi di governance complessi che rischiano di “ingessare” queste nuove modalità di interazione».
L’APPROCCIO TECNOLOGICO
L’utilizzo indisciplinato dei social network non può non impattare sulla sicurezza della struttura It dell’azienda. Pur con le riserve espresse da alcuni dei nostri interlocutori, nessuno nega comunque che per combattere efficacemente il problema occorre dotarsi di soluzioni in grado di proteggere le reti aziendali dai pericoli derivanti dall’utilizzo scorretto di Internet in generale e dei social network in particolare. A questo proposito D’Elia (Sophos) sottolinea la disponibilità di strumenti che consentono l’utilizzo di questi tool «senza sacrificare nulla in termini di protezione dei dati sensibili». Intanto un utilizzo intensivo dei social network in ambito aziendale può avere ripercussioni negative in termini di prestazioni della rete e di sicurezza, dato che, come abbiamo già rilevato, da queste piattaforme si propaga malware di ogni tipo. Per ovviare a questi rischi secondo Paolo Ardemagni, regional director Southern Europe di Check Point Software Technologies (www.checkpoint.com), è necessario dotarsi di un’infrastruttura di sicurezza che consenta di prevenire le intrusioni a livello di singoli gateway e non centralizzata tra firewall e rete come avviene ancora oggi; «il passaggio a una Intrusion prevention distribuita consente di alleggerire il carico di rete permettendo al tempo stesso controlli di sicurezza efficaci», sottolinea Ardemagni. A livello di endpoint invece Alexander Moiseev, managing director di Kaspersky Lab Italy (www.kaspersky.it), suggerisce di «rafforzare la sicurezza adottando soluzioni antimalware il più possibile trasparenti all’utente finale». Altre misure attive sono il monitoraggio di tutti i terminali collegati alla rete e l’attivazione su tutte le macchine di restrizioni stringenti a partire dalla modalità di navigazione fino all’inibizione totale all’esecuzione di programmi. Meno diffuse, ma altrettanto efficaci possono rivelarsi le soluzioni di Data leakage prevention mediante le quali definire criteri di utilizzo del Web configurabili, capaci di impedirne l’utilizzo inappropriato, senza per questo precluderne l’accesso a coloro che sono stati autorizzati, e controllare l’uscita impropria di dati dalla rete aziendale tramite canali non autorizzati. Per Marco Gioanola, consulting engineer di Arbor Networks, Emea – Italia (www.arbornetworks.com/it), con la diffusione degli strumenti di social network, dal semplice forum fino ai servizi di geo-localizzazione, aumentano i rischi di cadere nelle trappole del social engineering: «L’esposizione imprudente di informazioni aziendali combinata al falso senso di fiducia riposto negli altri partecipanti alla community offrono il fianco a spammer e truffatori d’ogni genere». A parere di Gioanola questo scenario evidenzia i limiti delle soluzioni di sicurezza tradizionali: «Se da un lato è imprescindibile puntare sull’educazione dell’utenza all’utilizzo responsabile di questi strumenti, noi riteniamo altrettanto importante completare le misure di sicurezza già in campo con soluzioni di Network behavior anomaly detection che permettano di rilevare abusi e utilizzi fraudolenti delle risorse aziendali in maniera scalabile e non intrusiva». E sempre in tema di soluzioni, Ombretta Comi, marketing manager McAfee per l’Italia (www.mcafee.com/it), ci informa che «con la nuova release di Firewall Enterprise, McAfee ha ampliato la protezione esistente per le applicazioni fornita dalla linea di prodotto di Appliance Firewall Enterprise, offrendo agli amministratori di sicurezza visibilità, identificazione e attuazione delle policy di migliaia di applicazioni che non sono visibili con la tecnologia firewall convenzionale».
L’APPROCCIO ORGANIZZATIVO
Quando qualche anno fa cominciavano ad affacciarsi i problemi sollevati dalla vita sociale sul Web del proprio collaboratore aziendale, non era raro imbattersi in consigli da parte di nomi anche quotati nel campo della sicurezza It che suggerivano alle aziende di scoraggiare il proprio dipendente dal mantenere un profilo pubblico su un social network. E la regola predominante era di vietare l’accesso alle pagine Web inopportune. Anche oggi, come rileva Fusco (Panda Security), esistono strutture che hanno scelto di vietare l’accesso tout court a determinate pagine Web, in modo tale da superare il problema vietandone l’utilizzo nelle ore di ufficio. E che, come sottolinea Moiseev (Kaspersky), in qualsiasi struttura di protezione, anche la più sofisticata, esiste una componente di rischio rappresentato dal fattore umano. Tuttavia nel caso di utilizzo non responsabilizzato dei social network questo rischio aumenta. «Nonostante i numerosi meccanismi di formazione e responsabilizzazione delle risorse umane in azienda il rischio è quello di dare fiducia agli “amici” dei social network, dei quali in molti casi non si ha la certezza di una reale esistenza», rileva Moiseev. Detto questo però per Feliciano Intini, responsabile dei programmi di sicurezza e privacy di Microsoft Italia (www.microsoft.com/italy), sarebbe «anacronistico, probabilmente miope e forse inutile pensare di irrobustire la protezione degli asset aziendali semplicemente negando l’uso degli strumenti di social network, privandosi così delle opportunità di condivisione e dei benefici in termini di maggiore produttività che possono offrire». Nel caso l’azienda non abbia nessuna necessità di utilizzare le piattaforme di social network, «è sufficiente implementare una policy che vieti l’accesso dai propri Pc a tutti gli utenti tramite la semplice creazione di una “blacklist”, ci dice Ferraris (CA Technologies) che, data la sempre più crescente popolarità di questi siti, ritiene comunque che l’atteggiamento più adeguato sia quello di regolamentarne l’utilizzo, «informando i dipendenti dei pericoli e richiedendo una condotta corretta che non metta a rischio l’attività e la produttività aziendale»; in questo caso Ferraris consiglia di implementare una policy imperniata sul ruolo dell’utente, in base alla quale determinare solo privilegi e restrizioni di accesso a queste piattaforme.
POLITICHE DI PREVENZIONE E STRUMENTI IT
L’importanza che la sicurezza informatica ricopre nell’organizzazione dipende fortemente dalle dimensioni e dal settore in cui opera. I sistemi informativi delle aziende medio/grandi sono di solito più strutturati di quelle più piccole; dispongono di maggiori risorse umane e finanziarie e di conseguenza sono più sensibili ai vantaggi offerti dalle soluzioni di sicurezza. In queste realtà la presenza di una piattaforma tecnologica che tuteli l’azienda contro i pericoli della perdita di dati e della divulgazione d’informazioni non autorizzate è più apprezzata prima e sfruttata meglio dopo. Nelle piccole imprese invece le carenze di attenzione e consapevolezza dei pericoli derivanti dall’utilizzo imprudente della rete sono visibili a occhio nudo. Una cosa però accomuna queste realtà ed essa ci viene illustrata da Martinozzi (Trend Micro): il via libera all’utilizzo di una piattaforma di social network viene dato dalle funzioni aziendali legate al core business, e all’It non rimane che adeguarsi mettendo in campo tutte le strategie di protezione con gli strumenti di sicurezza disponibili; spesso però ciò non è sufficiente: «L’It fatica a fare valere le ragioni del buonsenso; manca una cultura aziendale orientata alla difesa delle informazioni e alla continuità dell’attività». Nel frattempo «dati aziendali importanti finiscono su portali come Facebook, inseriti da utenti interni che non si rendono conto dei rischi», osserva Martinozzi. In questo scenario all’It non rimane che risolvere i problemi, abdicando al ruolo di risorsa proattiva, «in grado di disegnare insieme al resto dell’azienda le strategie di “sviluppo sostenibile” dei mezzi di comunicazione», prosegue Martinozzi. Simili i punti di vista espressi rispettivamente da Sabrina Mazzanti (RSA), che ribadisce la necessità di coinvolgere i team di sicurezza nei processi di business innovativi, e da Isabelle Poncet (Cisco), secondo la quale «la funzione It deve essere parte integrante di un approccio strutturato alla sicurezza aziendale, tradizionale per la parte di gestione della sicurezza all’interno dei confini dell’impresa e più avanzata per quella parte legata all’avvento del mobile Internet e dell’accesso in mobilità alle applicazioni aziendali». Di tutt’altro avviso invece il parere di Marco Gioanola (Arbor Networks) che rileva come la struttura It spesso oberata dal mantenimento operativo dei sistemi non ha la possibilità, e a volte nemmeno il mandato aziendale, di occuparsi di acceptable Internet use policies. «Noi di Arbor – afferma Gioanola – siamo del parere che parte della risposta a queste minacce risieda nello sforzo congiunto di Isp e content providers; inoltre riteniamo indispensabile ottimizzare l’attività delle funzioni It e security che, spesso sommerse da log, alert, agent e client d’ogni sorta, rischiano di perdere di vista gli eventi realmente rilevanti». Per Turani (Stonesoft) il problema dell’abuso delle risorse messe a disposizione dai social network ripresenta tematiche che, con l’avvento delle tecnologie antispam e antivirus, sembravano risolte. «In realtà la questione non è più solo tecnologica, ma soprattutto procedurale – prosegue Turani -. L’accesso ai social network viene di norma consentito illimitatamente oppure negato a priori; trovare il giusto equilibrio tra questi due tipi di approcci rappresenta il salto qualitativo che il mondo della security deve effettuare».
È innegabile che i social network giochino oggi un ruolo importante nelle preoccupazioni degli It manager. «A mio avviso, bisogna riflettere sul loro ruolo e sulla loro utilità in azienda – afferma Ardemagni (Check Point Software Technologies) -; ci sono dipartimenti che ne possono fare uso per rendere più efficace la comunicazione aziendale, o per incentivare l’interazione tra colleghi. Ma ci sono anche realtà nelle quali l’utilizzo professionale è meno plausibile o comunque non strategico per l’azienda. In questo caso – prosegue Ardemagni -, una soluzione che consenta di modulare l’accesso alle varie applicazioni può aiutare ad affrontare il problema in modo più efficace».
Secondo Antonio Baldassarra, Ceo di Seeweb (www.seeweb.it), ci troviamo a un punto di svolta nello sviluppo dell’It: «Ci stiamo muovendo da uno scenario che vede al centro le risorse fisiche (hardware) e logiche (software) verso un futuro in cui perderemo sempre più la tangibilità di queste cose senza tuttavia perderne la disponibilità degli effetti». In altre parole le problematiche odierne che riguardano lo sfruttamento e la sicurezza del cloud computing sono un “assaggio” di quello che ci riserva in futuro questo paradigma. «Sarebbe riduttivo interpretarne l’evoluzione solo in termini di rischi – argomenta Baldassarra -: basti considerare i vantaggi che già oggi le aziende possono conseguire che superano di gran lunga i rischi reali. Si tratta di recuperare i concetti che stanno alla base della governance Ict, della gestione del rischio e della sicurezza in generale; non più dunque attenzione ai dispositivi fisici, né percezione della sicurezza attraverso “oggetti” o software specifici, ma rivalutazione di metodologie e di procedure con un’importante attenzione alla misurazione dei parametri in tempo reale e all’audit».
NECESSITA UN cambio di marcia
Nel 2008 su quasi un miliardo di utenti unici connessi nel mondo, più della metà aveva navigato su siti di social network. Secondo il rapporto annuale 2009 di Eurispes, tre italiani su dieci, giovani o giovanissimi (tra 25-34 e 18-24 anni), questi ultimi i più affascinati dalle potenzialità dello strumento, utilizzano gli strumenti di social network. Su questo solco l’utilizzo di tali piattaforme quali strumenti di business, si è esteso in tutte le aree chiave della catena del valore. Le note negative arrivano dalla percentuale irrisoria di aziende in grado di formalizzare un processo specifico associato all’uso del social networking per finalità aziendali e dalla conseguente sottovalutazione dei rischi connessi a un utilizzo indisciplinato di questi strumenti. Anche nei pochi casi in cui ciò non avviene emerge come ancora solo occasionalmente il reparto It venga coinvolto in maniera strutturale nei processi di identificazione, integrazione e gestione delle piattaforme di social network. Auspicare un cambio di marcia sia sul fronte dell’integrazione con applicazioni, infrastrutture, policy e i sistemi di security esistenti sia in ragione del ruolo che questi tool giocano nell’evoluzione del modo di interagire tra organizzazione e mondo esterno è il minimo che si può chiedere alle nostre aziende per competere ad armi pari con una concorrenza in tutti i settori sempre più agguerrita.
