Occuparsi di sicurezza in azienda oggi significa tentare di arginare ondate di marea, provocate dai trend tecnologici, che nessun baluardo può contenere.
C’erano una volta le chiavette Usb, diventate armi improprie in mano a dipendenti distratti o malintenzionati. E una volta c’erano anche i virus, che viaggiavano via email e impattavano così bruscamente sulle prestazioni dei Pc che li ospitavano da mettere in allarme anche gli utenti più sprovveduti.
Ora i device non controllati che violano il perimetro aziendale sono di ogni tipo e bloccarli significa compromettere la produttività e l’efficienza del lavoro, mentre i virus sono stati sostituti da ingegneria sociale e targeted attacks che partono quasi sempre dai social network, anch’essi in parte inseriti a buon diritto tra le attività dell’azienda. E se c’è del malware sul nostro computer o smartphone è probabile che non si faccia annunciare in alcun modo, almeno finché non avrà carpito sufficienti dati personali da vendere a malintenzionati.
I nuovi sistemi operativi avranno anche migliorato la sicurezza media dei client, ma la Cina e i Paesi emergenti, con l’enorme diffusione di software illegale e la quasi totale assenza di precauzioni per la sicurezza, restano un serbatoio inesauribile e in continua in crescita di botnet, da affittare al miglior offerente per ostacolare aziende rivali o carpirne i segreti.
Ma c’è un’altro fronte, del tutto nuovo, sul quale le aziende si danno battaglia con modalità ai limiti della legalità. Parliamo della brand reputation su social network.
Tra le pagine di Facebook e Twitter si gioca una partita che può determinare il successo o il declino di un prodotto sviluppato per anni, che può ridicolizzare costose campagne di comunicazione o seppellire un servizio di assistenza sotto una montagna di critiche.
Anche in questo campo il gioco non è sempre pulito, ed è necessario tutelarsi con sistemi di monitoraggio per prevenire e rispondere agli attacchi.
E dall’uso di social network, come da quello dei più popolari servizi cloud, nasce anche un maggior rischio di furto d’identità. Come testimoniano i 6,5 milioni di password trafugate recentemente a LinkedIn, che fanno seguito a decine di casi analoghi altrettanto clamorosi, questo tipo di servizi, che spesso sono gratuiti e basano il loro successo sulla massima condivisione e semplicità di accesso, non sono casseforti e non possono garantire l’inviolabilità dei nostri dati. Il guaio è che c’è qualcuno che pensa ancora che, in fondo, se ci rubano la password di LinkedIn non è un dramma, senza chiedersi se per caso non è la stessa usata per il server aziendale o il servizio di home banking.
È il gioco della consumerizzazione, che porta nelle aziende non sono device difficili da mettere in sicurezza e facili da perdere o da rubare, ma anche servizi la cui affidabilità e integrità sono tutt’altro che garantite, a cui si danno in pasto anche dati di grande valore.
Chi si occupa di sicurezza, indipendentemente dalle dimensioni dell’azienda e dalla sua dinamicità, ha il dovere di affrontare queste problematiche, possibilmente appoggiandosi alle soluzioni che cominciano a mostrare un approccio nuovo.
Inutile in questo momento chiudersi in un perimetro, soluzione che dovrebbe essere ristretta a pochissime informazioni e servizi core. Meglio concentrarsi sui dati e sulla gestione delle identità, creando allo stesso tempo policy chiare e non troppo restrittive, con poche regole facili da rispettare per i device personali.
Su Cbr di ottobre
Per fare il punto sul problema abbiamo raccolto il punto di vista di molti vendor, tra casi applicativi e soluzioni tecnologiche, non sempre mature di fronte alla novità dei fenomeni da affrontare, ma sicuramente orientate nella giusta direzione e guidate dalle statistiche che mostrano come il pericolo, per chi ha dati da proteggere, sia all’ordine del giorno.