DIECI MODI con cui i reparti IT facilitano il crimine informatico - Whitepaper - Be Ready for What's Next.
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Whitepaper
DIECI MODI
con cui i reparti IT facilitano
il crimine informatico
Be Ready for What’s Next.Dieci modi con cui i reparti IT facilitano il
crimine informatico
Prima di leggere questo documento vi invitiamo ad approfondire il white paper “Guerra in corso a
livello di endpoint“ di Kaspersky Lab (nella sezione risorse) che si concentra sul vero obiettivo dei
criminali informatici: gli endpoint o i dipendenti. Questo white paper si concentra su come i reparti IT
facilitano inconsapevolmente il crimine informatico consentendo ai criminali informatici di accedere a
sistemi e ai dati aziendali attraverso una serie di idee sbagliate e di false assunzioni.
I collaboratori hanno la continua esigenza di accedere ad internet e sempre più lo fanno con diversi
supporti che le aziende mettono a loro disposizione; allo stesso tempo anche le aziende iniziano a
richiedere ai dipendenti l’utilizzo sempre più frequenti di numerosi devices. La mobilità dei dipendenti
e dei dati aziendali presenta una sfida sempre più impegnativa per le aziende e mantenersi al passo
con la crescita esponenziale delle minacce poste dai criminali informatici è una prospettiva confusa e
incerta.
Il risultato è che spesso, senza che ne siano consapevoli, molti reparti IT sono diventati complici dei
criminali informatici. Questo documento spiega 10 modi modi in cui i reparti IT delle aziende facilita-
no il crimine informatico nei loro ambienti IT e fornisce alcune linee per bloccarli basate su ricerche di
terze parti e su analisi svolte dagli esperti di Kaspersky Lab.
3Fattore #1
Assumere che i dati si trovino nel data center
Consideriamo il fatto che la maggior parte dei dirigenti di un‘azienda ha una copia delle proprie e-mail
sul proprio smartphone (iPhone, BlackBerry e così via), una seconda copia sul laptop e una terza
copia sul server di posta aziendale. Questo dimostra chiaramente che la quantità di dati al di fuori del
data center è il doppio di quella dei dati all‘interno. Se poi si aggiungono le numerose chiavette USB,
i CD, i backup, le soluzioni basate sul cloud e l‘interscambio di dati con i partner dell‘azienda, questo
numero supera facilmente quanto si considera normalmente.
Istintivamente si capisce come i dati non siano contenuti soltanto nel data center e tuttavia i reparti IT
delle aziende li trattano ancora come se fossero lì. Per quale motivo si dovrebbe spendere una quanti-
tà sproporzionata di tempo e di denaro per rinforzare il perimetro del data center con tecnologie quali
autenticazione, gestione degli accessi, firewall, prevenzione delle intrusioni nella rete e così via?
Con questo non intendiamo dire che queste tecnologie non siano importanti. Lo sono senz‘altro, però
dobbiamo concentrarci sugli endpoint, su cui risiedono attualmente i nostri dati.
I dati non vivono in silos, si muovono liberamente al di fuori del data center. In effetti, una ricerca
condotta da IDC mostra come desktop e laptop rappresentino la preoccupazione più seria in termini
di prevenzione della perdita di dati (DLP, Data Loss Prevention). Gli endpoint rappresentano la fonte
di rischio più immediata per la perdita dei dati. I dati di IDC mostrano anche che la mobilità è il primo
fattore considerato per le nuove spese per la sicurezza, suggerendo come sempre di più le organizza-
zioni prestino maggiore attenzione e investano in misure di sicurezza al di fuori dei perimetri dei data
center.
4Fattore #2
Mancato riconoscimento del valore dei dati
sui dispositivi mobili
Il vostro tempo è inestimabile. Le innumerevoli ore spese creando report e analizzando dati per
prendere decisioni consapevoli, i weekend passati su e-mail e presentazioni ed eseguendo le due
diligence di opportunità per l‘azienda fa si che una grande quantità di dati preziosi risultino caricati
soltanto su sistemi portatili.
E tuttavia i reparti IT trattano un laptop come una bottiglia di un qualunque soft drink. Quando un
dispositivo viene perso o rubato, l‘indennizzo dell‘assicurazione considera solo il valore della bottiglia
vuota, ignorando tutti i dati che erano contenuti nel dispositivo.
Per questo motivo, gli schemi di protezione dei dispositivi mobili si rivolgono in genere al valore del
dispositivo, invece di considerare il valore dei dati. Il fatto è che spesso il valore dei dati sul dispositi-
vo supera di gran lunga, anche di centinaia di volte, il valore del dispositivo stesso.
L‘utilizzo di tecnologie anti-malware, antifurto e di protezione della privacy per i dispositivi mobili è un
buon punto di partenza per affrontare il problema della protezione dei dati mobili.
Tra le aziende vige l‘usanza di consentire agli utenti, almeno a livello dirigenziale, di scegliere il mo-
dello preferito quando vengono acquistati dispositivi mobili per l‘azienda quali laptop o smart phone.
Il numero crescente di iPhone supportati su reti aziendali è un facile esempio.
Sfortunatamente, la maggior parte delle persone nelle società sono più preoccupate del costo e del
tempo di sostituzione del dispositivo che non del valore dei dati che risiedono su di esso.
I dipendenti vengono dotati di dispositivi scelti da loro invece di dispositivi ottimizzati per tecnologie
gestite anti-malware, antifurto e di protezione della privacy. Il risultato è una varietà sempre maggiore
di dispositivi, sistemi operativi, provider di servizi di rete, profili di sicurezza e di altre tecnologie di
sicurezza all‘interno della rete aziendale. Per le organizzazioni con personale addetto alla sicurezza
ridotto, la necessità di garantire la sicurezza attraverso più piattaforme può superare la loro capacità
di fornire supporto.
5Fattore #3
Trattare laptop e dispositivi mobili come asset
aziendali che non vengono mai usati a scopo
personale e pensare che i dati della società
non vengano mai trasferiti sui sistemi di casa
Non possiamo più presumere che gli asset aziendali vengano utilizzati esclusivamente per lavoro. I
laptop, ad esempio, sono il principale strumento di comunicazione per molte persone che viaggiano
per lavoro. Basti pensare ai social network per mantenere le propri relazioni personali e ad applicazi-
oni come Skype per eseguire chiamate internazionali in modo economico. Questa trasformazione di
asset aziendali in strumenti consumer è in corso e in crescita da anni e, come abbiamo visto in pre-
cedenza, i dipendenti iniziano ad aspettarsi flessibilità e autonomia nella scelta di dispositivi gestiti
dalla società.
Molti dipendenti utilizzano il proprio computer personale per accedere ai propri dati dopo l‘orario di
lavoro. Se non sono correttamente protetti, tali dispositivi rischiano di compromettere notevolemente
la sicurezza. L‘utilizzo di policy e di software di sicurezza è fondamentale per garantire che i dati siano
quanto più possibile protetti. Anche per questo molte società estendono gli investimenti nel software
di sicurezza e forniscono licenze ai propri dipendenti allo scopo di allargare l‘ombrello di protezione.
Qualsiasi informazione archiviata all‘interno del perimetro aziendale su dispositivi mobili quali smart-
phone, laptop o netbook andrebbe necessariamente crittografata perché tali dispositivi possono
essere facilmente dimenticati, persi o rubati.
6Fattore #4
Trattare i dispositivi mobili come desktop
Alcuni anni fa, le reti IT aziendali erano definite da un perimetro solido. Le tecnologie di protezione
delineavano chiaramente cosa era interno alla rete e cosa ne era estraneo, analogamente al fossato
che circondava i castelli medievali. I dispositivi esterni erano considerati non affidabili e quelli interni
beneficiavano della protezione offerta dal firewall aziendale, come se fossero le mura di un castello.
Oggi, in tutto il mondo, le aziende considerano sempre più vantaggioso avere dipendenti che lavorano
in remoto e/o in movimento. I miglioramenti della tecnologia mobile hanno consentito alle società
di creare dipendenti “sempre connessi“ che possono avere accesso completo a risorse aziendali
critiche, quali applicazioni e posta elettronica, da qualsiasi punto del mondo si trovino mentre sono in
viaggio. Tale accesso avviene anche e sempre più spesso attraverso i dispositivi palmari.
I dipendenti “mobili“ accedono alle reti e ai dati delle aziende da aeroporti, alberghi e connessioni
Internet sugli aerei: tutte connessioni non sicure. Di conseguenza, è difficile restringere la normale
giornata lavorativa tra le 9 e le 17. Le persone lavorano a qualsiasi ora, accedendo alle informazioni
più aggiornate, rispondendo immediatamente ai clienti e occupandosi ogni giorno di un maggior nu-
mero di attività. Questo ambiente, tuttavia, ha creato per le aziende nuove vulnerabilità che verranno
probabilmente prese di mira dalle minacce emergenti (Mobile Security – IDC.)
Una rigorosa policy di sicurezza per i laptop è fondamentalmente diversa da quella per i computer
desktop. I computer desktop sono spesso utilizzati solo in ufficio e non richiedono tecnologie speci-
fiche quali i firewall personali. Per i laptop, invece, è necessario essere preparati a situazioni diverse.
Quando lasciano la sicurezza della rete aziendale, è necessario che il livello di sicurezza venga auto-
maticamente innalzato. Misure di sicurezza quali attivazione di un firewall, disattivazione di connes-
sioni Bluetooth e wireless non protette da password e scansioni più approfondite dei dispositivi USB,
devono essere attivate automaticamente ogni volta che un laptop lascia la rete aziendale.
7Fattore #5
Adozione di social network senza protezione
I social network sono ormai una realtà consolidata. Questa è una nuova “impareggiabile“ tecnologia è
richiesta sempre da più soggetti e parti in azienda per accrescere il business e, se utilizzata corretta-
mente, può essere di notevole aiuto.
Dieci anni fa, la pressione sui reparti IT era volta ad ottenere un accesso base a Internet. Quindi
è giunta la richiesta di e-mail aziendale e, successivamente di applicazioni di Instant Messaging.
Ciascuna di queste si è poi trasformata in uno strumento critico per l‘azienda. I social network sono
semplicemente la “moda“ successiva e dobbiamo essere preparati.
Molte organizzazioni si stanno oggi domandando come consentire ai propri dipendenti l‘utilizzo di
strumenti Web 2.0 in modo responsabile, senza sacrificare i requisiti di sicurezza e di conformità
alle normative. Social network e tecnologie Web 2.0, se utilizzati in modo sicuro, possono aiutare
le organizzazioni ad aumentare la collaborazione e la produttività e, in ultima analisi, i guadagni.
L‘attenzione deve essere posta su come le organizzazioni possono adottare i social network in modo
sicuro perché, salvo poche eccezioni, l‘aperto rifiuto dei social network si rivelerà probabilmente
impraticabile.
È essenziale stabilire una policy formale per il controllo degli accessi e la gestione dei social network.
Ad esempio, se una società protegge il proprio perimetro dagli attacchi di malware, ma non stabilisce
un controllo adeguato per l‘accesso ai social network, una banale svista di un dipendente potrebbe
provocare un‘infezione nella rete aziendale causando direttamente o indirettamente significative
perdite economiche. I social network costituiscono inoltre un possibile mezzo con cui i dipendenti
potrebbero volontariamente o meno diffondere informazioni aziendali ai concorrenti.
Con l‘eccezione di alcuni ambienti accademici molto controllati, bloccare i social network si rivelerà
probabilmente impraticabile. Un approccio più pratico prevede l‘impiego di tecnologie che controllano
attentamente il traffico attraverso i siti Web di social network e bloccano i siti ritenuti pericolosi.
8Fattore #6
Attenzione sulla protezione rispetto a
“rilevamento e risposta”
La definizione di schemi di sicurezza completi coinvolge più capacità. Le capacità base sono protezi-
one, rilevamento e risposta. Troppo spesso viene trascurata anche la qualità delle capacità di rileva-
mento e risposta. Come abbiamo riportato sopra, questi sono elementi fondamentali per la strategia
di sicurezza. Sul mercato, inoltre, è presente un‘ampia gamma di capacità di protezione, prestazioni,
gestione, distribuzione e supporto.
In molte organizzazioni l‘attenzione si sta spostando verso tecnologie di sicurezza più nuove, quali
DLP, crittografia e così via. Sono tutti strumenti utili ma ciò non evita che il numero di incidenti ed
infezioni dovuti al malware continui a crescere. Un‘indagine svolta da IDC ha rivelato che il 46% delle
aziende ha rilevato un aumento degli incidenti dovuti al malware, mentre solo il 16% segnala una di-
minuzione. L‘ambiente delle piccole-medie aziende (500–2.499 dipendenti) ha mostrato la differen-
za maggiore, con il 44% che ha segnalato un aumento del malware e solo il 7% una sua diminuzione.
Questo significa che il malware continua a superare queste misure di prevenzione avanzate, di-
mostrando che è necessario porre maggior enfasi sulle capacità di rilevamento e risposta. I reparti
IT hanno investito in meccanismi di protezione a livello di gateway e tuttavia lasciano porte aperte ai
dipendenti che navigano sul Web, senza porre in essere i meccanismi di rilevamento appropriati per
garantire che i cybercriminali vengano individuati e bloccati in modo efficace.
Poiché oggi i criminali informatici prendono di mira gli endpoint, è necessario distribuire valide
tecnologie di rilevamento e risposta sugli endpoint per proteggerli da malware progettati da criminali
informatici per rubare dati, credenziali e denaro.
9Fattore #7
Mancata creazione di una cultura della
sicurezza
La consapevolezza e la formazione degli utenti finali sono essenziali in tutte le fasi e a tutti i livelli di
sicurezza dell’azienda. Ad esempio, è necessario spiegare ai dipendenti come difendere se stessi
da codici nocivi, navigare in modo sicuro, evitare spyware e scareware e le regole utili con gli allegati
delle email. Allo stesso tempo, anche policy da adottare per le password devono essere comunicate
chiaramente, monitorate e ripetute costantemente.
La consapevolezza delle minacce, del loro impatto e dei metodi di proliferazione aiuta a mantenere
vigili gli utenti e costituisce un deterrente dal prendere decisioni improprie che potrebbero infettare i
loro endpoint e da li anche l’azienda. Campagne di “consapevolezza sulla sicurezza“ condotte periodi-
camente sono essenziali per mantenere i dipendenti informati e protetti.
Naturalmente, è molto importante che il personale IT sia ben istruito sulle tecnologie e i vettori delle
minacce attuali, in modo che possano prendere decisioni consapevoli in merito alle tecnologie di
protezione e prevenzione.
10Fattore #8
Ridotta segnalazione delle violazioni della
sicurezza
Sebbene le violazioni della sicurezza perpetrate dai criminali informatici siano aumentate più del 23%
e il costo legato a tali violazioni sia più che raddoppiato, questa è solo la punta dell‘iceberg. Questi
dati, rilasciati dalla FBI, sono fuorvianti perché le società in genere non fanno adeguate segnalazioni
quando subiscono violazioni informatiche.
Le aziende semplicemente non desiderano che il mondo che ruota intorno a loro sappia che hanno
subito delle violazioni per paura di possibili effetti negativi sulle loro azioni, sul marchio e sulla reputa-
zione della società stessa.
Anche se questo impulso a nascondere il danno subito è naturale, il risultato che se ne determina
è una rappresentazione distorta della crescita delle minacce su Internet. Ridurre le segnalazioni dà
alle società la falsa impressione che la minaccia del malware sia ridotta e che la crescita dei crimini
informatici sia sovrastimata. In realtà le minacce sono cresciute ben oltre il 23%, l‘FBI semplicemente
non può quantificarlo a causa delle violazioni che ogni giorno non vengono segnalate.
Società come la vostra trarranno grandi vantaggi dalla conoscenza di quante violazioni si sono verifi-
cate, di come sono state perpetrate e di come possono proteggersi da attacchi simili.
11Fattore #9
Stabilire le conformità
La conformità alle normative e la sicurezza IT non sono sempre sinonimi. Può essere facile essere
conformi con una normativa e tuttavia non essere per niente sicuri. Molte organizzazioni guardano
alla protezione dal malware come la voce di un elenco da spuntare: “Devo averla e devo mantenerla,
ma il mio compito finisce qui“.
La conformità alle normative implica spesso un approccio “top-down“. Spesso le aziende si adattano
pedissequamente alla normativa senza chiedersi se il modello così attuato è quello più indicato alla
loro realtà. Le società devono esaminare i propri prodotti e procedure per riuscire a capire come pos-
sono adattarsi al modello richiesto dalle normative.
La sicurezza, d‘altra parte, è un‘iniziativa bottom-up quando viene implementata correttamente.
Elementi di sicurezza devono sempre essere inclusi nella progettazione sia di un prodotto software
sia dell‘architettura della rete dell‘organizzazione. Quando si progetta l‘architettura di un prodotto, ad
esempio, come passo iniziale è opportuno descrivere comunicazione, localizzazione, versi
oni e così via, quindi devono essere descritti gli elementi di sicurezza che è necessario incorporare
nell‘applicazione fin dal primo giorno. Gli elementi di sicurezza devono essere rivisti e raffinati nel
corso dello sviluppo.
La conformità può fornire un‘illusione di sicurezza a quanti non comprendono la complessità insita
nel garantire la sicurezza del mondo digitale. La conformità alle normative presa da sola non può
essere l‘obiettivo finale.
12Fattore #10
Pensare che tutto vada bene
Sebbene i sistemi possano essere a “prova di bomba”, in ultima analisi sono gli esseri umani a
utilizzarli. In molti casi i problemi sorgono dall‘elemento umano: un semplice errore involontario o la
mancanza delle competenze e delle best practice necessarie. Il personale della società deve essere
addestrato sulla gestione delle informazioni, in particolare su come reagire a situazioni specifiche,
come seguire policy e procedure di sicurezza chiare e a livello aziendale, come evitare il malware es-
sendo diligenti e attenti e, nel caso il malware sia già penetrato nella rete, come agire correttamente
per rendere sicuri i dati ed evitare ulteriori perdite.
Pensate seriamente alla probabilità che un evento inerente la sicurezza si verifichi nella vostra
impresa.
Tutti noi possiamo svolgere un lavoro migliore assicurandoci che i dati critici e più importanti
dell‘azienda non cadano in mani sbagliate.
12Riepilogo
Ogni giorno i criminali informatici trovano nuovi modi per infiltrarsi negli endpoint aziendali al solo sco-
po di sottrarre dati e denaro. Secondo il report “The Top Cyber Security Risks“ di SANS.org, le società
perdono ogni giorno migliaia di dollari pur ritenendo di essere al sicuro.
Tutti noi possiamo svolgere un lavoro migliore assicurandoci che i dati critici
e più importanti dell‘azienda non cadano in mani sbagliate.
Kaspersky Lab Italy
sales.corporate@kaspersky.it
www.kaspersky.it
qt5a
www.securelist.com
www.threatpost.com
12Puoi anche leggere
