070709 ins 24ore - clusit.it

QUESTO SUPPLEMENTO E STATO REALIZZATO DA MEDIAPLANET. IL SOLE 24 ORE NON HA PARTECIPATO ALLA SUA REALIZZAZIONE E NON HA RESPONSABILITA PER IL CONTENUTO.

UNA PUBBLICAZIONE MEDIAPLANET

EXPERT PANEL: LA PAROLA AGLI ESPERTI PAGINE 8 e 9 ��

SICUREZZA AZIENDALEUNA GUIDA PER UNA CORRETTA GESTIONE DEL RISCHIO AZIENDALE ED INFORMATICO2007LUGLIO

RISK MANAGEMENTNon esiste la sicurezza informaticatotale. Sono tanti e tali i fattori ingioco, a partire dagli errori umanifino alle catastrofi naturali. Ana-lizziamo il problema.

a pagina 3

INTERNET SECURITYLe infrastrutture di rete sono dadiverso tempo diventate un fattoredeterminante per il business azien-dale: come proteggerle dai rischidi connessione.

a pagina 4

ID MANAGEMENTUn sistema per gestire il controllodell’identità del personale presentein un dato momento all’interno deilocali e degli spazi lavorativi, manon solo.

a pagina 7

SISTEMI DI STORAGECome evolve e quali sono i fattorichiave della necessità di conserva-zione dei dati aziendali. L’obiettivoè preservare le informazioni in mo-do sicuro.

a pagina 10

CERTIFICAZIONIOggi sono considerate come un fat-tore determinante per valutare ilgrado di efficienza, qualità e sicu-rezza e grado di controllo di unarealtà produttiva.

a pagina 14

IMAGE SPAM: L’INVASIONE DELLE IMMAGINI SPAZZATURA PAGINA 4 ��

2 PUBBLICITA’

Una guida che tratta le problematiche dellasicurezza informatica in campo aziendale

e la gestione del rischio in un’impresa

SOMMARIO

Internet Security Aziendale, quali sono le problematiche PAG. 4

Image spam: l’invasione delle immagini spazzatura PAG. 4

Hacker: esperto o criminale informatico? PAG. 5

Il Sacro Graal della correlazionePAG. 6

ID Management: l’importanza di farsi riconoscere PAG. 7

La parola agli esperti PAG. 8-9

Salviamolo prima di perderlo!PAG. 10

Una materia per fronteggiare possibili scenari di rischio PAG. 11

Mettere in sicurezza reti e sistemi di controllo PAG. 12

La nuova frontiera della sicurezza aziendale PAG. 13

Le Certificazioni, importante strumento per il business PAG. 14

Internet: sicuri vuole dire conoscerePAG. 15

Gli incidenti che hanno bloccato perore l'intero DNS (Domain NameSystem) della Spagna lo scorso anno

e più recentemente l'attacco al sistema DNSitaliano fino all' "assedio" a cui sono statisottoposti recentemente i sistemi di una na-zione come l'Estonia che ha dovuto chiede-re aiuto anche alla Nato, mostrano concre-tamente come la rete sia un sistema strate-gico per un paese, una infrastruttura criticaanaloga alle reti che trasportano l'energia,agli acquedotti, ai sistemi di trasporto.La rete delle informazioni ha però caratteri-stiche del tutto singolari che ne fanno uninsieme straordinario ma anche particolar-mente vulnerabile e critico. I sistemi informativi sono condizione per ilfunzionamento delle altre infrastrutture diun Paese, dalle segnalazioni ferroviarie, alcontrollo del traffico aereo, dal monitorag-gio di fabbriche ai sistemi di gestione del-l'energia per cui un incidente informatico,malevolo o fortuito che possa essere, puòprodurre effetti domino sconvolgenti.In più la rete delle informazioni, come giàavviene per altri sistemi critici come quelloenergetico, vanifica il concetto di confinenazionale che diventa di giorno in giornodel tutto improprio per garantirne la conti-nuità operativa.

CONOSCI IL TUO NEMICOUno dei cambiamenti più significativi degliultimi anni riguarda il “nemico". La minaccia più grave ai milioni di cittadi-ni e di imprese che utilizzano la rete per losviluppo di servizi e lo scambio di prodotti,viene sempre più da gruppi criminali orga-nizzati e strutturati come vere e proprie mul-tinazionali della delinquenza: la rete, che èsempre stata per la criminalità un mezzo dicomunicazione, è ora mercato e terreno d'af-fari. Agli hacker in cerca di notorietà, si so-no sostituiti criminali che vogliono assolu-tamente mantenere l'anonimato, agli sma-nettoni che con l'intrusione nei sistemi altruivolevano dimostrarne le debolezze ma nelcontempo la loro superiorità e capacità tec-nica, si sono sostituiti delinquenti che aven-do il lucro come scopo, non vanno certo per

il sottile e non si curano del danno arrecatoma della velocità con cui possono arraffareil bottino. Non voglio dire che siano scom-parsi gli hacker di prima maniera, ma la lo-ro incidenza sul totale del crimine informa-tico è sempre più marginale e cogliere ladifferenza, capire chi sta minacciando i no-stri sistemi, se è un ragazzino o un ciber-terrorista, deve essere una condizione peradeguare le nostre difese e contromisure.

LA CONSAPEVOLEZZA DEGLI INDIVIDUIChi sono gli attori più importanti per pro-teggere efficacemente un bene così preziosocome la rete? Chi deve assumersi la re-sponsabilità di un'azione quotidiana che sap-pia rispondere con efficacia alle nuove mi-nacce? Gli utenti stessi.Come è stato per il web 2.0 in cui sono gliutenti i veri artefici del cambiamento, sonoloro i produttori dei nuovi contenuti di Flickre di YouTube, così anche per la sicurezzadella rete sono gli utenti, con la loro atten-zione quotidiana che possono creare unabarriera capillare e vigile a presidio della re-te. Serviranno sicuramente tecnologie ap-

propriate, regole condivise e procedure dicomportamento in caso di incidente comeè stato fatto per preparare le popolazioni al-le grandi calamità naturali e per limitarne alminimo i danni.Ma serve soprattutto un grande sforzo col-lettivo per alfabetizzare alla sicurezza tutti gliutilizzatori della rete, perchè sappiano, coni loro comportamenti attenti, difendere sèstessi e gli altri dalla vulnerabilità che nonpuò essere eliminata da un sistema così dif-fuso e complesso.E' stato questo il tema della conferenza Eu-ropea sulla sicurezza promossa dal GovernoTedesco a fine del suo semestre di presiden-za dell'Unione, è questo il tema che guida ilprogetto di Online Sicuro promosso dal CLU-SIT e sostenuto dal Governo Italiano per for-nire ai cittadini informazioni, suggerimentie aiuto in caso di incidente.

LA CONDIVISIONE DELLE INFORMAZIONICome per i cittadini anche per le aziende larisposta alle nuove sfide della sicurezza nonè soltanto una sfida tecnologica o di inve-stimenti, che certamente non devono man-care, ma è soprattutto un cambio di men-talità che porti le aziende che condividonomedesimi ambiti di rete, per territorio, settoreo dimensione a scambiarsi informazioni, adaiutarsi reciprocamente nel contrastare at-tacchi e minacce che solo apparentemente ri-guardano il singolo ma in realtà danneg-giano interi comparti dell'economia.Lo scambio di informazioni è il solo stru-mento per fronteggiare minacce e vulnera-bilità ancora ignote e virus di cui non sihanno i vaccini come l'igiene, la prevenzio-ne e la cooperazione tra paesi è la sola ri-sposta a malattie per cui non si hanno an-cora medicine.

DALL'EGOISMO ALLA SOLIDARIETA’Non è solamente un cambio di mentalità o dicultura o di organizzazione, è tutto questoassieme ad un cambiamento profondo peril mondo della sicurezza che abbandona lemetafore egoistiche dei castelli e dei ponti le-vatoi, dei sani in mezzo agli appestati e ab-braccia invece una visione collaborativa esolidale, in cui la sicurezza di ciascuno di-pende da quella dell'altro.Lo abbiamo scoperto con il Phishing, con iBotNet: ognuno di noi rappresenta una vul-nerabilità per la rete, un punto di ingresso edi attacco per tutti i partecipanti.Se TU non sei sicuro nemmeno IO lo sono,ed è solamente con un grande lavoro co-mune che potremo proteggere e far crescerequesto nuovo mondo straordinario. ◆

Mediaplanet with reach and focuswww.mediaplanet.com

Mediaplanet é una casa editrice leader in Europa per la pubblicazione di supplementi tematiciallegati a quotidiani e portali online di economia, politica e finanza.Per ulteriori domande: Staffan Gustavsson, +39 02 36269430

SICUREZZA AZIENDALE - UNA PUBBLICAZIONE DI MEDIAPLANET

Project Manager: Omar Piras, Mediaplanet +39 02 36269422Testi: Massimiliano Riatti, giornalista scientificoProduzione/Layout: Giandomenico Pozzi, SGE Servizi Grafici EditorialiStampa: Seregni Grafiche Srl, Paderno DugnanoDistribuzione: Il Sole 24 OreFoto: istockphoto.com

SICUREZZA AZIENDALE

QUESTO SUPPLEMENTO E STATO REALIZZATO DA MEDIAPLANET. IL SOLE 24 ORE NON HA PARTECIPATO ALLA SUA REALIZZAZIONE E NON HA RESPONSABILITA PER IL CONTENUTO.

UNA PUBBLICAZIONE MEDIAPLANET

EXPERT PANEL: LA PAROLA AGLI ESPERTI PAGINE 8 e 9 ��

SICUREZZA AZIENDALEUNA GUIDA PER UNA CORRETTA GESTIONE DEL RICHIO AZIENDALE ED INFORMATICO2007LUGLIO

RISK MANAGEMENTNon esiste la sicurezza informaticatotale. Sono tanti e tali i fattori ingioco, a partire dagli errori umanifino alle catastrofi naturali. Ana-lizziamo il problema.

a pagina 3

INTERNET SECURITYLe infrastrutture di rete sono dadiverso tempo diventate un fattoredeterminante per il business azien-dale: come proteggerle dai rischidi connessione.

a pagina 4

ID MANAGEMENTUn sistema per gestire il controllodell’identità del personale presentein un dato momento all’interno deilocali e degli spazi lavorativi, manon solo.

a pagina 7

SISTEMI DI STORAGECome evolve e quali sono i fattorichiave della necessità di conserva-zione dei dati aziendali. L’obiettivoè preservare le informazioni in mo-do sicuro.

a pagina 10

CERTIFICAZIONIOggi sono considerate come un fat-tore determinante per valutare ilgrado di efficienza, qualità e sicu-rezza e grado di controllo di unarealtà produttiva.

a pagina 14

IMAGE SPAM: L’INVASIONE DELLE IMMAGINI SPAZZATURA PAGINA 4 ��

Sicurezza per i cittadini e per le impresedi Gigi Tagliapietra - Presidente del CLUSIT Associazione Italiana per la Sicurezza Informatica

GIGI TAGLIAPIETRA

Dal gennaio 2005 è Presidente del CLUSIT(Associazione Italiana per la SicurezzaInformatica). Per il CLUSIT ha avviato e gestitol’iniziativa che si occupa di tutela dei minoriche va sotto il nome di “Progetto Fataturchina”.E' membro dei comitati di certificazione delLloyd Register e di TUV Italia e ha partecipatoal gruppo di lavoro sulla security awareness diENISA.

Dal 1978 si occupa professionalmente di reti dicomputer e di sicurezza informatica e ha realiz-zato importanti progetti di securizzazione pergrandi aziende italiane e multinazionali.

In collaborazione con due famosi illustratori perl'infanzia ha scritto un libro per spiegare lasicurezza informatica ai bambini pubblicatodall'editore Fatatrac di Firenze.

Proteggere i sistemi informativi dagli attacchi degli hacker per garantire il funzionamento delle nostre infrastrutture.

IN COLLABORAZIONE CON

3PUBBLICITA’ SICUREZZA AZIENDALE

La consulenza di professionisti che operano nelsettore da diversi anni unita a un’esperienza tec-nica unica, acquisita grazie al gran numero diprogetti realizzati, consente a GFI Italia di perse-guire un approccio integrato alla sicurezza, chetiene nella giusta considerazione gli aspetti tec-nici, ma anche quelli strategici, organizzativi,economici e legali.

Con i suoi 450 dipendenti, GFI Italia, presenzanazionale del Gruppo GFI Informatique – oltre8000 dipendenti a livello mondiale - opera inmateria di sicurezza delle informazioni e dellereti a livello nazionale ed europeo attraverso ilsuo Security Competence Center, una strutturanata per progettare, realizzare e gestire servizi earchitetture ICT e di Security Governance per isettori Telco, Utility, Finance, Pubblica Ammini-strazione, Industria e Servizi.“Da sempre aiutiamo le aziende a crescere crean-do per loro strutture IT affidabili e sicure” ha af-fermato Eugenio Pontremolesi, General Manager diGFI Italia, “e con loro è cresciuta anche la nostraesperienza che ci permette di individuare ogni vol-ta i margini di miglioramento su cui operare com-binando le esigenze di sviluppo e di competitivitàdettate dal mercato con l'offerta tecnologica sem-pre più dinamica e in continua evoluzione”.Attraverso il Security Competence Center, strut-tura che vanta oltre 40 professionisti qualificatie certificati (Lead Auditor ISO 27001, CISA, ISO

9001, CISM, ITIL, ecc.) esperti in servizi e solu-zioni di sicurezza logica, fisica e organizzativa,GFI Italia è in grado di collaborare con le azien-de in un campo caratterizzato da una continuaevoluzione e da un’esigenza di aggiornamentocostante, rimanendo sempre vicina ai propriClienti, presidiando il territorio nazionale, ascol-tando e indirizzando i loro bisogni, e offrendo lo-ro un servizio di consulenza in grado di identifi-care la “migliore” soluzione possibile.

In un contesto in cui competitività, qualità edefficienza sono i requisiti minimi per la sopravvi-venza di qualsiasi organizzazione, le aziende sidimostrano sempre più attente al tema delle cer-tificazioni, entrate a far parte anche delle decisionistrategiche.Le certificazioni sono il risultato finaledi un percorso che, attraverso l’ottimizzazione ditutti i processi aziendali, permette alle aziende diconcentrare l’attenzione sulla capacità di com-prendere e soddisfare le esigenze del Cliente, ga-rantendo un’elevata affidabilità attraverso l’uti-lizzo di metodologie compliant.

Per questo, il Security Competence Center di GFIItalia è un Security Lab specializzato nel seguiree supportare la clientela in tutte le fasi di asses-sment, di compliance (Basilea II, SOX, ISO 20000,Dlgs196/03) e di accreditamento per la certifi-cazione della sicurezza organizzativa e infra-strutturale. Le certificazioni di software e di si-

stemi sono sempre affiancate a quelle di proces-so tramite team specializzati per la certificazio-ne ISO 27001 e ITIL (ISO 20000). Il Security Lab grazie alla presenza di valutatoriabilitati dagli Organi Istituzionali è un Labora-torio di Valutazione della sicurezza di architetture,sistemi, applicazioni, software e prodotti ICT anorma ISO 15408 e ITSEC ed opera ai massimilivelli di garanzia, sia in ambito civile che classi-ficato. Inoltre, un Technical Auditing Team, com-posto da specialisti accreditati, si occupa delleattività di Vulnerability Assessment, Ethical Hac-king, Hardening, Information Security Monito-ring e Computer Forensics Analysis.

Oltre a soluzioni nei settori della business conti-nuity e del risk management, il Security Compe-tence Center progetta e realizza architetture dinetworking e perimeter security (IAM & SSO) fa-cendo leva su solide esperienze e partnership tec-nologiche qualificanti quale quella con l’aziendaisraeliana Check Point.GFI Italia è infatti Platinum Partner di CheckPoint, l’azienda leader nella sicurezza su Inter-net, con una vasta gamma di soluzioni per la si-curezza delle reti, dei dati e la loro gestione.L’esigenza delle aziende di avere un’architetturadi sicurezza affidabile ed unificata che renda si-cure sia le comunicazioni - con dipendenti, for-nitori, partner e clienti - che le risorse di business,trova risposta nella piattaforma NGX di Check

Point che comprende un ampio range di soluzio-ni dedicate alla sicurezza perimetrale, delle reti in-terne, delle connessioni web e della posta elet-tronica. Tra le più recenti novità dell’aziendaisraeliana, c’è un dispositivo per la gestione uni-ficata delle minacce (UTM) adattato alle esigen-ze di PMI e imprese multi-sede, l’UTM-1, che as-sicura una protezione completa e multi-livellocontro minacce Internet quali spyware, virus oattacchi alla rete.

La partnership con Check Point si inserisce in unastrategia di miglioramento continuo che con-sente a GFI Italia di progettare per le aziende e perla Pubblica Amministrazione soluzioni per otti-mizzare e rendere sicura l’infrastruttura IT, in li-nea con le più moderne metodologie e standardnazionali ed internazionali. Potendo contare su personale qualificato ed ag-giornato distribuito sul territorio e su partnershipdi valore, GFI Italia opera da 40 anni con la mis-sione di rappresentare un punto di riferimentonel mercato IT nazionale ed internazionale, re-stando sempre fedele alla propria identità diazienda affidabile e dinamica e sostenendo co-stantemente lo sviluppo dei nostri clienti.

GFI Italia SpA Via Mosca, 52 – 00142 RomaTel 06/514651 - Fax 06/51465000 www.gfitalia.it

GFI Security Lab: un centro europeo Technology Independent per la Security GovernanceEtica, competenze consolidate e un’organizzazione “team work based” per affiancare le aziende nella creazione del valore

Una valida premessa è che nonesiste la sicurezza informaticatotale. Infatti sono tanti e tali

i fattori in gioco, a partire dagli erro-ri umani fino alle catastrofi naturali,che è impossibile controllarli e ge-stirli tutti. Il migliore approccio èquello che vede la ricerca di una so-luzione ottimale, perseguendo il prin-cipio di un sufficiente livello di pro-tezione, attraverso sistemi e misureprogettate per affrontare situazioniritenute critiche, o per limitare falle disicurezza pericolose. La posizione chesolitamente si osserva da parte di chideve amministrare i beni aziendali èquella di operare per tutele differen-ziate, senza ragionare trasversalmen-te per ambiti operativi. Quindi adesempio potranno essere assicurate leattrezzature informatiche, ma non sa-rà posta nessuna cura alle proceduregenerali che vedono protagoniste que-ste attrezzature, né si sarà posta at-tenzione ad una soluzione tamponein grado di arginare il problema sor-to. E’ pur vero che è sempre neces-sario considerare il budget a disposi-zione per l’intervento, cercando dinon disperdere in mille percorsi quan-to disponibile, ma operando al finedi massimizzare i benefici.Il consiglio degli esperti è di dare cor-so ad una approfondita e seria anali-si funzionale dell’organizzazione, qua-si una fotografia della realtà azien-dale, che comprenda caratteristiche

strutturali, processi e flussi operati-vi, comportamenti e relazioni uma-ne, obiettivi e priorità, benefici e co-sti. E’ ciò che in altri settori viene de-finito come due diligence: il suggeri-mento è di prenderne a prestito tuttele specifiche funzioni e cognizioni perrealizzare un documento di report ric-co di contenuti informativi e di so-luzioni adattative.Il concetto di sicurezza informaticaquindi è una filosofia generale dicomportamento che non vuole cor-reggere il problema eventualmenteverificatosi, ma porre come cardinela prevenzione del rischio ed un at-teggiamento interessato al problemada parte degli amministratori di unaazienda, non solo dei responsabili delcomparto IT. Riprendendo il discor-so, quindi, un primo approccio al pro-blema potrebbe essere rappresentatodall’analisi dei rischi, ovvero una va-lutazione obiettiva di tutte le possibilifalle della sicurezza nel sistema in-formatico e ancora di più nella orga-nizzazione del lavoro e dei collega-menti tra gli organi interni ed esternidell’azienda.Si possono valutare tutti gli assethardware e software installati pressotutte le sedi e le filiali, tutti gli appa-rati di rete, e tutti i device intercon-nessi. Poi è possibile valutare lo sta-to generale dell’organizzazione chepresiede all’utilizzo di tali dispositivi,ricomprendendo dirigenti, impiegati,

lavoratori generici, agenti, addetti al-la sicurezza informatica ecc.Tutte queste valutazioni hanno lo sco-po di comprendere il sistema nellasua interezza non limitandosi all’in-frastruttura informatica che ne rap-presenta solo lo strumento operativo. La normativa negli ultimi anni haesplicitamente richiesto una miglioree più efficiente gestione dei procedi-menti relativi all’informazione all’in-terno delle aziende. Non a caso laRisk Analisys è prevista come primoapproccio per redigere il DocumentoProgrammatico per la Sicurezza (DPS)come previsto dall’art. 6 del D.P.R.318/99. La definizione successiva di una po-litica per la sicurezza trae origine pro-prio dallo studio mirato a compren-dere come proteggere al meglio i da-ti propri e di terzi soggetti, a mag-gior ragione quelli sensibili. Sovente infatti accade "che una azien-da si trovi per esigenze di business acollezionare una notevole quantità diinformazioni che devono rimanere ri-servate. La diffusione di tali dati ge-nererebbe una pesante ripercussionelegale con conseguenze impredicibilie una perdita immediata d’immagineverso i clienti e i partner. In una fasesuccessiva alla Risk Analisys possonoessere progettate e implementate so-luzioni tecnologiche che siano con-formi a queste prime valutazioni. ◆

Risk Management:benefici di una strategia

Effettività dei modelli organizzativi ai sensi del D.Lgs. 231/01AVV. GIANCARLO BESIAPartner Responsabile Area Compliance PIT Consulting

GIAMPIERO LAMPASONA Amministratore Delegato PIT Consulting

I modelli organizzativi introdotti dal D.Lgs.231/01 predicano, tra l’altro, con-dotte etiche e lecite per i destinatari. L’efficacia dei modelli e la loro capaci-tà esimente dipendono dall’effettività degli stessi, ovvero dal livello di cono-scenza delle condotte attese da parte dei destinatari e dal livello di confor-mità delle prassi operative rispetto alle stesse condotte attese. Compito deivertici (esecutivi e di controllo) è quello di vigilare sul livello di effettivitàdel modello. Tale attività può essere svolta grazie a strumenti che permetto-no di valutare il livello di effettività e suggerire azioni correttive o migliora-tive, fornendo altresì informazioni a supporto dei soggetti responsabili perl’adeguatezza organizzativa. ◆

Le infrastrutturedi rete sono dadiverso tempo

diventate un fattoredeterminante per il bu-siness aziendale, alla lu-ce del fatto che ancheuna PMI ha di solito unaschiera di soggetti che ne-cessitano di relazionarsi a li-vello informativo con la realtàaziendale anche a distanza (agen-ti, filiali, punti vendita ecc.). Inqualunque azienda i sistemi infor-matici e le infrastrutture di rete de-vono sempre poter garantire l’affi-dabilità e la sicurezza agli utenti, incaso contrario si assisterebbe inbreve tempo al fallimento del bu-siness stesso in quanto gli ordini, lacontabilità, le strategie aziendali,il know-how e tutto il patrimoniodi segretezza dell’azienda sarebbeesposto all’azione di terzi non iden-tificati. L’arrivo di internet ha nelcontempo migliorato e peggioratole cose: se da un lato ha consenti-to collegamenti a costo zero in me-no di un secondo con l’altra partedel globo, ha di fatto incrementa-to esponenzialmente i rischi per lasicurezza di chi opera attraversoquesto canale. Dato che il trasferi-mento dell’informazione trova og-gi una implementazione praticanelle reti aziendali è chiaro che ilprimo passo per l’analisi dei rischiè quello relativo alla Network Se-curity, con l’obiettivo di realizzareuna policy di sicurezza infrastrut-turale.Le debolezze e le vulnerabilità del-la struttura di rete sono limitabiliattraverso l’implementazione di si-stemi Firewall, di Intrusion Detec-tion, di reti private virtuali VPNIpsec, di sistemi di URL filtering.E’ naturale poi che vengano postisotto osservazione i computer, sia-no essi server o client, per com-prendere come all’interno di unastruttura a questo punto ben pro-tetta, possano verificarsi falle disicurezza dovute alle applicazioni oall'utilizzo delle stesse da parte disoggetti non autorizzati. La presenza ulteriore di sistemi diLog management ed Event Mana-gement permetterà all’amministra-tore di rete di conoscere con esat-tezza tutti i dettagli relativi al flus-so di informazione e agli avveni-menti che coinvolgono la struttu-ra informatica e gli utilizzatori.L’implementazione di un sistemache consenta il riconoscimento ela correlazione di eventi è utile perportare alla luce situazioni perico-lose che altrimenti passerebberoinosservate.I firewall ad esempio sono neces-sari per impedire l’accesso non au-torizzato di esterni alla rete azien-dale, d’altra parte la definizionedelle regole interne dovrà esserecentralizzata per consentire al-l’amministratore di rete di interve-nire rapidamente anche a distanza.Infatti più l'architettura ammini-strativa e di gestione è corretta, li-neare e semplice, meno errori di

configurazione si avranno nel si-stema.L’Intrusion Detection è importantequando non si ha la certezza che ilfirewall stia agendo nel modo mi-gliore, anche perché a volte l’at-tacco potrebbe provenire dall’in-terno e non dall’esterno. In temporeale è possibile disporre di unostrumento capace grazie a dei sen-sori di rilevare eventi malevoli odiscordanti con la politica azien-dale siano essi localizzati su seg-menti di rete o sui server. Le VPNsono lo strumento attraverso ilquale è possibile mettere in comu-nicazione entità che si scambianodati cifrati dopo una loro autenti-cazione forte. In pratica viene crea-to un tunnel protetto su una rete li-bera, come internet, dove viaggia-no dati sicuri. Questo tunnel è vir-tuale, ma nell’immaginario è pro-prio come un segmento diretto eprotetto di scambio di informazio-

ni. Uno dei più sentiti pro-blemi delle aziende è quello di

controllare e limitare il traffico ver-so alcuni siti Internet per ridurregli effetti dannosi indotti (inseri-mento nelle liste di spamming,consumo di banda Internet, down-load di software pericoloso), au-mentare la produttività dei propridipendenti e ridurre la probabilitàche la propria LAN sia origine diattività maligne o criminose sullarete.Un sistema di URL filtering con-sente proprio questo, ed eventual-mente è dotato anche di alcunefunzionalità aggiuntive, come adesempio gestire l'accesso degliutenti interni ad Internet, bloccarela condivisione di file effettuatacon connessioni peer-to-peer (P2P),gestire l'instant messaging, gestirel'uso di streaming media ed altreapplicazioni che sono dispendiosein termini di utilizzo di banda In-ternet e prevenire l'installazione dispyware. ◆

4 SICUREZZA AZIENDALE PUBBLICITA’

Image spam:l’invasione delle immaginispazzaturaFABIO ROLIDIPARTIMENTO DI INGEGNERIA ELETTRICA ED ELETTRONICA,UNIVERSITA DI CAGLIARI - [email protected]

Nel 2004 gli "spammer" tirarono fuori dal cilindro una nuo-va idea per evadere i filtri utilizzati per bloccare i loro mes-saggi: incorporare il testo dello spam in una immagine al-

legata ad un normale messaggio di posta elettronica. L’idea degli spammer era estremamente ingegnosa poiché tutti ifiltri anti-spam dell'epoca si limitavano ad analizzare il testo digitatonella mail, ma non erano in grado di “vedere” ed analizzare il testocontenuto in una immagine allegata. Dal 2004 questo tipo di spam,detto "image spam", è cresciuto in modo enorme, fino a diventarenel 2006 circa il 50% di tutto lo spam, secondo la stima dei MacAfeeAvert Labs. Le grosse dimensioni delle immagini di spam possono creare seriproblemi ai server di posta. La prima linea di difesa proposta dai ri-cercatori è stata quella di dotare i filtri anti-spam di un modulo diriconoscimento ottico dei caratteri (modulo OCR, Optical CharacterRecognition) per la lettura del testo nelle immagini. Tale soluzione è stata rapidamente aggirata dagli spammer contecniche di oscuramento e camuffamento delle immagini che ren-dono impossibile la lettura automatica del testo, senza tuttaviacompromettere troppo la leggibilità per un essere umano. Gli spam-mer hanno sfruttato il fatto che l’uomo riesce a leggere testi ca-muffati che sono oggi ancora impossibili da leggere per un computer. Ricerca accademica e produttori di filtri stanno passando al con-trattacco con tecniche che consentono di rilevare i tentativi di ca-muffamento del testo o di evidenziare particolari caratteristichedelle immagini spazzatura. L'image spam rappresenta oggi la nuo-va frontiera della guerra alla posta spazzatura. Frontiera dove icontenuti illeciti saranno sempre più veicolati per immagini. L’unicolato positivo dell’image spam è che esso costringerà a forti inno-vazioni per dare la “vista" a tutti gli strumenti dedicati al control-lo delle comunicazioni sulla rete Internet. Forse dalla guerra all’i-mage spam usciranno anche gli strumenti per identificare auto-maticamente siti e filmati dai contenuti illegittimi o osceni, e larete Internet avrà finalmente i suoi “occhi” con cui proteggere isuoi utenti più indifesi. ◆

Nel 2006 l’«image spam» è cresciuto fino a diventare circa il 50% di tutto lo spam

Internet Security Aziendale,quali sono le problematicheCome proteggersi nel mondo aziendale e su internet. Quali sono i rischi reali per le nostre imprese.

Quando si osservano programmi tele-visivi relativi ad internet e alle nuovetecnologie o si apprendono dai gior-

nali fatti e notizie in merito ad attacchi in-formatici alle reti di telecomunicazione, vie-ne spesso utilizzato il termine “hacker”, chegià di per se stesso suscita una certa curiositànel pubblico ascoltatore. Ma che cosa è esat-tamente un hacker? Si tratta sostanzialmen-te di una persona (o un team di persone) chesi impegna nell'affrontare sfide intellettualie di strategia con lo scopo di superare dellelimitazioni che gli vengono imposte, come adesempio le barriere informatiche, non limi-tatamente ai suoi ambiti d'interesse ma intutti gli aspetti della sua vita. In molte oc-casioni, in relazione al settore informatico,colui che esercita nella pratica questa filo-sofia di vita, è anche colui che tende ad ap-prendere i segreti dei dispositivi elettronici edinformatici per riuscire ad introdursi in si-stemi e reti protette, con lo scopo “scientifi-co” e “culturale” di dimostrare la propriaabilità, forse più a se stesso che ad altri. Pe-rò, essendo tale attività esercitata anche dachi cerca un profitto, un utile personale ascapito di altri, il termine hacker ha finitoper connotare il tipico criminale informatico,la cui definizione corretta però sarebbe “crac-ker”. Storicamente il termine fu utilizzato al-l’inizio degli anni 50 al MIT, dove nel gergostudentesco il termine hack indicava unaazione goliardica. Uno studente degli anni’50 alle prese con lo smontaggio di un dis-positivo elettronico poteva descrivere la suaattività come “hacking”. In seguito il termi-ne fu attribuito alle incursioni sotterraneenon autorizzate nel campus del MIT, ovvero

“tunnel hacking”. Quando le attività di in-cursione o di scherzo riguardarono la tele-fonia, in gergo fu coniata la definizione di“phone hacking”, oggi phreacking. Con iltempo il termine hacking fu utilizzato in as-sociazione ad una attività di miglioramentodell’efficienza complessiva di un sistema, edhacker erano coloro che vi si dedicavano.Quando al MIT giunse uno dei primi model-li di computer lanciati sul mercato, il termi-ne fu associato alla composizione di pro-grammi e routine software anticonvenzio-nali, senza ricorrere a procedure della lette-

ratura informatica ufficiale. Tutto ciò deno-tava uno spirito creativo capace di “aprireun varco” nella metodologia ordinaria perfornire soluzioni innovative. Nei successivianni ‘70 il termine hacker era diventato giàelitario, collegato a chi era abile nella pro-grammazione dei computer. In pratica peressere un “hacker” una persona doveva esserein grado di scrivere programmi capaci dinon limitarsi ad una buona tecnica, ma rag-giungendo una vera e propria genialità in-trinseca. Con l’avvento delle reti geografi-che, di ARPAnet e poi di internet, il signifi-

cato fu poi trasferito, come connotato ne-gativo, all’immagine di un rapinatore elet-tronico in stile punk, che agiva contro la so-cietà da vero e proprio rinnegato ed emar-ginato, per intrufolarsi in sistemi e reti crean-do danni o carpendo informazioni riservate.In altri casi l’immagine dell’hacker è stataassociata al quindicenne studente modellocapace di violare dei segreti di stato, nella va-lenza più generale di “genio del computer”.Una azione di hacking oggi non viene piùconsiderata come una semplice ragazzata oscorribanda informatica, ma è una attivitàpianificata e organizzata capace di destarel’attenzione specifica anche delle forze del-l’ordine per la gravità penale dei fatti ascri-vibili a tale azione. Un hacker pertanto nel-la moderna accezione viene considerato siaun esperto programmatore di computer edispositivi di telecomunicazione sia un sog-getto potenzialmente pericoloso per la sicu-rezza informatica. ◆


Un approccio innovativo per combattere il Cybercrime: l’Hacker’s Profiling

CLUSIT è partner nel progetto di ricerca inter-nazionale "HPP" (Hacker's Profiling Project)dell'ISECOM, Institute for Security and OpenMethodologies. Lo scopo di HPP è quello diarrivare alla stesura - ed alla conseguente li-bera diffusione, sotto licenza GNU/FDL - diuna metodologia di profiling, da applicare neicasi di computer-crime: violazioni, frodi, at-tacchi informatici. Per un approfondimento:http://hpp.recursiva.org

Hacker: esperto o criminale informatico?Quando l’abilità tecnica e la genialità creativasuperano le barriere e gli ostacoli della disciplinaufficiale, il confine tra lo spettacolare e il criminale diventa labile. Una analisi storicaper capire le origini di questo fenomeno.

GLI HACKER SONO

DAPPERTUTTO:

SEI PREPARATO?

Elea, da trent’anni in prima linea

nella formazione sulle ICT

www.elea.it

Torino, Milano

Genova, Bologna,

Roma, Napoli, Padova


La correlazione di allarmi nei sistemi IDS è un problema complesso, per cui nonesistono ancora soluzioni efficaci nemmeno a livello di ricerca. La speranza di risolverei problemi di una tecnologia non matura (gli IDS) con una tecnologia embrionale (la correlazione) potrebbe costare cara agli early adopter.

Nel moderno panorama di conti-nui attacchi e compromissioni direti informatiche, viene da chie-

dersi dove e perchè si siano arenati tut-ti i progetti che avevano a che fare conl'intrusion detection, ovvero con il mo-nitoraggio continuo dei sistemi in cercadi segni d'effrazione.Una delle motivazioni chiave addottedagli early adopter delle tecnologie IDSè la difficoltà nel monitoraggio, in ter-mini di analisi dei falsi allarmi, di tu-ning dei sistemi, e soprattutto in termi-ni di ricostruzione degli eventi, incro-ciando i dati da una molteplicità di son-de di rete (specie in architetture com-plesse e distribuite) e di sonde host-ba-sed sui server critici. Un'altra motiva-zione è che i sistemi IDS attuali non so-no in grado di rilevare gli attacchi “zero-day", ovvero gli attacchi rivolti controvulnerabilità non note e catalogate. In-fatti, al di là del marketing, tutti i siste-mi di intrusion detection in commerciosono fondamentalmente "misuse based",ovvero usano una base di regole (più omeno sofisticata ed aggiornata) per iden-tificare gli attacchi. Risulta ovvio che, ameno di casi fortunati, un sistema delgenere non può identificare attacchi nuo-vi. L'anomaly detection (ovvero l'anali-si statistica e mediante algoritmi di ap-prendimento del comportamento nor-male del sistema, alla ricerca di even-tuali deviazioni) è l'unica possibile ri-sposta per rilevare un attacco contro unavulnerabilità non pubblica.Purtroppo, gli algoritmi anomaly-basedsono raramente usciti dalle istituzioni diricerca, e solo alcune piccole compagnieproducono sistemi IDS basati su questetecniche. Ma, anche qualora si dovesse-ro finalmente diffondere, rimarrà il pro-blema di come correlare tra loro gli al-larmi di IDS host-based e network-based,misuse-based e anomaly-based. Pur-troppo, il vocabolo “correlazione" è sta-to ampiamente usato ed abusato dai pro-

duttori di tecnologie IDS, generandomolta sfiducia negli acquirenti. Difatti,spesso viene spacciata come “correla-zione" la semplice raccolta, aggregazio-ne e centralizzazione di alert provenientida fonti distribuite. Questo è un proble-ma di tipo tecnico, già risolto con suc-cesso. Il problema scientifico e tecnolo-gico rilevante, tuttavia, è che nella mag-gior parte dei casi le informazioni rac-colte sono prive di qualsiasi forma disemantica (non è raro trovarle archivia-te sottoforma di testo libero). Alcuni IDS misuse-based sono stati op-portunamente integrati con basi di co-noscenza che consentono ad uno stru-mento di correlazione di analizzare ilcontenuto degli allarmi. Tuttavia, a cau-sa della mancanza di standard solidi inquesto senso, tale opportunità è limita-ta alle sonde di un singolo vendor, cosache in realtà eterogenee è spesso inap-plicabile. Inoltre, permane il problemadi come correlare i log degli IDS conquelli, ad esempio, di firewall o antivirus,che raramente sono di un singolo pro-duttore. Infine, bisogna prendere co-scienza che il problema chiave di "comecorrelare le informazioni tra loro" è lun-gi dall'essere risolto.Ciò che ci aspetteremmo da un sistema dicorrelazione sono dei “riassunti" com-patti degli eventi, che eliminino infor-mazioni ridondanti circa gli attacchi, eche per quanto possibile ricostruiscanorelazioni di causa/effetto e scenari d'ag-gressione. Vorremmo cioè che l'outputci consentisse ad esempio di seguire lasequenza di azioni effettuate da un ag-gressore, e identificarne più facilmente lafinalità. Pertanto un sistema di questogenere sarebbe tanto più efficace quan-to più in grado di ridurre il numero di in-formazioni presentate all'analista, senzaperdere di completezza. Alcuni sistemi cercano di risolvere que-sto problema con un motore a regoleche associa tra loro attacchi che ricado-

no in "scenari noti". Questo meccani-smo soffre una volta di più dei problemidella misuse detection, e di fronte ad unaggressore creativo o a nuove minaccenon può essere efficace. Di male in peg-gio, alcuni sistemi addirittura sono sem-plici applicatori di regole e richiedonoall'utente finale di definire le sue regoledi correlazione. In altri casi, più rara-mente, vengono utilizzati sistemi di tipostatistico per sopprimere alert che fannoparte del rumore di fondo e cercare diidentificare le "novità". Questo è un meccanismo che può fun-zionare, ma sicuramente non giunge al-l'obbiettivo. Infine, nessuno dei sistemiesistenti è sufficientemente generico peressere adattato all'anomaly detection.Quasi tutti i motori si basano su molte-plici forme di conoscenza pregressa: peresempio, dei valori di “gravità" di un ti-po di attacco, oppure una sua classifi-cazione, quando non delle intere “firmedi scenari"; tutte informazioni che mals'adattano all'integrazione di sistemianomaly-based.Purtroppo, da un'analisi seria dell'offer-ta, si può facilmente cogliere come ilprogetto di algoritmi per la correlazionedi allarmi sia un problema nuovo, aper-to e che ancora necessita di molto studioed investimento in ricerca e sviluppo.La maggioranza degli strumenti, com-merciali e non, oggi si basa su algoritmiche non possono prescindere dalla par-ticolare situazione e dal particolare ti-po di analizzatori, e purtroppo spessoanche dalla pre-esistenza di regole sta-tiche di correlazione. I problemi arrivano fino alla definizionedi cosa significhi "correlazione", e al si-gnificato dei dati in ingresso ai sistemi,ovvero all'eterogeneità (o assenza) dellasemantica di ciascun formato. C'è an-cora molta, molta strada da fare, primadi poter realizzare un sistema di corre-lazione automatica che non sia sempli-cemente un soprammobile. ◆

Progetto ITAISAC: Verso la costituzione di un ISAC italiano

Gli ISAC (Information Sharing and Analisys Center)sono strutture che riuniscono esperti e tecnici checondividono informazioni e dati relativi ad attacchie vulnerabilità informatiche. Il loro scopo èacquisire una visione integrata e aggiornata deirischi, delle minacce, degli attacchi che possonocompromettere il funzionamento delleinfrastrutture. L'obiettivo è creare un sistema dialerting in caso di nuove minacce; costruire unarete di responsabili delle principali organizzazioniche controllano le infrastrutture critiche del paese(risorse alimentari, risorse idriche, energia,trasporti, telecomunicazioni, salute pubblica,sistema economico-bancario, servizi di emergenza,governo, difesa, industria...) per accelerare ilripristino della normalità in caso di attacco oemergenza dovuta a cause naturali. Gli Usa hanno iniziato ad occuparsi dell'argomentonel 1996, quando Clinton ha istituito la"Commission on Critical Infrastructure Protection"(PCCIP). Gli eventi dell'11 settembre '01 hannospinto l'amministrazione Bush a proseguire suquesta strada. Attualmente negli USA ci sonodiversi ISAC operativi, ciascuno dei quali presidiaun settore (sanità, finanza, autostrade, chimica,etc.) più una struttura di coordinamentotrasversale, il Council. In Italia il CLUSIT ha deciso di partire con un ISACtrasversale, con le aziende che stanno dimostrandointeresse, in particolare nel settore delleTelecomunicazioni.

CLUSITAssociazione Italiana per la Sicurezza Informatica

Il Clusit, nato nel 2000 presso il Dipartimento diInformatica e Comunicazione dell’Università degliStudi di Milano, è la più importante associazioneitaliana nel campo della sicurezza informatica.Oggi rappresenta oltre 500 organizzazioni,appartenenti a tutti i settori del Sistema-Paese, inparticolare: Ricerca, Industria, Commercio eDistribuzione, Banche e Assicurazioni, PubblicaAmministrazione, Sanità, Consulenza e Audit,Servizi, Telecomunicazioni, Informatica.

www.clusit.it: una fonte autorevoleIl sito del Clusit mette a disposizione una grandequantità di informazioni e di notizie utili:■ Documenti tecnici e scientifici■ Calendario di eventi e seminari■ Link ai siti di maggiore interesse■ Rassegna stampa■ Elenco dei soci e link alle loro aziende■ Newsletter mensilePer i soci sono disponibili aree ad accessoesclusivo.

Perchè associarsi a ClusitIl Clusit è aperto ad ogni persona fisica o giuridicache abbia a cuore il tema della sicurezzainformatica.I vantaggi per i soci:■ Partecipazione gratuita a seminari tecnici edivulgativi■ Accesso gratuito ai Quaderni Clusit ed aimateriali didattici■ Informazioni tempestive sulle novità nel mondodell’ICT security■ Partecipazione a progetti europei■ Contatto privilegiato con il mondo accademicoe della ricerca

Il Sacro Graal della correlazione


Proteggiamo il valore più grande

della vostra impresa:

voi

PIT Consulting Spa via J.F. Kennedy 80 21042 Caronno Pertusella VA Tel +39 0296515401 Fax +39 0296515499 www.pitconsulting.com

Azienda certificata UNI EN ISO 9001:2000 ISO 27001:2005

Per qualsiasi realtà azienda-le, di piccole o grandi di-mensioni, è fondamentale

individuare un sistema per gestireil controllo dell’identità del perso-nale presente in un dato momentoall’interno dei locali e degli spazilavorativi. Questo per ragioni am-ministrative, sindacali, legali, fi-scali e di sicurezza. Con una stra-tegia adeguata non si rischia ditrasformare una gestione ordina-ria in una falla pericolosa dalleconseguenze imprevedibili. Tutto sta nel tipo di implementa-zione che si va ad utilizzare, in-fatti è noto che la resistenza di unacatena è quella del suo anello piùdebole. Dal punto di vista infor-matico l’anello più debole per mol-te imprese è proprio quello dellagestione efficiente degli accessi edelle identità digitali. Nello scenario ideale una aziendadovrebbe gestire in modo automa-tizzato l’accesso di ciascun utentealle applicazioni specifiche, con lapossibilità di effettuare la disatti-vazione immediata di un accountper impedire accessi non autoriz-zati (un caso tipico è costituito dalfatto che il dipendente termina ilrapporto di lavoro con la societàed è quindi necessario disattivarnegli accessi). Invece esistono situa-zioni le più variegate possibili, do-ve ad esempio esistono accountfantasmi ancora attivi nonostantenon siano più utilizzati o scenaridove dei dipendenti sono costrettia doversi ricordare così tante pas-sword che devono optare per codicipiù semplici per ricordarseli tutti,vanificando quindi l’approccio disicurezza. La prima valutazione daoperare per rendere sicuro un si-stema è relativa alla gestione del-

l’identity management. Qualsiasi amministratore di rete saper esperienza che si tratta di unadelle attività più complesse per unsistema di sicurezza aziendale, ba-sata non tanto sulla tecnologia,quindi smart card e altro, ma sul-la capacità di rendere il sistemacomplessivamente in grado diidentificare con precisione i sog-getti che operano al suo interno. Possono esistere diversi approccistrutturali, che nascono dalle pos-sibilità offerte dal mercato, qualiad esempio la creazione di regolebasate sulle identità digitali rile-vate attraverso sistemi biometriciche consentano una creazione adhoc del database degli utenti e deipermessi.Giusto per non iniziare insicuri epoi rendersi conto a sistema ter-minato, di avere creato una roc-caforte che già contiene al suo in-terno i nemici. Quindi la chiave sostanziale è lapossibilità di “personalizzare sicu-ri” perché un sistema di sicurezza èin fieri, cambia la propria struttu-ra e si plasma sulle reali esigenzedell’azienda target. Rimane quindi impossibile trasfe-rire le politiche di protezione comeun pacchetto a se stante da uncontesto ad un altro. E’ sulla base della metodologiaspecifica di lavoro che vengono adessere identificate le possibilitàoperative. Ad esempio una bancapotrà basare la prima identifica-zione sulle impronte digitali al mo-mento dell’ingresso agli sportelli,ma ciò potrebbe essere impropo-nibile per l’identificazione di uten-ti che accedono in massa ad undeterminato sito. Il mercato si va consolidando, e il

settore dell’identity managementsta rapidamente evolvendo, con lapresenza di produttori specializza-ti che vengono acquisiti da azien-de più grandi e più generaliste. La strategia giusta per gestire que-sto relativo stato di incertezza sifonda sulla realizzazione di pro-cessi di ID management in modostandardizzato: il peso di un even-tuale passaggio ad una nuova tec-

nologia a questo punto potrebberisultare inferiore, per una più con-tenuta rivisitazione architetturale. Quindi è necessario anche com-prendere se il fornitore di sistemi disicurezza fonda la propria propostasu concetti come “assemblaggio”,“flessibilità”, “scalabilità” e “riuti-lizzo” prima di affidarsi ad un si-stema monolitico non gestibile al-trimenti e quindi alla lunga desti-

nato a divenire obsoleto e inutile. Se invece si realizza una opportu-na strategia di gestione delle iden-tità, basata sia sulla implementa-zione della tecnologia di punta eritenuta quindi più affidabile, siasulla capacità di modificare il si-stema stesso per i cambiamentiepocali, si sarà trovata la giustacombinazione per una valida edefficace implementazione. ◆

ID Management: l’importanza di farsi riconoscere

Immaginate di essere su un’automobilesenza cruscotto e indicatori: per frena-re dovete poggiare le vostre mani di-rettamente sulle gomme, per curvaredovete sporgervi dal finestrino, e pote-te capire se l'olio è finito dal fumo delmotore... Questo scenario è la metafora"Guida Sicura" che Novell usa per af-frontare il tema della sicurezza azien-dale, molto spesso definita come Secu-rity Governance, Risk Management,Compliance Management.

Alla guida di un’azienda, come di un’au-to, servono strumenti per governareeventi che possono generare o subiredei rischi. Le soluzioni Novell per la si-curezza sono studiate proprio per fornirealle aziende questi strumenti.

Le soluzioni di Secure Information eEvent Management di Novell permet-tono il monitoraggio e la correlazioneautomatica delle migliaia di eventi, perfiltrare i falsi positivi e individuare i rea-li rischi su cui intervenire. Le due pri-marie società di telecomunicazioni ope-ranti in Italia e due tra le prime ban-che italiane utilizzano queste soluzioni

per la realizzazione del loro SecurityOperation Center (SOC).

Le soluzioni Novell di Identity e AccessManagement invece aiutano a decidere"chi può fare cosa" a seconda delle fun-zioni e delle variazioni organizzative. InItalia, l'Ente Spaziale Europeo (ESA), unprimario operatore energetico, ed unodei principali gruppi assicurativi le uti-lizzano per rispondere ad esigenze nor-mative e di controllo interno.E infine non bisogna dimenticare il te-laio (cioè la piattaforma che regge il si-stema informatico aziendale), ecco per-ché Novell casa-madre di SUSE Linux(una delle distribuzioni del sistema ope-rativo più diffuse) ha lavorato per of-frire agli utenti aziendali una maggioreinteroperabilità tra mondo windows emondo “open source”.

Andrea Rossi, Country Manager di Novell Italia

Alla guida di un’auto o di un’azienda la sicurezza al primo posto


Cos’è una PKI?PKI è l’acronimo di Public KeyInfrastructure ..cioè infrastrutturaa chiave pubblica..cioè?Il termine PKI tecnicamente si ri-ferisce alla tecnologia, le infra-strutture e le pratiche necessarieper utilizzare la crittografia achiave pubblica o le firme digitalisu applicazioni che siano distri-buite su vasta scala.In altre parole, siamo in presenzadi un mix di tecnologie, regole eresponsabilità al fine di creare uncircuito di emissione, gestione edutilizzo di una credenziale digita-le forte (detto Certificato Digitale)il quale permette di identificarsiin modo certo ed univoco nellarete come le persone, le macchinee i Servizi.. una sorta cioè di pas-saporto elettronico.In pratica come un documento diidentità cartaceo però NON falsi-ficabile e/o replicabile emesso dauna autorità detta Certification

Athority che ne garantisce ap-punto i due fondamentali concettiappena espressi.

Come funziona?LA CA è una struttura tecnologi-ca e di regole creata per emettereil Certificato Digitale e ne segueattraverso di essa il suo ciclo divita (emissione – durata – so-spensione –revoca).La stesso Certificato Digitale unavolta erogato potrà essere utiliz-zato (in quanto rispondente astandard tecnologici aperti) perpoter effettuare le seguenti fun-zioni di base:- Firmare un documento elettro-nico- Firma e Crittografare la postaelettronica- Identificarsi autenticarsi e crit-tografare le comunicazioni elet-troniche (Web – VPN) attraversovari programmi di posta elettro-nica e Web Browser.

Si noti bene che è molto impor-tante che una PKI venga imple-mentata rispettando i più altiparametri di sicurezza, anche su-periori rispetto a quelli normal-mente osservati per lo sviluppo diun comune sistema di protezionedelle transazioni, dal momentoche in questo caso anche la fallapiù apparentemente insignifican-te potrebbe generare danni enor-mi ad un’azienda.

Per chi è utile?Quando un’azienda decide di im-plementare al proprio interno unaPKI, evidentemente ha l’esigenzadi proteggere il proprio patrimo-nio informativo attraverso ciòche la PKI garantisce, vale a dire:autenticazione, confidenzialità,non-ripudio, disponibilità. Si parla, in altri termini, di ri-spondere ad un’esigenza di iden-tificazione certa e di autentica-zione forte nell’ambito del busi-

ness virtuale.Dunque, la PKI rappresenta sen-z’altro un’esigenza di primariaimportanza per le aziende ed or-ganizzazioni in genere, che inten-dono evitare che la propria iden-tità sia replicabile rendendo po-tenzialmente il “il proprio mon-do virtuale” fatto di servizi comead esempio l’home banking –Servizi erogati dalla PubblicaAmministrazione – Acquisti –Disposizioni - Distribuzione di in-formazioni riservate (progettistrategie marketing – fatti perso-nali) di fatto disponibile anche achi NON è autorizzato.Infatti, il ricorso, da parte diun’azienda, alla PKI, consente al-la stessa di avvalersi di creden-ziali forti che permettono di dareservizi di varia natura agli utenti(che possono essere dipendenti diun’azienda, partner, reti di colla-boratori, ma anche, più semplice-mente) privati cittadini.

Quali sono i rischi per la sicurezzainformatica? Sono rischi di tiposoftware o di altro tipo?Software ed hardware possonoessere oggetto di tentativi d’effra-zione, sia di tipo logico che di ti-po fisico, ma i sistemi informati-ci, per loro natura, non sarebberoin pericolo se, dietro gli stessi,non ci fosse l’essere umano che,per le motivazioni più diverse,può essere interessato a entrare inpossesso di informazioni riserva-te. E’ anche vero che, da alcunianni, si sono diffuse tecniche diattacco che poco o nulla hanno ache fare con le vulnerabilità di-rette dei sistemi. Una di queste tecniche è il “socialengineering”. Pirati informatici emalintenzionati in genere, si ca-muffano per venire a conoscenzadi informazioni che possono esse-re usate per organizzare attacchiinformatici. Il “phishing”, tecnicache si basa sul social engineering,ha mietuto molte vittime tra i

clienti di organizzazioni bancarie.Siti web identici a quelli dellebanche sono creati per attirarel’ignaro utente che, fidandosi diun messaggio di posta artefatto,rivela le sue credenziali al malvi-vente di turno.

Quali sono i settori della societàpiù esposti nella sicurezza infor-matica?Qualsiasi computer è un poten-ziale bersaglio, quindi, non ci so-no settori che possono conside-rarsi immuni. Ci sono settori chepiù di altri fanno notizia, per lapopolarità dei nomi in gioco, peril tipo di attività svolta o per ilfatto che coinvolgono l’uomodella strada, il consumatore. Ad esempio, gli attacchi portatiad operatori bancari e finanziarifanno colpo, non solo perché l’ar-gomento “denaro” stimola l’im-maginario collettivo, ma ancheperché la maggioranza di noi uti-lizza carte di credito, bancomat,

sistemi di pagamento elettronicoo conti correnti on-line. Per au-mentare il livello di sicurezza,molti istituti bancari hanno intro-dotto strumenti d’identificazionebasati su dispositivi che, generan-do un codice pseudo-casuale,fanno in modo che il cliente ac-ceda o disponga operazioni conuna password sempre diversa.

L’autorizzazione informatica èsufficiente a garantire la sicurez-za delle transazioni?Purtroppo, esistono tecniche diattacco che possono aggirare an-che i sistemi d’identificazione piùavanzata, attraverso l’intromis-sione del malintenzionato nelmezzo della transazione finanzia-ria. Il cliente crede di interagirecon la sua banca, ma, tra lui ed ilsito della stessa, si posiziona ilmalintenzionato che può cattura-re e modificare i dati trasmessi asuo piacimento. L’identificazione univoca è neces-

saria, ma può non essere suffi-ciente a garantire la sicurezzadelle transazioni.

Esiste la possibilità di tutelarsi daquesto tipo di problemi?Esistono software in grado di ri-durre al minimo i rischi di frodiinformatiche bancarie. Questisoftware analizzano in temporeale le singole transazioni, te-nendo conto di una serie di infor-mazioni specifiche, del modo abi-tuale di operare, degli importinormalmente movimentati, deiluoghi e dei momenti in cui que-ste avvengono, ecc. Nel caso in cui uno o più elemen-ti destino sospetto, il sistema lan-cia degli allarmi e, in base al li-vello di severità, attiva delle con-tromisure: la richiesta di un nuo-vo codice identificativo, la telefo-nata di un operatore che accertila volontà del cliente e così via,sino al blocco automatico dellatransazione.

In un mondo sempre più intercon-nesso e dove è ormai possibileaccedere alle informazioni azien-dali da qualsiasi luogo, che cosastanno facendo le aziende e qualistrumenti hanno a disposizioneper proteggere i dati e le infor-mazioni sensibili?La crescita a due cifre del merca-to della sicurezza informatica acui abbiamo assistito negli ultimianni mostra l'interesse delleaziende per le problematiche disicurezza.Negli anni passati l'attenzione èstata soprattutto rivolta a ciò che,semplificando, potremmo chia-mare i pericoli sconosciuti/nonprevedibili, con una strategia chesi potrebbe riassumere dicendo“proteggiti da chi non conosci”, equindi si è parlato soprattutto difirewall, antivirus, ecc.

Oggi l’attenzione si è invece deci-samente spostata sul “proteggitida chi conosci”, ovvero la gestio-ne della sicurezza degli accessiinformatici alla rete da parte dellepersone, siano esse dipendenti,clienti o partner, ai contenuti e aisistemi informativi. In altre paro-le, ci si è accorti che molte viola-zioni critiche hanno origine pro-prio “dentro le mura di casa”.Le soluzioni per proteggersi daquesti problemi sono note sulmercato con diversi nomi, tra cui“identity and access manage-ment” - gestione del ciclo di vitadelle utenze sui vari sistemi ete-rogenei presenti in azienda pergarantire di avere sotto controlloil “chi fa cosa”; “security eventmanagement”, che consente l'a-nalisi in tempo reale delle attivitàsui vari dispositivi e applicazioni

per identificare e reagire ad attac-chi o violazioni dei diritti di ac-cesso; infine, “endpoint securitymanagement” ovvero la “blinda-tura logica” dei PC per impedireattività quali la copia su chiavetteUSB di file o l'uso di qualsiasiprogramma non espressamenteautorizzato, per prevenire possi-bili esportazioni di informazionivia rete.Una soluzione integratache unisce queste componenti ga-rantisce ciò che possiamo definire“security governance and com-pliance”, ovvero il controllo e ge-stione di chi possiede i diritti diaccesso ai sistemi, visibilità su chiha effettivamente avuto accessoai sistemi, e la prevenzione del-l'asportazione di informazioni.

In che modo il problema dell’ade-guamento normativo (compliance)

influenza l’adozione da parte delleaziende di soluzioni tecnologicheper la sicurezza?Le normative quali il Testo Unicosulla Privacy o la Sarbanes Oxleyhanno creato il senso di urgenzasulla necessità sia di misure pre-ventive di gestione della sicurez-za logica sia di soluzioni centra-lizzate di auditing di quanto av-viene sui sistemi. Mentre prima la sicurezza era…per così dire un’ossessione del-l'IT, le normative hanno sensibi-lizzato il top management e in-crementato il budget per la sicu-rezza.Oggi infatti il motivo principaledi adozione di una soluzione diSecurity Governance e Complian-ce è la ricerca della conformità aduna o più normative nazionali ointernazionali.

EXPERT PANEL EXPERT PANEL EXPERT PANEL EXPERT PANEL EXPERT PANEL

Riccardo CazzolaVice Direttore GeneraleTrust Italia

Marco VenutiPre Sales Director South-EMEANovell Italia

Massimo Cata'DirettoreProgramatic

La parola agli esperti


Che valore aggiunto rappresentaper una azienda una soluzione distorage?Nelle infrastrutture storage spessorisiedono gli asset più preziosiper un azienda: le informazioni.Le informazioni sono legate inmodo strettissimo al vantaggiocompetitivo dell’azienda e la mo-dalità con la quale vengono con-servate e rese disponibili alle fun-zioni aziendali è un fattore chia-ve di competitività. Oggi nellemoderne infrastrutture informati-che si distinguono chiaramente lefunzioni destinate al calcolo, ov-vero a sostenere il patrimonio ap-plicativo aziendale, e quelle desti-nate alla gestione dei dati ed alloro accesso. Le aziende che han-no individuato il ruolo chiavedelle infrastrutture storage nei lo-

ro processi aziendali possonocontare su un vantaggio competi-tivo derivante dall’ubiquità delloro patrimonio informativo.

Che cosa significa ServicesOriented Storage? Quale novitàintroduce nel settore un approc-cio di questo tipo? L’approccio Service Oriented Sto-rage di Hitachi Data Systems portanel mondo delle infrastrutture datidei concetti già noti nel campo ap-plicativo e di vasto successo comead esempio l’architettura SOA diMicrosoft. Il concetto è di per sesemplice ma molto efficace e sibasa sull’astrazione delle funzioniche il layer storage mette a dispo-sizione del mondo applicativo. L’a-strazione consente di costruire sullayer dati un Know How e delle

procedure operative (accesso, con-servazione e protezione dei dati)che possono diventare un patrimo-nio aziendale nel tempo senzapreoccuparsi troppo delle tecnolo-gie sottostanti mascherate appuntoda un livello intermedio di astra-zione. Il livello di astrazione nelcaso delle tecnologie storage èrappresentato dalla virtualizzazio-ne delle tecnologie di memorizza-zione così come già avviene per iserver. La novità di questo approc-cio risiede nella possibilità di ren-dere indipendente dalla tecnologiaprescelta l’accesso alle funzionistorage da parte del layer applica-tivo. Questa indipendenza permet-te di operare sui due livelli senzaripercussioni incrociate e con unmaggiore controllo dei costi di ge-stione.

Perchè oggi è stata introdotta laStorage Virtualization? Per qualitipologie di utenti è consigliabile? La storage virtualization è la basesu cui Hitachi Data Systems fon-da il concetto di Service OrientedStorage. Le tecnologie storage so-no oramai mature e l’approccioservice oriented permette di uni-ficare le modalità di accesso e digestione e di non doverle piùcambiare nel tempo al cambiaredella gestione. Questo approccio è fortementeconsigliato a quei clienti che de-siderano mantenere più fornitoriall’interno del loro parco storagema un unico metodo di accesso edi gestione dei dati con una defi-nizione delle classi di servizio in-dipendente dalle tecnologie pre-scelte.

Perchè è necessario intervenirenella sicurezza dei dati in ambitoaziendale?Oggi che il patrimonio informati-vo delle organizzazioni costitui-sce il vero cuore di ogni attività eche il knowledge worker ha sosti-tuito le figure professionali di untempo, le aree It relative a stora-ge, security e information mana-gement sono sempre più contiguee interconnesse. Implementareuna corretta gestione delle infor-mazioni in chiave Ilm (Informa-tion lifecycle management) ade-rente alle normative più recenti,come Basilea 2, Documento Pro-grammatico sulla Sicurezza eSarbanes-Oxley, significa esserein grado di gestire in manieracompleta, inclusi gli aspetti ri-

guardanti la protezione ed il re-cupero immediato ed efficace,tutte le informazioni relative allaconduzione del business, in qual-siasi settore si operi.Inoltre alle regolamentazioni siaggiunge una realtà di fatto: l’au-mento esponenziale delle informa-zioni aziendali, quindi la necessitànon è più solo archiviarle ma èproteggerle, gestirle nel loro ciclodi vita, oraganizzandole in manie-ra efficiente, affinchè siano unaasset fruibile al meglio da tutte lefunzioni aziendali.

Attraverso quali attività è possi-bile ottenere la sicurezza delleinformazioni aziendali? (cataloga-zione ecc.)Una delle prime operazioni che

ogni azienda dovrebbe attuare èla comprensione della quantità edella tipologia di informazionipresenti in azienda ( ricordiamociche, al riguardo, circa l’80% diqueste sono in forma non struttu-rata o semi-strutturata), di conse-guenza la catalogazione e l’indi-cizzazione sono atti dovuti e ne-cessari.Occorrono quindi soluzioni chesiano in grado di fare ciò, con-sentendo, in maniera semplice erapida di ritrovare le informazio-ni nel momento in cui servonoma, al contempo, consentendol’utilizzo sicuro, controllato e au-torizzato. Partendo da questa atti-vità si stabiliscono delle policy dimessa in protezione delle infor-mazioni aziendali in base alla lo-

ro criticità ed importanza.

Quali sono le politiche di sicurezzae a quali miglioramenti portano?Ovviamente non esistono dellesoluzioni univoche, in quantoogni azienda deve fare i conticon due paramentri fondamentaliche dipendono dal contesto dibusiness all’interno del quale l’a-zienda si muove e del budget adisposizione.Sicuramente il punto di partenzaè il semplice back up, per poi ar-rivare al disaster recovery pas-sando per la business continuity,questa comprendente sia la tema-tica relativa alla protezione logicacontinuativa delle informazioni ,che a quella riguardante la prote-zione fisica delle stesse.

La sicurezza deve essere intesa solocome acquisto di un prodotto tecno-logicamente avanzato?La legge sulla Privacy parla di solu-zioni avanzate e la potenza dei pro-dotti risponde alla crescita di com-plessità delle minacce. Oggi però lasicurezza non è più concepibile co-me singolo prodotto. Prima, al sor-gere di una nuova minaccia, corri-spondeva lo sviluppo di una soluzio-ne che ne mitigava il rischio, proteg-gendo il sistema da quella e sola mi-naccia. Una rincorsa che non puòprotrarsi all’infinito. Le imprese, delresto, stanno toccando con manouna lievitazione insostenibile dellaspesa in sicurezza.La tecnologia puòe deve fare di più: ci sono sistemiche forniscono una protezione a 360gradi di tutta l’infrastruttura (rete,server e pc) e che, soprattutto, intro-

ducono elementi d’automazione chetutelano da comportamenti distrattio scorretti.

Ma quanto valore aggiunge un pro-getto rispetto ad acquistare un sin-golo prodotto che magari fa piùcose?La differenza principale sta nell’ap-proccio completo di una soluzioneend to end. All’inizio, la sicurezzaInternet si preoccupava di protegge-re essenzialmente dagli attacchi pro-venienti dalla rete: era una sicurezzacosiddetta perimetrale. Oggi i confinidel sistema informativo sono più la-bili, un singolo prodotto anche“multifunzione”, non consente dicontrollare tutti i punti “deboli” diun’infrastruttura. Sul fronte dellagestione, inoltre, il prodotto singolonon fornisce strumenti per governa-

re la sicurezza con una visione d’in-sieme. Addirittura, può causare dan-ni, con una falsa sensazione di sicu-rezza, quando nel concreto il livellodi protezione può essere molto bassose non nullo.

Quindi nel concreto come si struttu-ra un sistema di sicurezza?L’unica risposta è quella della pre-venzione. Bisogna adottare un ap-proccio olistico, cioè un insieme disoluzioni che costituiscono una piat-taforma. La nostra strategia partedalla ricerca: difende dalle minacceindipendentemente dalle vulnerabili-tà presenti e dalle possibili variantiimpiegate per sfruttarle.

Quale vantaggio deriva da impostareun’unica console di sicurezza per unavisione d'insieme?

In primo luogo la semplicità, soprat-tutto se l’’interfaccia è estremamenteintuitiva. Ma il vantaggio essenzialederiva dalla capacità di correlazionedegli eventi e dall’integrazione conle altre soluzioni. Gli eventi legatialla sicurezza in un sistema anche dimedie dimensioni sono dell’ordinedelle centinaia di migliaia al giorno.È umanamente impossibile soffer-marsi su ciascuno, e poi molti diquesti, presi singolarmente non si-gnificano molto, ma se abbinati adaltri possono rivelare l’inizio di unattacco che può essere completato inpochi secondi. La console presentaall’amministratore della sicurezza glieventi con una scala di priorità,scartando quelli ininfluenti, permet-tendo di avere un’immagine imme-diata dello stato di sicurezza grazie aelementi grafici intuitivi.

L'imprenditore che guarda la suaazienda e comincia porsi il pro-blema della sicurezza perchédovrebbe porsi il problema? Dadove dovrebbe iniziare? Più il business evolve verso mo-delli aperti all'interscambio traclienti, dipendenti, fornitori epartner, più diventa necessarioguardare alla sicurezza informati-ca come ad una delle leve strate-giche che consente all'azienda di"aprirsi al mondo" mantenendol'integrità e l'affidabilità dei pro-pri dati. In un campo in continuaevoluzione come quello della si-curezza delle reti, un inizialepunto di approccio può essere af-fidarsi a consulenti esperti che,partendo dall'analisi della reteaziendale, trovino la soluzioneottimale in termini di tecnologiee di policy, guidando l'imprendi-

tore attraverso le scelte più adattealla dimensione e alla complessi-tà della propria azienda.

(Mauro Zaccari)

Quali sono tempi, modalità ecosti dell'implementazione? Tempi e costi possono essereridotti o diluiti nel tempo apatto che per individuare solu-zioni appropriate al contesto cisi avvalga realmente di compe-tenze etiche indipendenti dalletecnologie. La sicurezza è spes-so percepita come un costoassociato a prodotti ma non écosì. La sicurezza non é un pro-dotto, ma parte del processoorganizzativo aziendale che seben fatto determina un modo dilavorare, di trattare e proteggeredati e informazioni importantiper il business e per la tutela

della privacy. (Michele Bianco)

Il futuro: in che direzione siandrà? Cosa succederà domani? La cultura sta cambiando. La si-curezza passa da "costo" ad "op-portunità" di creare valore perl'azienda. Una infrastruttura disicurezza "certificata" e affidabi-le, coerente espressione del pro-cesso aziendale che attua le con-tromisure individuate dagli asses-sment potrà evolvere, essere "ge-stita" e monitorata sia dall'Impre-sa che dal partner attraverso indi-catori (Security Key PerformancesIndicators) e cruscotti che servi-ranno a migliorare continuamen-te i processi interni, risparmiandosugli sprechi e consentendo didifferenziare il proprio businessda quello dei competitors.

(Michele Bianco)

Giuseppe Fortunato Business Consultant Principal Hitachi Data Systems

Vittorio GiovaniDirettore GeneraleNetwork Appliance Italia

Mauro Zaccari Gestione e Sviluppo offerta GFI Italia

Stefano VolpiVice President, Southern Region & MediterraneanIBM-ISS

Michele Bianco Security Competence Center Director GFI Italia


Con l’avvento di internet si èassistito ad un rapido cam-biamento delle modalità di

archiviazione, conservazione e re-cupero dei dati, con l’effetto più evi-dente di un incremento esponen-ziale della quantità di dati da ar-chiviare. Non solo: i dati devonopoter essere recuperati in tempo rea-le, ed in qualsiasi momento, 24 oresu 24 e 7 giorni su 7. Le possibilitàofferte dalla tecnologia non man-cano certo di soddisfare gli utentie gli utilizzatori avanzati. Infatti lapossibilità di archiviazione è ormaidivenuta dell’ordine dei terabyte,quindi la possibilità di immagazzi-nare una quantità praticamente in-finita di dati e informazioni. Nonsempre è necessario che le copie deidati siano archiviate su supporti adelevata velocità, in quanto magari siè realizzata la memorizzazione de-gli stessi per esigenze d’archivio.Quindi è preferibile utilizzare sup-porti differenti dai dischi rigidi, qua-li ad esempio i nastri, più volte di-chiarati come tecnologia in disuso,ma di fatto ineguagliabili in termi-ni di rapporto costo-prestazioni perdeterminate applicazioni di stora-ge. A questi sistemi negli ultimitempi si sono affiancati i NAS (acro-nimo di Network Attached Storage)che sono complementari a livellofunzionale alle SAN (acronimo di

Storage Area Network). Il problemacollegato all’implementazione diquesti sistemi di archiviazione è le-gato alla crescente complessità digestione delle risorse di storage. Inpratica la ricerca immediata del-l’informazione è correlata alla ne-cessità di effettuare backup e reco-very in tempi rapidissimi. Mentreun tempo la logica portava a con-siderare il backup come una opera-zione notturna della durata di pa-recchie ore, adesso assistiamo allosviluppo di sistemi di archiviazioneche consentono di copiare e archi-viare solo i blocchi modificati suc-

cessivamente all’ultimo backup in-crementale e tutto ciò mentre il si-stema fornisce informazioni agli uti-lizzatori. Il fermo macchina è unconcetto inaccettabile, mentre untempo era visualizzato nell’imma-ginario collettivo dei tecnici come lanecessità naturale di manutenzio-ne dei sistemi informatici. Questasituazione che riguarda tutti i datidigitali presenti in azienda, strut-turati e non strutturati, si complicamaggiormente nel caso di quelli delsecondo tipo, infatti le informazio-

ni non strutturate (o fixed content oinformazioni referenziate) sonoquelle informazioni non modificabilinel tempo, che devono essere dis-ponibili con possibilità di accessoveloce e possedere altresì un riferi-mento univoco; inoltre questo tipodi informazioni ha generalmenteuna dimensione maggiore rispettoa quella dei dati strutturati. Unaspetto a se stante ma conseguentea questa differenziazione è rappre-

sentato dalle implicazioni legali eamministrative collegate alla ge-stione dei dati: la conformità allenormative vigenti comporta talvol-ta l’obbligo di gestire tutti i dati co-me se appartenessero al secondogruppo, con l’aggiunta della richie-sta di non modificabilità del dato(vedi ad esempio i documenti di ti-po fiscale). ◆

Salviamolo prima di perderlo!Il concetto di informazione è indiscutibilmente connesso a quello di archiviazione perchè ogni dato che visualizziamo rischia di essere vittima dell'oblio se non viene opportunamente conservato. Memorizzare è un fatto personale, ma talvolta potrebbeessere anche una scelta obbligata.

Moderni requisitidi uno storage systemUn ottimo sistema di storage deve possedere diverse caratteristiche che gliesperti del settore reputano indispensabili per una archiviazione perfetta: 1. la presenza di una indicizzazione e di un indirizzamento che consentanol’individuazione univoca dell’informazione singola. 2. un costo di gestione relativamente minimo. 3. la possibilità di conservare le informazioni per un ampio margine di tempo(anche anni). 4. la disponibilità di prestazioni elevate e un tempo di ricerca praticamentenullo.5. una chiave di scalabilità per una crescita della funzione di storage in rap-porto alle esigenze dell’utilizzatore. 6. l’integrazione con delle applicazioni realizzate per la gestione dell’infor-mazione.7. la facilità di gestire il sistema di storage con strumenti di controllo cen-tralizzati


Che cos’è la Business Conti-nuity? Lo StandardBS25999-1 dà la seguente

definizione “strategic and tacticalcapability of the organization toplan for and respond to incidentsand business disruptions in orderto continue business operations atan acceptable pre-defined level”1.In pratica è una disciplina che met-te in grado un’Azienda di adottareformalmente l’approccio reputatopiù idoneo a fronteggiare possibi-li scenari di rischio (ad esempio:un terremoto; un black-out; un in-cendio; un sabotaggio; ecc.), deri-vanti dal verificarsi di eventi cau-sali che, sfruttando le vulnerabili-tà di uno o più asset (sistemi in-formatici, infrastrutture; persone;ecc.), impediscono di ottemperaread obblighi istituzionali o provo-cano danni in grado di influire sul-la capacità dell’azienda di conti-nuare la propria attività di busi-ness. In passato l’attenzione delleOrganizzazioni era principalmen-te diretta alla salvaguardia del pa-trimonio informativo, mediante laprogettazione e la realizzazione disoluzioni di Disaster Recovery, lacui caratteristica principale era laridondanza dei supporti magneticie la disponibilità, all’occorrenza,delle necessarie attrezzature infor-matiche e di comunicazione posi-zionate in un altro sito, la cui di-stanza dal sito primario era fun-zione dei possibili scenari di ri-schio. Oggigiorno generalmente leaziende si sono dotate di un pianodi Disaster Recovery (DRP).Gli investimenti sono stati assaielevati, così come lo sono i costidi gestione; infatti, i costi sono cre-scenti in modo quasi esponenzialeal diminuire del tempo massimoaccettabile per la ripresa dell’ope-ratività, interrotta da un evento im-previsto.

Il progetto per il DRP è stato ge-neralmente portato avanti dallafunzione interna informatica.Come vedremo più avanti, la Busi-ness Continuity (BC), invece, coin-volge tutta l’Azienda: dalla fase dianalisi dei rischi, alla valutazionedell’impatto economico di un’in-

terruzione coinvolgendo i “processowner”, sino alla valutazione delTop Management sui rischi da ac-cettare e quelli da mitigare. Nonultimo, in quasi tutte le realtà chehanno realizzato il piano di BC, losponsor aziendale è stato il Consi-glio di Amministrazione (nel casodelle banche e degli intermediarifinanziari, la normativa ne prevedegià un forte coinvolgimento) e ciòha assicurato un forte “committ-ment” di tutta l’Azienda ed un giu-sto equilibrio costi / rischi .Le soluzioni adottate si traducono,infine, in piani di continuità, neiquali sono descritti i ruoli, le re-sponsabilità, le procedure da se-guire, gli strumenti da utilizzare, equanto altro serve per poter ri-prendere l’attività interrotta.

Trattasi perciò di un processo di ri-cerca di soluzioni condivise di li-mitazione dei danni, soprattuttopreventive, ma anche di emergen-za, consentendo l’operatività diquei processi di business che com-porterebbero elevati danni econo-

mici già nelle prime ore di inter-ruzione.

Se ritorniamo per un attimo al te-ma dei costi relativi al Disaster Re-covery, come si può comprendereda quanto anzidetto, il tempo mas-simo accettabile di interruzione del-l’operatività, ottenuto nel corso delciclo di Business Continuity Ma-nagement, è fondamentale per de-cidere quale soluzione di DRP adot-tare e, pertanto, è importante perun corretto equilibrio costi / rischi.Ciò spiega perché la Business Con-tinuity include il DR.L’attenzione alla BC e lo sviluppodella metodologia sono pratica-mente nati dopo l’11 Settembre2001, e si sono perfezionati nel cor-so di questi ultimi anni.Il tragico evento ha messo in luce,come sappiamo, alcuni fatti inno-vativi: l’accadere di un evento pri-ma di allora giudicato assoluta-mente improbabile (uso di aerei daattentatori suicidi; due enormi grat-tacieli colpiti...); ma, soprattutto,la perdita di tante persone, oltre ad

uffici, sistemi e documenti carta-cei.Vi è stato anche un secondo even-to, rappresentato dall’epidemia diSARS in Asia nel 2003. Il numero di vittime è stato limita-to, ma invece alto è stato il nume-ro di Aziende che hanno dovutointerrompere improvvisamente leloro attività a causa dell’assenza dipersonale, in quanto ricoverato inospedale o messo al domicilio co-atto, in quarantena. Molte di que-ste sono fallite nei successivi dueanni.In Italia un grande impulso è deri-vato dall’esperienza che le Banchehanno fatto, a seguito dell’appli-cazione dell’accordo di Basilea sulcapitale di rischio e alla normativadella Banca d’Italia, la cui preoc-cupazione – in linea con le altreBanche Centrali - deriva dai possi-bili impatti sul sistema finanziarioitaliano che si possono avere a se-guito di eventi catastrofici.Le banche, che hanno terminatonei tempi stabiliti i rispettivi pro-getti2, hanno messo a disposizione

un forte know-how basato sull’e-sperienza diretta. In particolare, siè potuto vedere che la maggioran-za delle soluzioni di continuitàadottate dalle Banche hanno sfrut-tato le persone e le infrastruttureesistenti, evitando così investimentiper duplicazioni.In alcuni casi, sono stati formaliz-zati degli accordi con Società diServizi in grado di prendere in ca-rico parte dell’attività dell’Azien-da. Molti di questi contratti nonhanno richiesto l’esborso di sommeanticipate.Alcune significative esperienzeconsentono di affermare che im-plementare la BC non significa do-vere affrontare elevati investimen-ti.Intensa deve invece essere, da par-te dell’Azienda, l’attività di sensi-bilizzazione del personale sul te-ma della continuità operativa e laformazione atta a consentire di ma-nutenere correttamente l’impiantodi BC. Infatti, siccome l’Azienda non è im-mobile, non è statica, gli impattimutano, così come le vulnerabilità,il livello di esposizione al rischio, illivello di accettazione dei rischi(“risk appetite”), ogni anno, o adogni variazione organizzativa si-gnificativa, l’Azienda deve riper-correre il ciclo di BC (analisi delrischio, valutazione degli impatti,ecc.).Importante, oltre alla formazione, èanche la simulazione, in quantoconsente di ottenere vari vantaggi:provare l’efficacia dei piani redat-ti, familiarizzare e sensibilizzare ilpersonale, abituare a prevedere, e aprepararsi ad ogni evenienza. L’e-sperienza ha dimostrato che dei po-tenziali disastri sono rimasti a li-vello di incidente, contenendo idanni, grazie proprio a questo ap-proccio e allo spirito di squadrache si era creato fra il personaleoperante sui processi critici e quel-lo tecnico di intervento. ◆

1“capacità strategica e tattica di unaorganizzazione di pianificare e rispon-dere ad incidenti e gravi interruzionidel business al fine di poter continuarel’attività di business ad un livelloaccettabile predefinito” [Trad.dell’Autore].

2 La normativa, emanata nel luglio2004, ha previsto l’adeguamento dellacontinuità operativa ai nuovi scenarientri il dicembre 2006.

Una materia per fronteggiarepossibili scenari di rischioL’importanza di acquisire una capacità strategica per poter rispondere ad incidenti e continuare l’attività ad un livello accettabile.

ANTHONY CECIL WRIGHTSOCIO CLUSIT, PRESIDENTE ANSSAIF

Il Premio Clusit per incoraggiare

la ricerca universitaria

Al via la terza edizione del premio "Innovare la sicurezza delleInformazioni", riservato alle migliori tesi di laurea sulla materia. Il premioha anche lo scopo di promuovere una collaborazione tra aziende,Università e studenti ed è già diventato un punto di scambio tra mondoproduttivo e mondo scientifico, tra studenti e mondo del lavoro. Sarannopremiate le 5 migliori tesi (2.000 Euro per il primo classificato). Per un approfondimento: https://tesi.clusit.it/

Promozione, formazione e professionalità

Far crescere la cultura della sicurezza informatica in tutti gli ambiti è la missione primariadel Clusit. La tutela di una risorsa così critica come la rete dipende, infatti, dall’azionecongiunta, consapevole e quotidiana di ciascuno, unita ad un alto livello di professionalità.Clusit organizza i seminari Clusit Education (https://edu.clusit.it) e collabora allarealizzazione di oltre 50 convegni all’anno. Clusit è il partner scientifico della piùimportante manifestazione fieristica del settore: Infosecurity Italia (www.infosecurity.it), lacui prossima edizione è prevista a febbraio 2008.


Finalmente, purtroppo, siparla di security ancheper reti e sistemi di con-

trollo ed automazione.Di security informatica si par-la da diversi anni per i sistemie le infrastrutture che ricadonosotto il dominio ICT (PC, retiLan, reti wireless, server, router,switch, cablaggi, modem, ecc.). Certo, in un mondo ideale do-vrebbe essercene bisogno, maoggi, in molti là fuori (ma, at-tenzione, anche tanti qui den-tro!) non vedono l’ora di farcipassare qualche brutto quartod’ora cercando informazioni enotizie preziose o spargendoqualcosa di malizioso nei nostrisistemi. D’altronde, nel mon-do ideale non sarebbero ne-cessari antifurti, lucchetti, ser-rature, armi e Polizia…La tecnologia utilizzata ogginegli impianti di produzione,nei sistemi di controllo e di au-tomazione di fabbrica è semprepiù vicina (in pratica, dicia-molo, la stessa) del mondo ICT(Information & ComunicationTechnology): reti Lan ethernet,protocolli IP, sistemi operativiUnix-Linux e Windows, ecc. Irischi però sono diversi: nonsi tratta della sola perdita didati o informazioni, ma di lot-ti di produzione, danni ad im-pianti e macchinari, rischi diincidenti sul lavoro o di inqui-namenti ambientali. Lo scena-rio ideale dal punto di vistadella sicurezza informatica sa-

rebbe quello di non mettere incomunicazione le reti di fab-brica e sistemi gestionali (uti-lizzando la tecnica del “cusci-no d’aria” o air-gap) per farein modo che le eventuali “con-taminazioni” non arrivino aisistemi di controllo e automa-zione.Ci perderemmo però tutti i be-nefici dell’integrazione delleinformazioni in fabbrica deiquali si parla da tanto tempo,per avere la fabbrica senza car-ta (paperless) e con tutti i si-stemi che, dialogando tra lo-ro, permettono la gestione ot-timale sia del ciclo produttivoche della Supply Chain. Ma forse non saremmo ancora“al sicuro”! Figuriamoci: con tutti i mediache abbiamo intorno (dai CDai DVD, con fileMP3 e film or-mai divulgatori di softwaremalevolo della peggior speciequali worm, trojan, virus, ecc.)e con quelle micidiali “chia-vette USB”, ed ancora iPod emacchine fotografiche digitaliche circolano come strumentida “untori moderni”, spesso in-consapevoli “portatori sani”…E poi, non scordiamoci i mo-dem collegati ai sistemi di au-tomazione, laggiù negli arma-di in fabbrica (spesso neanchecensiti e sconosciuti agli uti-lizzatori dei sistemi) predispo-sti per la manutenzione remo-ta. Tante minacce e vulnerabi-lità spesso sconosciute ai più.

Qualche tempo fa Eric Byres,esperto e ricercatore, in primalinea nello studio della CyberSecurity in ambiente indu-striale, affermava: “Le vulne-rabilità di Windows e Linuxsono in genere ben conosciutee capite. Le vulnerabilità di si-stemi di controllo e SCADAnon sono capite e percepite. E’importante scoprire eventualifalle prima che i dispositivi cri-tici “esposti” vengano instal-lati in campo in produzione(ove poi sarebbe costoso inter-venire) e prima che “cracker”possano scoprirle ed iniziare esfruttarle”. L’importante è non solo par-larne, ma fare: mettiamo in si-curezza reti e sistemi di con-trollo!Da tempo Clusit (Associazio-ne Italiana per la SicurezzaInformatica www.clusit.it )porta avanti un’attività di di-vulgazione e training per au-mentare la consapevolezza sultema: è anche stata comple-tata la scrittura del Quader-no “La protezione di reti e si-stemi di controllo ed auto-mazione (DCS, SCADA, PLC,ecc.)” ed a fine Giugno 2007si è tenuta la Giornata di Stu-dio sull’argomento cyber se-curity industriale, la terza cheANIPLA (Associazione Italia-na per l’Automazionewww.anipla.it ) organizza intre anni, sempre patrocinatada parte di Clusit. ◆

Mettere in sicurezza reti e sistemi di controlloIn un mondo ideale non ci sarebbe bisogno di porte, cancelli,lucchetti, allarmi e polizia. Ma come nel mondo reale anche ilmondo virtuale ha bisogno di proteggersi da attacchi esterni espesso accade anche che i sistemi vengano insidiati direttamentedall’interno.

A CURA DI EENZO M. TIEGHI VISION AUTOMATION SRL - EMAIL: [email protected]

Che cosa si intende per riconoscimento biometrico?Le tecnologie biometriche attualmente esistenti afferi-scono a tre categorie specifiche: l’analisi comportale,l’analisi biologica e l’analisi morfologica. Di queste lapiù utile è la terza, in quanto studia le impronte digitali,la geometria della mano e del volto, il disegno della retevenosa dell’occhio, l’iride e la retina, perchè questi ele-

menti permangono in un individuo in modo stabile durante tutta la vita. I sistemidi analisi delle impronte digitali hanno raggiunto negli anni la piena maturità tec-nologica, infatti questa tecnica è la più utilizza-ta e la più affidabile nell'impiego con grandiflussi di persone e anche quella meno invasivae più scelta dagli utenti.

Qual è secondo Lei l’importanza della biome-tria nel telelavoro?In un epoca in cui il nomadismo fa parte ormaidelle abitudini di vita delle persone, anche ilsemplice cittadino vuole poter usare in modosicuro un portale senza lasciare le proprie im-pronte o password in una banca dati centraliz-zata. Lasciare libero accesso dall’esterno senzagarantire l’identità delle persone che si collega-no può compromettere le misure di protezioneapplicate alla rete dell’ente. Un’autenticazionemulti fattore permette di preservare la sicurezzadel sistema informativo garantendo l’identitàdegli utenti distanti e rispettando le normativevigenti. Inoltre, l’ergonomia e la sicurezza di un sistema token-biometrico non so-no in discussione. Un esempio concreto di applicazione è rappresentato dall’IVA odall’e-voting. Sono disponibili sul mercato anche soluzioni di sicurezza personalecostituite da dispositivi biometrici a chiave su porta USB per autenticarsi in modosicuro e senza depositare informazioni sul computer da cui si effettua l’accesso.

Come è possibile combattere il problema del phishing con il riconoscimentobiometrico? Come si garantisce ad un cittadino la dovuta mobilità rispetto apratiche amministrative, magari di qualche ente pubblico?Attraverso sistemi di autenticazione a distanza con un metodo multi fattore (to-ken-bio) è possibile collegarsi senza rischio ad un sito governativo, a reti private,a siti di commercio elettronico o di banking online. Per raggiungere la massimasicurezza si sostituisce la semplice password con una procedura d’autenticazioneforte. Ogni utente si vede attribuire un token biometrico che genera un codice, va-lido unicamente per il collegamento in corso. Quando gli è richiesto, l’utente pre-senta la sua impronta digitale (cio che è), e solo allora il token biometrico generail codice unico (OTP One Time password – ciò che possiede). L’unione di questielementi costituisce la prova dell’identità dell’utente. ◆

L’impronta digitale INTERVISTA AL DDOTT. ANGELO ATTIANESE,PRESIDENTE DI XELIOS ITALIA


Uno dei servizi in outsourcing più richiesto dalle azien-de in questo periodo è relativo al settore vigilanza esicurezza, perché risulta evidente che nessuna attivi-

tà produttiva potrà funzionare in modo corretto se gli im-mobili, i macchinari, le attrezzature, il denaro contante e, nonda ultime, le persone che lavorano, sono esposte alla mercèdi terzi senza un adeguato livello di protezione. La tutela dei beni è diventata una esigenza per contrastare lacrescente diffusione della microcriminalità che colpisce ipiccoli esercenti, e per porre un freno anche alla criminali-tà organizzata che, per scopi evidentemente illeciti, può sot-trarre dei beni all’azienda colpita o danneggiarla grave-mente. Nel caso per esempio di banche o aziende che gesti-scono prodotti ad alto valore poi il problema si trasferisce di-rettamente alla tutela dei dipendenti della società, in quan-to spesso le aggressioni a titolo di rapina sono causa di de-cessi e ferimenti tra il personale. L’assicurazione può inter-venire per la copertura dei danni patrimoniale alle cose e al-le persone, ma non potrà mai restituire una vita oppure ren-dere ad un clima aziendale la giusta serenità che è stataviolata e compromessa. Per intervenire contro queste spiacevoli evenienze sono na-ti, e sono proliferati negli ultimi tempi, numerosi istituti divigilanza privata, sia essa armata o non armata, in grado diproporre alle aziende clienti dei servizi di controllo e sicurezzaall’avanguardia.Nel caso di aziende che trattano merci di valore ridotto, o dif-ficilmente sottraibili per via diretta, si preferisce affidarel’incarico ad una sorveglianza non armata, che unitamenteall’ausilio di strumenti elettronici e informatici di controllo,anche in collegamento con le forze dell’ordine, possa impe-

dire una eventuale azione intrusiva o danneggiante. Altro caso, ma nato dalle stesse premesse, è l’introduzione diun servizio di vigilanza armato in quei settori del credito, del-la tecnologia o dell’industria dove si teme un attacco im-provviso e organizzato in grado di sottrarre beni e causaredanni alle attività produttive e di ricerca (le nuove invenzioniad esempio non hanno prezzo, e se vengono sottratte formule

o piani di sviluppo il danno è irreparabile). E’ poi anche una questione d’immagine, pertanto l’aziendacliente preferisce mostrare ai proprio ospiti un grado di ge-stione della sicurezza avanzato, grazie a sistemi di telecon-trollo e guardie giurate. Per quanto concerne il ramo tecnologico, oggi si assiste aduno scenario di nuovi ritrovati, utilissimi per la sorveglian-za: telecamere per visione notturna con zoom in grado diidentificare i particolari a centinaia di metri di distanza, si-stemi antifurto perimetrali e di area molto sofisticati cheagiscono tramite microonde e infrarossi, combinatori tele-fonici e sistemi di allarme radio con collegamento diretto adun centro di controllo in grado di intervenire in diverse si-tuazioni, come ad esempio ferimenti, incendi, sicurezza eproblematiche di varia natura. Il punto è che non esiste a priori una chiave magica per la so-luzione di ogni problema di sicurezza e controllo, ma unbuon istituto di vigilanza ha dalla sua l’esperienza e la tra-dizione di chi ogni giorno si confronta con le situazioni im-previste: la guardia non è un semplice strumento armatodifensivo, ma quasi più una figura di riferimento per la tu-tela e l’integrità dello scenario al quale è stato assegnato. Sia in postazione fissa, sia in ronda diurna e notturna, oppurein attività di pattugliamento, il servizio di sicurezza garan-tisce la protezione a beni e persone, scoraggiando l’azione dimalviventi che trovando di fronte a sé un ostacolo obietti-vamente efficace, possono desistere dal compiere azioni il-lecite. Il buon servizio di vigilanza, attraverso la professio-nalità specifica e le competenze dei propri addetti abituati al-la dedizione e allo spirito di servizio, è una presenza sicurae stabile: non si fa sentire, ma c’è. ◆

La nuova frontiera della sicurezza aziendale I servizi di vigilanza degli Istituti Italiani tra tecnologia e professionalità degli operatori. Una scelta consapevole è possibileinformandosi sulle risorse tecnologiche e sullo spirito di servizio.

❖ Per i suoi servizi professionali di:• consulenza progettuale • risk analisys• vulnerability assestment• centro di assistenza h24 365gg• formazione

❖ Per la sua visione innovativa: Una rete non solo scalabile, performante eaffidabile ma, soprattutto, una rete sicura ingrado di proteggere i vostri dati in manieraunica attraverso una visione “Olistica” dellavostra infrastruttura.

❖ Per le sue soluzioni di sicurezza• Firewall• IDS – IPS • NAC • 802.1x • Antivirus • Antispam • URL Filtering • VPN

❖ Per l’economicità delle soluzioni:• SAVING garantito senza degrado della qualità tecnologica offerta

3 + 1 Buoni motivi per scegliere

SEVEN ONE SOLUTION:

• HQ: Roma Viale di Catel Porziano 411 - 06.50918530• Milano Via Gorki ang. Viale F. Testi• Napoli Via Fiumicello 7

• Palermo Via Duca della Verdura 63• [email protected]

Enterasys Sentinel

Matrix N Series

Dragon

SecureStack

Matrix X Series

NetSight

RoamAbout


Le certificazioni più richieste dalle aziende sono quelle relative alla qualità,oggi considerate come un fattore determinante per valutare il grado di efficienza di una realtà produttiva.

Un metro di giudizioper la certificazione

DOTT. FABIO GUASCONICONSULENTE SGSI.NET - SOCIO CLUSIT

La fiducia è un elemento critico per prendere decisioni, nella vi-ta di tutti i giorni e a maggior ragione nel business. Chi ha laresponsabilità di scegliere ha la necessità di percepire in bre-

ve di cosa si può fidare e di cosa no. Le certificazioni, specie dove un forte e dinamico aspetto tecnolo-gico rende difficile l’orientamento, mirano ad offrire un metro di va-lutazione uniforme, anche a livello internazionale. Per ottenere ciòentrano in gioco degli attori fidati: i cosiddetti enti o laboratoridi certificazione, che prendono in carico la valutazione di un’enti-tà, e un sistema di accreditamento che effettua attività di control-lo. In questo contesto chi promuove la certificazione è il produttoreo il proprietario dell’entità in esame, per dimostrare ai suoi partnere clienti le qualità della stessa.Nell’ambito della sicurezza delle informazioni (non solo informaticadunque), questa “entità” si scinde in due categorie ben distinte:prodotti e sistemi.Una certificazione di prodotto, normalmente condotta secondo lostandard ISO 15408 tratto dai noti “Common Criteria”, viene ef-fettuata presso un laboratorio adeguatamente attrezzato. In base al-la tipologia del prodotto e al livello di sicurezza che si vuole certi-ficare (crescente da EAL1 a EAL7), sono definite le caratteristiche disicurezza nonché le modalità della loro verifica. In caso di supera-mento di tutte le verifiche stabilite viene emesso il certificato. A ti-tolo di esempio IBM DB2 è stato certificato EAL4+.Una certificazione di sistema segue invece la più estesa impostazionetracciata dalla ISO/IEC 27001 (nato dalla BS 7799), che consistenell’instaurare un processo di gestione della sicurezza di tipo tra-sversale, orientato sia agli aspetti tecnologici sia a quelli organiz-zativi della sicurezza nell’azienda. Gli enti di certificazione ese-guono delle visite periodiche presso l’azienda per valutare la con-formità del sistema alla norma e, in caso positivo, rilasciano il cer-tificato. Sempre per citare un esempio, Intesa SanPaolo ha certifi-cato alcuni suoi servizi.In Italia il mercato in questo settore sta ancora muovendo i primipassi, mentre in altri paesi quali l’Inghilterra è ben più maturo.Tale situazione concede però alle aziende che decidono di intra-prendere ora questo percorso l’opportunità di ottenere un rimarcabilevantaggio d’immagine e di valore aggiunto sui competitors, oltre aibenefici derivanti da una migliore gestione degli investimenti e daun ridotto impatto degli incidenti legati alla sicurezza. ◆

Sono molteplici le certifica-zioni richieste da una azien-da per poter migliorare la

propria struttura e potersi interre-lazionare ottenendo più fiduciaverso clienti, fornitori e partner. A titolo non esaustivo sono cita-bili le seguenti certificazioni: mar-chio CE, Marcatura Europea, certi-ficazione di attrezzature navali, cer-tificazioni di sistema e di prodottoISO 9000 QS9000 ISOTS16949, del-l'ambiente EMAS e ISO 14001, del-la salute e sicurezza OHSAS 18001,della responsabilità sociale SA 8000e Codici di Condotta, della certifi-cazione di prodotto e agroalimen-tare, ecc. Tra le certificazioni più richieste visono quelle relative alla qualità,

essendo considerata come un fat-tore determinante per la valuta-zione del grado di efficienza di unarealtà produttiva o di servizi. Nell’ambito della qualità ne indi-viduiamo tre fondamentali: l’ISO9000 identifica una serie di normee linee guida sviluppate dall’ISO,che propongono un sistema di ge-stione per la qualità, pensato pertenere sotto controllo i processiaziendali indirizzandoli alla sod-disfazione del cliente, l’ISO 9001per la definizione dei requisiti deisistemi qualità e l’ISO 9004 che èuna linea guida per il migliora-mento delle prestazioni delle or-ganizzazioni. Attualmente le ISO9000 sono usate in industria comemodello di riferimento per la qua-

lificazione e la selezione dei for-nitori e nei contratti tra fornitorie clienti. In particolare nei rappor-ti con i fornitori la ISO 10005 in-dividua delle linee guida per il pia-no di qualità, che ogni fornitoredovrebbe adottare per garantire leclausole contrattuali nei confrontidelle aziende clienti: il piano diqualità risulta necessario per espli-citare nei confronti del cliente leregole di comportamento del pro-prio sistema. In Italia e in Europa,si sta diffondendo notevolmente larichiesta di certificazioni. Per alcuni settori, soprattutto in re-lazione ai concorsi pubblici (ap-palti e bandi), la certificazione èobbligatoria e la si ottiene attra-verso un ente certificatore. ◆

Le Certificazioni,importante strumento per il business

Il riconoscimento delle competenze:la certificazione CISSP

La certificazione CISSP (Certified InformationSystems Security Professional) è una qualifica dieccellenza a livello mondiale che permette diriconoscere chi veramente ha competenze eprofessionalità in materia di ICT Security e accresceil ritorno degli investimenti fatti da ogniorganizzazione in ambito informatico. Nel mondo i Professionisti certificati CISSP sono48.598, distribuiti in 126 paesi, di cui 176 in Italia.Dal 2004 Clusit organizza a Milano e a Roma iseminari di preparazione all'esame CISSP e gli esami.Il prossimo seminario si terrà a Roma la settimanadal 22 al 26 ottobre e l'esame il 24 novembre.Per un approfondimento: www.clusit.it/isc2

Abbiamo osservato la cre-scente diffusione di sistemiinformatici e di reti di tele-

comunicazioni, a cui è seguita lanascita di nuovi servizi e forme dicomunicazione che sono oggi dis-ponibili ed utilizzate da milioni diutenti attraverso la rete Internet. Questa straordinaria evoluzione di

tecnologia ha determinato una so-stanziale modificazione nelle abi-tudini degli utilizzatori di certi ser-vizi, quali quelli di informazione odi acquisto, in quanto oggi è natu-rale consultare un quotidiano on-line (o più quotidiani) ed effettua-re degli acquisti a grande distanzasenza neanche alzare il telefono.

Come è intuibile, ogni nuova tec-nologia rappresenta contempora-neamente una opportunità ma an-che un rischio, in quanto lo stru-mento è utile se risulta libero daminacce e se non risente di azionifraudolente operate da chi sfrutta lanovità tecnologica per raggiunge-re fini illeciti.

A volte la responsabilità è anchenegli utilizzatori che hanno pocaconfidenza con gli strumenti in-formatici, vittime di un atteggia-mento superficiale e di una scarsacomprensione dei rischi legati adun uso improprio del mezzo tec-nologico in un contesto di infra-struttura di rete mondiale. Ciò cheviene affrontato a più riprese, ininterventi formativi più o meno di-retti da parte degli esperti, è il temadella “Sicurezza in Internet e nellenuove tecnologie informatiche”,perché questo ambito rappresentauna vera e propria necessità pertutti gli utilizzatori, ovvero è unelemento fondamentale per poterusufruire dei molteplici servizi og-gi disponibili. Sono nate iniziati-ve a favore della conoscenza delproblema sicurezza da parte di nu-merose organizzazioni, commer-ciali e non, per introdurre una co-scienza sul problema a livello so-ciale, determinando quindi un at-teggiamento prudenziale verso unutilizzo troppo “frivolo” del mezzoinformatico.Vale la pena di ricordare che sonoproprio gli utenti a inserire i datidelle proprie carte di credito o adivulgare informazioni non auto-rizzate circa le proprie credenzialidi accesso a banche e sistemi pro-tetti, perché non si accorgono delpericolo incombente durante la ses-sione di collegamento. A livello in-ternazionale è diffusa una defini-zione ottimale in relazione al pro-blema informatico evidenziandoche l’atteggiamento necessario arisolvere queste imprudenze è una“cultura della sicurezza” (“Lineeguida dell'OCSE sulla sicurezza deisistemi e delle reti d'informazione:

verso una cultura della sicurezza”25 luglio 2002). Ciò che ci si aspet-ta da un approccio informato aldiscorso è trattare i cardini forma-tivi della sicurezza sotto i profilidi Internet e le reti geografiche, lasicurezza delle reti e dei servizi, i si-stemi di navigazione e le autenti-cazioni, la cifratura dei dati e i tun-nel virtuali. Queste sono le areeprincipali per conoscere con esat-tezza i problemi legati ad internet ealle nuove tecnologie informati-che. Occorre inventare un approc-cio formativo in un contesto fles-sibile in grado di arricchirsi di nuo-vi contributi e approfondimenti,seguendo le esigenze e la naturastessa del progetto educativo: av-vicinare l'utente al concetto di si-curezza informatica per il raggiun-gimento di una maggiore consa-pevolezza nell'utilizzo di Internete dei suoi servizi. Nel corso degliultimi anni sono stati attivati daparte di consorzi universitari,aziende private, enti didattici ac-creditati, aziende e docenti, nume-rosi corsi di formazione e mastercollegati alla sicurezza informaticae all’approccio ad un utilizzo con-sapevole dei mezzi informatici. L’u-tilizzatore aziendale con l' inter-vento in loco del formatore o an-cora meglio, attraverso internetgrazie ai corsi online, è in gradodi acquisire una maggiore cono-scenza del settore intervenendo sul-le proprie debolezze e costruendointorno a sé una barriera contro gliattacchi di soggetti malevoli (vi-rus, spyware, hackers e quant’al-tro) a vantaggio della propria si-curezza, del proprio lavoro, e delpatrimonio dell’impresa nella qua-le opera. ◆


Le organizzazioni, imprese e enti pubblici, vittime quotidianedi attacchi esterni ai propri dati, sottoposte continuamente alrischio della perdita di dati importanti, sono ormai molto sen-sibili al tema della sicurezza delle informazioni. Vengono ef-fettuati importanti investimenti in tecnologie, informatiche enon solo, utilizzate per la protezione e la salvaguardia del-l’integrita dei dati. Vengono continuamente aggiornati piani didefinizione delle politiche della sicurezza, che sono semprepiu completi ed esaustivi. Ma il piu delle volte si sottovalutail “fattore umano”: ad operare, nelle aziende, sono le persone.Qualsiasi strumento tecnologico, per quanto efficace, qualsiasiregolamento, per quanto completo, puo essere vanificato dal-l’assenza di informazione oppure dalla diffusione di indicazioniparziali. E’ quindi necessario favorire il proliferare di una “cul-tura della sicurezza” e di una “cultura dell’integrita dei dati”:non bisogna dimenticare che un dato compromesso e spessoequivalente ad un dato perso. Curare il diffondersi dell’infor-mazione equivale a predisporre un corretto ed esauriente pia-no di addestramento del personale. La formazione deve essere estesa a qualsiasi livello azienda-le: dirigenti, quadri, impiegati, tecnici informatici, tutti de-vono essere coinvolti. Un piano di formazione ben articolato

deve tener conto, e vero, del ruolo delle persone e della lorofunzione, ma non deve tralasciare nessuno e non deve igno-rare alcun argomento. E’ certamente utile aggiornare tutte le risorse di un’organiz-zazione sulle tecniche di configurazione dei firewall azien-dali. E’ pero necessario che l’intera azienda conosca il pro-prio piano dei rischi, il corretto comportamento di fronte aduna e-mail sospetta o le norme per garantire la riservatezzadelle informazioni vitali. D’altra parte, il personale tecnicodovrebbe essere costantemente aggiornato sulle minacce che,con ritmo incalzante, si diffondono in rete. Aggiornamentodelle tecnologie e dei prodotti, quindi, ma anche del personale.

Risorse umane e sicurezza: l’aggiornamentodel “fattore umano”

Gli utenti di internet e delle nuove tecnologie informatiche sono milioni, ma sono ancora relativamente pochi coloro che hanno affrontato con attenzione uno studio connesso all'utilizzo di questi strumenti così versatili, ma anche così pericolosi.

“Online Sicuro”: un progetto di Web Security Awareness e assistenza on line per cittadini e piccole/medie imprese

Si tratta della realizazione di un portale che illustrerà al cit-tadino le principali problematiche di sicurezza relativeall'utilizzo di Internet: la sicurezza del proprio pc, la si-

curezza delle transazioni on line, l'e-government, la tutela deiminori su Internet, i virus, la posta elettronica, la Privacy, la tu-tela dei diritti d'autore, lo spamming, il phishing, ecc. Alle im-prese illustrerà: le misure minime di sicurezza, gli obblighi dilegge, la gestione della sicurezza in azienda, la business conti-nuity e la gestione delle crisi, la formazione e la certificazionedel personale addetto ai sistemi, ecc. Ma la parte più innovati-va del portale, che sarà operativo entro fine anno, consiste inun servizio di assistenza on line per il cittadino: una sorta di 113informatico. L'iniziativa sarà promossa direttamente dalla Pre-sidenza del Consiglio dei Ministri e vedrà il coinvolgimentodelle Confederazioni Industriali, di Confcommercio e delle As-sociazioni dei Consumatori. Le attività saranno coordinate da In-fosecurity Italia e portate avanti dal Clusit e dal CERT.IT (Com-puter Emergency Response Team c/o il Dipartimento di infor-matica e Comunicazione dell'Università degli Studi di Mila-no). L'operazione sarà finanziata da un gruppo di aziende pri-vate (appartenenti sia al settore IT che al mondo industriale, fi-nanziario e dei servizi). ◆

Internet: sicuri vuole dire conoscere

Elea S.p.A., leader nella formazione sulle ICT

Siamo strutturati in 9 divisioni per fornire ai nostri CLIENTI servizi specializ-zati con competenze e capacità che, possono agire in modo autonomo ointegrato fra loro, nei settori di: Facility Management, Global Service,Outsourcing & Problem Solving,Somministrazione e Staff Leasing,Ricerca & Selezione, Outplacement & Consulenza di Carriera.

GRUPPO VIESSE - Agenzia per il Lavoro - Autorizzazione Ministero del Lavoro 22.12.2004 Prot.1235-SG

Soluzioni a 360°Gruppo italiano leader nei servizi integrati con tecnologie innovative

comafo.it gruppoviesse.itaddaristorazione.itadinterim.it

070709 ins 24ore - clusit.it

Documents

Transcript of 070709 ins 24ore - clusit.it