TIG White Paper Trends della Cybersecurity _maggio 2013

Evoluzioni nel mercato italiano della Cybersecurity

2013

Maggio 2013

© The Innovation Group - 2013 | 1

SI RINGRAZIANO PER IL LORO SUPPORTO:


SOMMARIO

SCENARIO INTERNAZIONALE DELLA CYBERSECURITY 4

APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY 7

PRINCIPALI RISULTATI DELL’INDAGINE 7

CRITICITÀ DEL TEMA DELLA CYBERSECURITY NELLE AZIENDE ITALIANE 8

RISCHI INFORMATICI, RESPONSABILITÀ E CONSEGUENZE PERCEPITE 10

OBIETTIVI, ATTIVITÀ ED EFFICACIA DELLA FUNZIONE SECURITY 15

ATTIVITÀ DI INCIDENT RESPONSE E APPLICATION SECURITY 19

SOLUZIONI DI CYBERSECURITY ADOTTATE E PREVISTE 21

AFFRONTARE I NUOVI RISCHI ASSOCIATI A CLOUD, MOBILITY E SOCIAL MEDIA 22

NOTA METODOLOGICA 26

LE AZIENDE ITALIANE E IL TEMA DELLA CLOUD SECURITY 28

DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE 30

POLITICHE EUROPEE E NAZIONALI PER LA SICUREZZA DELLE INFRASTRUTTURE

CRITICHE 34


Roberto Masiero

Co-Founder

The Innovation Group

Ezio Viola

Co-Founder

The Innovation Group

Ad un osservatore imparziale appare evidente che lo scenario globale sulle minacce

legate a Internet e all’ICT è in costante trasformazione. Da un lato viene sottolineato da

più fonti che i rischi sono in crescita e le minacce stanno cambiando natura,

responsabilità e target. Dall’altro lato, nuove tendenze che riguardano tutti - gli utenti, le

aziende, i consumatori - e che saranno ampiamente discusse nel presente studio,

obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di

security per riadattarle ai nuovi contesti.

Obiettivo dello studio è quello di fornire ai manager di aziende pubbliche e private,

quotidianamente chiamati a prendere decisioni in questo ambito, una fotografia

aggiornata sulle evoluzioni in corso nella Cybersecurity. Le conclusioni sono basate da un

lato sull’osservazione delle principali dinamiche a livello internazionale, dall’altro lato

sullo studio delle scelte effettuate dalle aziende italiane. E’ stata svolta infatti

un’indagine che ha coinvolto, nei mesi di marzo e aprile 2013, 115 organizzazioni medio

grandi italiane. Il tutto con l’obiettivo di fornire un utile supporto informativo a chi

intende attivarsi e cogliere indicazioni concrete su come migliorare il proprio approccio

al tema della Cybersecurity.


Scenario Internazionale Della Cybersecurity

SCENARIO INTERNAZIONALE DELLA CYBERSECURITY

Guardando alle evoluzioni che a livello globale caratterizzano l’ambito della

Cybersecurity, emerge un aspetto che preoccupa più di altri, ossia quello che vede

l’affermarsi di attacchi sempre più mirati, rivolti a singole organizzazioni invece che al

mass-market e pensati con lo scopo di ottenere forti guadagni sul fronte economico. Si

tratta di attacchi progettati per superare le attuali misure di sicurezza, sfruttando

debolezze, come l’elemento umano, difficili da prevedere e controllare. Un esempio di

questo trend sono gli APTs (Advanced Persistent Threats), attacchi che normalmente

durano molto tempo, sono perfettamente orchestrati in modo da utilizzare più tecniche

contemporaneamente, si basano (per dare inizio all’attacco) sullo sfruttamento di

vulnerabilità umane, ossia la buona fede degli utenti. A questi sono rivolti attacchi di

spear phishing congegnati per avere da un lato massima efficacia, dall’altro non essere

rilevati dalle soluzioni di security predisposte (ad esempio per il controllo delle mail o

della navigazione web).

Anche la crescita degli attacchi Zero-days (sfruttano vulnerabilità non ancora note agli

stessi vendor del software, per cui hanno successo garantito, non essendoci misure per

prevenirli) dimostra quanto l’industria del cyber crime sia oggi avanzata sul fronte delle

competenze tecniche e della determinazione nel sfruttarle, anche rivendendole a terzi.

Tutte queste attività avvengono per lo più in modo silenzioso, all’insaputa delle vittime,

che possono continuare a perdere dati e informazioni rilevanti per anni. Oltre ad avere

una maggiore consapevolezza del fenomeno le aziende dovrebbero dotarsi di strumenti

per tener traccia di eventuali attività malevole e poter rispondere con azioni legali, come

sarà presentato nel capitolo successivo parlando di Digital Forensics.

Rispetto agli anni scorsi, stanno emergendo le responsabilità di nuove tipologie di

attaccanti. Da un lato gli hacktivists, ad esempio Anonymous, che pur usando tecniche di

base (DDoS, defacement di siti web), hanno ampliato il campo di azione attaccando

anche aziende private, ad esempio dei settori energia e trasporti, per portare a termine

proprie azioni di protesta e causare imbarazzo pubblicando informazioni riservate.

Dall’altro lato, emerge il ruolo di gruppi di cyber-spie, probabilmente arruolati da stati

esteri che volontariamente attuano queste politiche anche a scopo di spionaggio

industriale. In questo caso le tecniche di attacco possono essere molto evolute e

rimanere silenti nel tempo, per cui solo dopo anni le aziende si accorgono di aver perso

informazioni rilevanti come contratti, database clienti, Intellectual Property.

Per quanto riguarda la controbilanciata da misure come antivirus, antispyware.

Preoccupa la facilità con diffusione di malware, dove si nota una crescita preoccupante è

sul fronte dei device mobile. Mentre per altre tipologie di malware infatti il fenomeno,

pur rimanendo, è oggi sotto maggiore controllo (e in particolare viene registrata una

minore incidenza dello spam rispetto al passato) per quanto riguarda il mobile malware,

la diffusione è in crescita e non abbastanza cui il malware riesce a diffondersi fruttando

meccanismi come il phishing (anche via SMS) o il download di App non verificate,

pratiche sempre più comuni nel mondo consumer, in cui gli utenti sono del tutto

impreparati sul fronte della security.

L’industria del cyber

crime è sempre più

avanzata sul fronte

delle competenze

tecniche e della

determinazione nel

sfruttarle

Nuove

responsabilità tra

chi conduce i

cyber attacchi

Crescita del

Mobile malware

L’elemento

umano come

maggiore

vulnerabilità



Un aspetto rilevante che sta emergendo è però anche che, guardando all’insieme delle

azioni malevole (che non risparmiano in realtà più nessuno, essendo sempre di più le

vittime sia lato consumer sia business, in tutti i settori e dimensioni di azienda)

escludendo gli attacchi di profilo elevato, per la maggior parte le azioni di furto di dati o

interruzione dei servizi potrebbero essere evitate applicando misure minime e prestando

maggiore attenzione alla tematica.

Inoltre, dove le misure di sicurezza predisposte mostrano maggiormente la loro

inadeguatezza è nei casi in cui l’attacco prende di mira gli utenti, ad esempio con

tecniche di social engineering o spear phishing. L’elemento umano emerge oggi come la

maggiore vulnerabilità nelle politiche di prevenzione e risposta ai rischi della

Cybersecurity. Le aziende non fanno evidentemente abbastanza sul fronte del

coinvolgimento degli utenti finali nelle attività di prevenzione e risposta: basti pensare

che ancora oggi numerose organizzazioni risultano vulnerabili perché le chiavi di accesso

utilizzate dagli utenti sono banali, ripetitive e facilmente individuabili! Bisognerebbe

quindi lavorare di più per accrescere la cultura della sicurezza all’interno delle

organizzazioni nel loro complesso: è evidente che gli strumenti e le metodologie

utilizzate finora per creare Security Awareness non hanno funzionato, e vanno ripensati

nell’ottica di un maggiore Engagement degli utenti.

Inoltre, dando per scontata oramai la possibilità di un attacco, sarebbe auspicabile che

tutte le aziende fossero in grado di reagire tempestivamente. L’analisi di quanto

avvenuto ad oggi porta infatti a consigliare misure immediate di risposta all’attacco

informatico, anche quando se ne è subito un danno, perché questo aiuta a limitarne gli

effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data

breach sui loro dati può servire a limitare la perdita di clienti come conseguenza

dell’attacco. Il customer churn come conseguenza di un attacco portato a termine

rappresenta un elemento da considerare, variabile a seconda del settore in cui opera

l’azienda, in genere più alto per servizi finanziari o prodotti High Tech.

Nel 2012 si è poi assistito all’estensione degli attacchi anche verso le nuove piattaforme

dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi

Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si è trattato più che altro di

furti di identità, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando

tecniche di hacking basilari e sfruttando più che altro la limitatezza dei meccanismi di

autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica però

nel caso di utilizzo business dei Social Media, perché in questo caso aumentano rischi di

reputazione, danno d’immagine, responsabilità verso terzi, perdita di dati rilevanti o

diffusione di malware da comunicazioni provenienti dai Social Media, con possibili

implicazioni economiche per le aziende.

Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in

evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di

Dropbox, accedendo all’account di un dipendente della società gli hacker sono entrati in

possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in

definitiva per inviare spam. Altre situazioni sono apparse però più gravi, in particolare, la

temporanea indisponibilità del servizio di Amazon AWS. In questo caso non si è trattato

tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La

mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data

Necessità di

misure immediate

di risposta

Attacchi a Social

Networks e servizi

Cloud

Richiesta di

Awareness e

cultura della

security



center di Amazon i propri servizi Internet. Il tema della sicurezza del Cloud è un

problema all’attenzione dei governi e di istituzioni, per cui sono prevedibili ampi sviluppi

su questo fronte, come sarà illustrato anche nel capitolo successivo.

Una ulteriore fonte di preoccupazione viene dalla possibilità che gli hacker spostino in

futuro l’attenzione su ulteriori bersagli, costituiti non più da PC, server, o device mobile,

ma dai dispositivi elettronici che sempre di più pervadono tutti gli ambiti, dagli

autoveicoli, alle abitazioni, alle smart grid. Già oggi il tema delle infrastrutture critiche

mette in luce la possibilità che malintenzionati possano prendere il controllo di sistemi e

processi la cui indisponibilità avrebbe conseguenze gravissime a livello di intere nazioni

(reti elettriche, telecomunicazioni, risorse idriche, sanità, trasporti). Per evitare che

questo succeda sarebbe opportuno cominciare a prevedere, fin dalle fasi di design di

nuovi prodotti, una sicurezza intrinseca che elimini la possibilità di utilizzi indesiderati.

Questo tipo di verifiche e aggiunta di controlli avrebbe però come conseguenza un

innalzamento del costo di produzione.

L’argomento assume però una tale rilevanza che è diventato oggetto di politiche di

sicurezza nazionale. Attualmente vari governi si stanno impegnando in particolare a

trovare nuove forme di regolamentazione comune, in modo da mettere a fattore

comune gli sforzi che sono richiesti alle diverse parti, pubbliche e private, per mettere in

sicurezza le rispettive infrastrutture, trovando giusti bilanciamenti e avviando

collaborazioni sia a livello nazionale, sia anche internazionale.

Negli USA, è entrato in vigore in febbraio l’ordine esecutivo del Presidente Obama

”Improving Critical Infrastructure - Cybersecurity” rivolto al NIST (National Institute for

Standards and Technology) secondo il quale l’istituto dovrà quest’anno collaborare con

l’industria nazionale per individuare un framework di azioni volontarie comune. Il NIST in

particolare dovrà entro 240 giorni definire una versione preliminare di un apposito

sistema - il Cyber Framework - con regole, metodi, procedure di indirizzo e misure di

contenimento dei rischi cyber per le infrastrutture. A livello europeo negli ultimi anni

sono stati aperti diversi tavoli di discussione, ma di fatto ad oggi sono stati presi soltanto

degli impegni piuttosto generici, ad esempio quello che ogni stato membro dell’Unione

dovrebbe costituire un proprio CERT nazionale (la tematica sarà approfondita nelle

pagine successive).

Infrastrutture

critiche e Internet

of Things (IoT)


Approccio Delle Aziende Italiane Alla Cybersecurity

APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY

Principali r isultati del l ’ indagine

Obiettivo dello studio è stato quello di rilevare, presso un campione di 115 aziende

italiane, medio grandi e dei diversi settori verticali, qual è la rilevanza del tema della

Cybersecurity; come sta cambiano la percezione sulle minacce in corso; quali sono gli

obiettivi e le attività predisposte per il Security Management. Inoltre sono state indagate

le soluzioni e le tecnologie utilizzate per i diversi ambiti, con un approfondimento

relativo alle attività di Incident Response, Application Security e su ambiti nuovi come

Mobility, Social Networks e servizi Cloud.

Dall’analisi emerge che le aziende italiane medio grandi attribuiscono elevata

importanza al tema della Cybersecurity, ossia delle soluzioni e dei servizi per contrastare

malware e altri rischi IT. Hanno però un approccio alla tematica ancora troppo ancorato

al passato. Infatti:

Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai Social Networks, al BYOD (Bring Your Own Device).

Hanno scarsa consapevolezza della pericolosità delle nuove minacce, come APTs (Advanced Persistent Threats), attacchi Zero-days e attacchi Scada (Supervisory Control And Data Acquisition), e non vedono nella risposta alle minacce emergenti un obiettivo importante della funzione security.

Sottostimano le perdite economiche legate a incidenti dovuti a cyber attacks, non considerano prioritari per diventare più efficienti aspetti come la Security Intelligence, la gestione end-to-end del problema, l’automatizzazione delle procedure operative.

Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha

raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita

dell’adozione. Ciò nonostante rimangono isole di arretratezza su aspetti interni del

Security Management che richiederebbero un momento di riflessione da parte dei

responsabili.

Nonostante il 74% delle aziende riporti di aver subito almeno un incidente informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi un’adozione ancora molto limitata, soprattutto per aspetti come le analisi forensiche per l’identificazione delle responsabilità, le azioni e la reportistica post incidente.

In tema di Application Security, metà delle aziende definisce guidelines interne per lo sviluppo sicuro di applicazioni, solo un terzo verifica con policy opportune che il software acquisito da terzi sia sicuro.

Quello di cui i responsabili della sicurezza si lamentano è la mancanza di risorse interne e

di skill dedicati: per questo motivo, il ricorso a fornitori specializzati esterni è frequente,

e si configura sia come esternalizzazione di aspetti più operativi (mantenendo la

governance all’interno) sia anche come completo passaggio di responsabilità a terzi.

Nonostante il 74%

delle aziende riporti

di aver subito

almeno un incidente

informatico dovuto

a cyber attacco, le

misure di Incident

Response hanno

oggi un’adozione

ancora molto

limitata.



La stessa figura comincia ad apparire anche parlando di sicurezza dei Cloud provider. La

percezione della sicurezza dei servizi offerti da Cloud provider appare mediamente

positiva, con l’eccezione soltanto di un aspetto, il fatto che il Cloud provider possa

fornire garanzie sulla localizzazione dei dati.

In tema di Mobility e Social Network, le aziende cominciano a mostrare la diffusione di

policy interne dedicate a queste tematiche, sia per l’uso aziendale sia quello personale di

device mobile e siti social. Dove invece si osserva ancora un salto da effettuare è nella

predisposizione di soluzioni di sicurezza dedicate a questi ambienti.

Critic ità del tema della Cybersecurity nelle aziende ital iane

La consapevolezza sui rischi informatici è oggi ampiamente diffusa nelle aziende italiane

e ad una Awareness elevata corrisponde la predisposizione di numerose attività e misure

di Cybersecurity. In un 20% circa delle aziende italiane il tema assume importanza

rilevante, tanto da essere considerato fondamentale per preservare il business, la

Reputation e quindi, in ultima istanza, la stessa sopravvivenza dell’impresa. Se si

analizzano le risposte per settori verticali o per dimensione di impresa si ottengono in

alcuni ambiti percentuali ancora più elevate. Il settore finanziario e della pubblica

amministrazione sono quelli maggiormente impattati dalla tematica, anche per obblighi

normativi che hanno comportato un’elevata attenzione alla sicurezza dei dati e hanno

determinato l’adozione di misure e processi volti a prevenire gli incidenti informatici.

Tabella 1: Attribuzione di livelli di importanza al tema della Cybersecurity

Livello Descrizione

Massimo Fondamentale nel preservare il Business e la Reputation dell'azienda

Alto La Cybersecurity serve a garantire l'operatività quotidiana

Medio Vengono svolte quelle che nel nostro settore sono le misure principali

Basso Vengono svolte solo misure di base



Figura 1: Criticità del tema della Cybersecurity

Domanda: Quanto è critico il tema della Cybersecurity nella sua azienda?

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Si osserva quindi, considerando il complesso delle aziende italiane, una preponderanza

di risposte tra chi attribuisce al tema una rilevanza elevata (la Cybersecurity serve a

garantire l’operatività quotidiana), con una quota del 45% delle risposte, o media (sono

svolte le misure principali), per un ulteriore 33% dei rispondenti. Solo in un 3% delle

aziende il tema riveste bassa attenzione, con l’attuazione soltanto di misure minime di

security.

Figura 2: Criticità del tema della Cybersecurity - per dimensione d’impresa



Livello massimo

19%

Livello alto 45%

Livello medio 33%

Livello basso 3%

13%

17%

24%

38%

48%

43%

38%

32%

33%

13%

3%

0% 20% 40% 60% 80% 100%

< 50 addetti

50-1.000 addetti

> 1.000 addetti

Livello massimo Livello alto Livello medio Livello basso


SCENARIO INTERNAZIONALE E ITALIANO DELLA CYBERSECURITY


Per comprendere le diverse attribuzioni di importanza alla tematica è interessante

analizzare le risposte per dimensione di azienda o per settore d’impresa. La dimensione

dell’impresa è direttamente correlata al tema: tanto maggiore è il numero di dipendenti,

tanto più importante sarà avere sotto controllo i possibili rischi informatici e prevedere

misure che preservino il Business. Con riferimento al settore, anche in questo caso si

nota – come già detto – un’elevata attenzione alla Cybersecurity negli ambiti finance e

pubblica amministrazione. A seguire le aziende nel settore dei servizi, utilities, retail e

industria attribuiscono, per la maggioranza, importanza medio alta, ma in alcuni casi, ad

esempio nei servizi o nel retail, anche scarsa rilevanza della Cybersecurity (con adozione

soltanto di misure di base)

Figura 3: Criticità del tema della Cybersecurity - per settore verticale



Rischi informatici , responsabil ità e conseguenze percepite

Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva

un approccio ancora troppo legato al passato. I principali rischi che vengono indicati

dagli intervistati sono infatti quelli tradizionali, di possibile interruzione del servizio

(aspetto che impatta direttamente sulla responsabilità dei manager dell’ICT e quindi

viene percepito come maggiormente problematico) o di furto/perdita di dati rilevanti. I

nuovi rischi, che stanno emergendo come fonti più probabili di danno e compromissione

di sistemi oltre che perdite economiche, come device Mobile, Social Networks, BYOD,

ottengono livelli di attenzione troppo bassi, come riporta la figura successiva.

La diffusione involontaria di malware ha un peso importante – è citata quasi dalla metà

dei rispondenti – e questo sta a indicare che nonostante siano stati effettuati negli ultimi

20 anni numerosi sforzi e siano state impiegate più misure per combattere il malware,

tutto questo non sia in realtà considerato sufficiente.

14%

10%

8%

14%

25%

31%

34%

40%

58%

56%

46%

62%

52%

40%

33%

15%

29%

8%

10%

14%

0% 20% 40% 60% 80% 100%

Industria

Retail

Utilities

Servizi

Settore Pubblico

Finance

Livello massimo Livello alto Livello medio Livello basso

Analizzando la

percezione delle

aziende con

riferimento ai rischi

informatici, si osserva

un approccio ancora

troppo legato al

passato.



Considerando però la diffusione di malware associata a device BYOD (Bring Your Own

Device) o all’utilizzo di Social Network, o in generale a device Mobile aziendali, questi

non sono indicati come elementi principali nella determinazione del rischio informatico.

Le aziende appaiono in questo modo troppo ancorate a visioni pregresse della security e

quindi al mantenimento di soluzioni già esistenti per il controllo del malware. Poco

intenzionate invece a far evolvere la propria percezione del rischio verso quelli che sono

in effetti i nuovi driver principali

Figura 4: Principali rischi informatici percepiti dalle aziende

Domanda: Quali dei seguenti ritenete essere i principali rischi informatici per la vostra azienda?


Anche considerando le risposte relative alla pericolosità dei metodi di attacco, riportate

nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce

tradizionali. E’ vero che tra i rispondenti della survey molti sono CIO e IT Manager (49%

dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer,

Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse

percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura

successiva, non può che rimanere preoccupato vedendo quanto è bassa l’attenzione

prestata ai nuovi cyber threats.

12%

13%

26%

33%

46%

51%

55%

0% 20% 40% 60%

Perdita di dati/diffusione di malware per l'utilizzo di device Mobile aziendali

Perdita di dati/diffusione di malware associata a device personali (BYOD)

Danni dovuti a comportamenti inconsapevoli (es. su Social Network)

Eventi disastrosi che comportano l'interruzione dei servizi/danni ai dati

Diffusione involontaria di malware da parte di dipendenti/partner

Furti di dati e informazioni rilevanti

Attacchi informatici volti a bloccare i sistemi



Figura 5: Metodi di attacco ritenuti più pericolosi

Domanda: Quali dei seguenti metodi di Cyber attacco ritenete potenzialmente più dannosi per la

vostra azienda?


E’ abbastanza sorprendente che chi si occupa di security continui ad attribuire tanta

importanza a minacce in buona parte note e in teoria sotto controllo con suite anti-

malware tradizionali, oramai diffuse nel 98% delle aziende (come sarà mostrato più

avanti), mentre invece sia sottostimata così ampiamente la pericolosità degli attacchi

Zero-day e APTs (Advanced Persistent Threats), o addirittura Scada (Supervisory Control

And Data Acquisition), che pure sono quotidianamente menzionati sui Media come

responsabili di enormi danni.

Si potrebbe ipotizzare che la figura corrisponda alla percezione delle aziende di essere

attaccate con più frequenza con metodi di attacco di tipo tradizionale, ma purtroppo

neanche questo è vero. Ad oggi, come ha riportato anche il Report Clusit 20131, che

dipinge la situazione italiana per quanto riguarda le minacce di Cybersecurity, gli attacchi

APTs crescono a tassi superiori al 400% per anno, e si posizionano al secondo posto per

numerosità dopo quelli SQL Injection, seguiti da attacchi DDoS. Il malware compare

soltanto al sesto posto, non è più considerato dagli esperti la tecnica principale per

sottrarre informazioni o rendere indisponibili i sistemi.

Per quanto riguarda invece l’attribuzione di responsabilità per gli attacchi, la figura che si

ottiene intervistando i responsabili della security aziendale rispecchia effettivamente la

situazione che emerge da diverse analisi sulle evoluzioni del cyber crime.

1 Clusit, Rapporto 2013 sulla sicurezza ICT in Italia, 2013

8%

13%

16%

24%

29%

30%

76%

0% 20% 40% 60% 80% 100%

Attacchi Scada

APTs/spear phishing

Zero-day attacks

SQL injection

Distributed denial of service (DDoS)

Phishing/Social Engineering

Malware (virus, trojans, rootkits, worms)



Figura 6: Responsabili degli attacchi informatici - secondo le aziende

Domanda: Quali potrebbero essere secondo lei i maggiori responsabili di Cyber attacchi nel caso

della vostra azienda?


Lo sfruttamento delle vulnerabilità dell’ICT per perpetrare frodi con furto di informazioni

da parte della criminalità organizzata è un fenomeno in crescita in ogni parte del mondo.

I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai

cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre

informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber

espionage). La seconda tipologia di attacchi in forte crescita è invece quella degli

hacktivists (Anonymous, WikiLeaks) il cui scopo è effettuare azioni di protesta civile,

dove sono lesi i principi della libertà digitale oppure dove si vuole far emergere

all’opinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono

immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad

azioni di hacktivists è oggi considerato come rilevante da parte di molte aziende.

In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati

Esteri. E’ oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si

siano dotate negli ultimi anni di apparati di intelligence2 che effettuano attività di cyber

espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come

tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere

avanzate.

2 Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli

15%

4%

10%

11%

19%

27%

38%

42%

0% 20% 40% 60%

Non è stato possibile determinarlo

Business Partner

Stati esteri

Competitors

Attacchi dall’interno - personale a contratto

Attacchi dall’interno - dipendenti

Anonymous/Hacktivists

Cyber Criminals



Il 74% delle aziende intervistate dichiara di aver avuto lo scorso anno almeno un

incidente riconducibile ad un attacco informatico, e in alcuni casi gli incidenti sono stati

numerosi. Analizzando le risposte, si ottiene che i settori in cui le aziende subiscono il

maggior numero di incidenti da cyber attacchi (superiore a 7) sono l’industria, il settore

pubblico e il settore delle telecomunicazioni.

Figura 7: Numero di incidenti dovuti a Cyber attacchi

Domanda: Qual è il numero approssimativo di incidenti dovuti a Cyber attacchi registrati negli

ultimi 12 mesi nella sua azienda?


Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo

l’interruzione delle attività e il danno d’immagine. Invece, il danno economico non è

ritenuto al momento prioritario, ma questo aspetto è probabilmente legato al fatto che

si sottostima l’impatto economico di un incidente informativo.

Figura 8: Conseguenze degli attacchi informatici - secondo le aziende

Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti?


26%

45%

22%

4% 2% 1% 0%

20%

40%

60%

Nessuno Tra 1 e 2 Tra 3 e 6 Tra 7 e 10 Tra 11 e 20 Superiore a 40

5%

2%

9%

12%

13%

15%

26%

31%

38%

44%

0% 20% 40% 60%

Nessun danno

Perdita del valore della società

Nuovi investimenti in Cybersecurity

Perdita di clienti

Costi per attività investigative

Costi dovuti a problemi legali

Perdita economica

Perdita di dati e Intellectual Property

Danni al Brand/alla reputazione

Interruzione dell’attività



Obiettivi , attività ed efficacia della funzione Security

Con riferimento agli obiettivi attribuiti alla funzione security nelle aziende italiane, i

principali sono la protezione dei dati e delle infrastrutture oltre che la compliance alle

norme.

La risposta a nuove forme di attacco o malware viene citata come obiettivo, ma

purtroppo soltanto da un 38% delle aziende: il restante 62% delle aziende non lo

considera evidentemente prioritaria. Questo conferma quanto visto in precedenza, ossia

che la pericolosità dei nuovi attacchi (ad esempio quelli del tipo APTs) è ampiamente

sottostimata dai responsabili della security.

Figura 9: Obiettivi della Funzione IT Security

Domanda: Quali sono gli obiettivi che si pone la funzione security nella vostra azienda?


Tematiche che rientrano negli obiettivi di una minoranza di responsabili sono:

Governance, Risk e Compliance Management integrato (GRC): si tratta di allineare e gestire tramite piattaforme integrate gli aspetti di Governance della security con il più ampio campo di attività relativo al Risk e Compliance management. E’ un ambito in sviluppo del mercato, che nella nostra indagine viene citato solo da un 20% delle aziende intervistate.

5%

13%

15%

16%

19%

20%

38%

63%

71%

0% 20% 40% 60% 80%

Definire un modello operativo di security per l’uso del Cloud Computing

Automatizzare le attività legate alla security

Far dipendere le scelte di security da una valutazione d'impatto sul Business

Risolvere le problematiche di security dovute a device Mobile

Analizzare i dati della security in modo da essere proattivi (Security Intelligence)

Definire un GRC Management integrato e in linea con le richieste del business (GRC)

Rispondere a nuove forme di malware/attacchi informatici

Essere compliant alle norme

Proteggere dati sensibili e Intellectual Property



Security Intelligence: nell’ambito delle attività di Security Governance, l’utilizzo di soluzioni specifiche di Intelligence, come funzioni analitiche relative a informazioni raccolte con molteplici device e dispositivi (SIEM, Security Information e Event Management) permette di ottenere notevoli benefici in termini di controllo unitario, trasparenza e reporting verso il management dell’azienda, proattività nell’individuare le vulnerabilità, time-to-market nella risposta a eventuali cyber attacchi.

Mobile security: solo un 16% delle aziende considera tra gli obiettivi della funzione security anche il controllo di device mobile.

Ancora meno importanti nelle aziende del campione analizzato aspetti come legare le scelte di security a valutazioni di impatto sul Business dei rischi informatici, l’automatizzazione delle attività legate all’operatività quotidiana della security o la definizione di modelli operativi per l’utilizzo sicuro dei servizi Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre i costi del Security Management e spostare l’attenzione su attività maggiormente business critical, ma il tema non è attualmente al centro delle strategie per la security.

In conclusione, una prima figura che emerge dall’analisi degli obiettivi per i responsabili

del Security Management, è di un focus prevalente sulla gestione del day-by-day, sul

controllo di una serie di strumenti già implementati, scarso coordinamento con altri

ambiti dell’impresa, e in generale di nuovo un’evidente ritardo nella capacità di risposta

ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di

obiettivi che dovrebbe avere una funzione che governa aspetti con importanza

fondamentale per la sopravvivenza stessa del business aziendale, come era stato

dichiarato inizialmente.

Andando a vedere come nella pratica si traducono gli obiettivi della funzione security,

ossia quali sono le attività e i task che quotidianamente vengono svolti, in azienda o

tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti.

Nell’analisi ci siamo concentrati su quelli che riteniamo essere i processi principali del

Security Management. Come mostra la figura successiva, trattandosi di attività core,

sono per lo più svolte internamente, e quando date all’esterno, nella maggior parte dei

casi mantenendo comunque all’interno la Governance complessiva – per cui al fornitore

sono demandate soltanto attività operative con una gestione che rimane comunque

all’interno.

Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la

totalità delle imprese contattate (considerando sia il fatto che siano svolti internamente

che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability

Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione più

basse, tra il 70 e l’80% (contando anche l’apporto dei fornitori esterni), e mostrano

contemporaneamente una più elevata propensione all’outsourcing.

Focus prevalente

sulla gestione del

day-by-day, sul

controllo di una serie

di strumenti già

implementati, scarso

coordinamento con

altri ambiti

dell’impresa, e in

generale di nuovo

un’evidente ritardo

nella capacità di

risposta ai nuovi

rischi, ad esempio la

diffusione in azienda

di dispositivi mobile.



Figura 10: Attività della Funzione IT Security

Domanda: Quali delle seguenti attività sono svolte dalla funzione IT Security, totalmente o in parte,

o in alternativa da fornitori esterni?


La figura mostra quindi un buon livello di Readiness in termini di processi fondamentali

del Security Management, considerando anche il fatto che stiamo parlando di aziende di

tutti i settori di mercato e, per un 7% dei casi, di aziende con dimensioni inferiori ai 50

addetti3. In particolar modo, gli ambiti che ottengono maggiore attenzione sul fronte

delle attività di Security Management sono il controllo e la gestione degli accessi, il

disegno e l’enforcement di policy di security, le attività di backup, recovery o business

continuity volte a salvaguardare i dati e in alcuni casi anche la continuità dei servizi ICT.

Dove si comincia ad osservare una percentuale minoritaria di aziende che non svolge

alcuna attività (intorno al 10%) è soltanto per aspetti di Compliance e Risk Management,

di Incident Response oltre che di Vulnerability Scanning e Security Intelligence, come

detto in precedenza.

Come rendere più efficace la funzione security nelle sue attività di operatività

quotidiana, controllo e definizione di policy? Secondo i responsabili intervistati sarebbe

fondamentale poter disporre di maggiori skill nell’ambito specifico, altamente

specialistico, della Cybersecurity. Quindi possibilità di dotarsi di risorse specializzate, che

come noto sono difficili da reperire nel mercato.

3 Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo.

43%

39%

57%

63%

66%

64%

65%

66%

66%

70%

64%

76%

21%

25%

23%

21%

21%

19%

19%

21%

23%

23%

32%

20%

9%

19%

6%

3%

3%

7%

8%

5%

4%

2%

3%

2%

25%

14%

11%

11%

8%

7%

5%

5%

0% 20% 40% 60% 80% 100%

SIEM/Security Intelligence

Vulnerability Scanning

Incident Response

Compliance Management

Risk Management

Patch Management

Event/Log Management

Formazione degli utenti

Backup e recovery/BC

Enforcement delle policy

Disegno di policy di Security

Controllo / gestione accessi

Internamente

Governance interna e attività date all'esterno

Svolto in toto da fornitori esterni

Attività non svolta



Figura 11: Efficacia del Security Management

Domanda: Quali elementi secondo voi rendono più efficace il Security Management?


In secondo luogo, viene citata la necessità di dotarsi di una struttura dedicata e di un

management dedicato (Chief Security Officer o Chief Information Security Officer). Non

si ritiene però in generale che l’organizzazione della struttura di security debba essere

fatta in modo da riportare direttamente al Board dell’azienda (solo il 13% dei rispondenti

pensano che sarebbe un modo per rendere più efficace il Security Management). Anche

altri aspetti, come il Security-by-design (la possibilità di inserire la sicurezza informatica

nella fase iniziale di progettazione di nuovi prodotti/servizi dell’impresa) o l’integrazione

end-to-end e la visione olistica che abbracci tutti gli aspetti della sicurezza, sono citati

come importanti solo da una minoranza dei rispondenti, intorno al 20%. L’impressione

che si ottiene analizzando le risposte è che i responsabili della security non si stiano oggi

interrogando su quali cambiamenti li renderebbero più efficaci. Percepiscono soltanto

difficoltà legate al day-by-day, come mancanza di fondi, risorse o skill.

Non è stato effettuato, se non in una minoranza dei casi, il salto culturale che dovrebbe

portare il Security Management a diventare ambito strategico dell’azienda.

13%

18%

19%

23%

24%

28%

48%

51%

0% 20% 40% 60%

Il CSO/CISO riporta direttamente al Board

Disporre di informazioni più complete su tutti i rischi dell'azienda

Far dipendere gli investimenti in security da analisi su rischi e perdite

Integrare la Governance della security con il Risk e il Compliance Management

Maggiore integrazione in ottica end-to-end delle tecnologie per la security

La security è definita a priori, nella fase di progettazione

Disporre di una struttura dedicata e di un manager dedicato (CSO o CISO)

Disporre di maggiori skill interni in ambito security



Attività di Incident Response e Application Security

Due ambiti su cui abbiamo deciso di concentrare l’analisi, trattandosi in entrambi i casi di

attività potenzialmente molto critiche (ma spesso sottovalutate dalle aziende italiane)

sono quelli dell’Incident Response e dell’Application Security.

Con Incident Response si intendono le attività preposte alla prevenzione e gestione di

eventuali incidenti, ossia eventi che hanno comportato una riduzione o un annullamento

dell’operatività dei servizi, una perdita di dati e quant’altro. La gestione degli incidenti è

un’attività fondamentale, volta a limitarne le conseguenze, in quanto un incidente non

gestito può comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a

impatti imprevedibili. Un team di Incident Response viene di solito responsabilizzato su

tutte le attività specifiche per la gestione e la risposta agli incidenti. Si parte dalle attività

preventive (identificazione di possibili falle o vulnerabilità nei sistemi che possono

condurre a incidenti) fino alle attività di risoluzione e notifica – in caso di incidente – a

quelle di investigazione successiva – per individuare grazie all’analisi dei log data le cause

dell’incidente ed eventuali responsabilità. Un CERT interno (Computer Emergency

Response Team) può anche essere incaricato di queste attività.

Figura 12: Attività di Incident Response

Domanda: Quali attività di Incident Response svolgete?


Le misure preventive sono quelle che di solito fanno capo alle attività di Vulnerability

Assessment/Penetration Test. Come mostra la figura successiva, sono quelle più diffuse

presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si

mostrano poco preparate – non avendo evidentemente strutturato le attività di Incident

Response in modo organico e completo – sono le attività forensiche (di comprensione

5%

9%

23%

25%

40%

52%

56%

0% 20% 40% 60%

Nessuna delle precedenti risposte

Aggregazioni/analisi comparativa degli incidenti

Reportistica sugli incidenti

Azioni per minimizzare gli impatti

Analisi per identificare le cause degli incidenti

Analisi degli incidenti con comprensione del loro impatto

Analisi preventive per verificare eventuali vulnerabilità

La gestione degli

incidenti è un’attività

fondamentale, volta

a limitarne le

conseguenze, in

quanto un incidente

non gestito può

comportare in

cascata successivi

effetti disastrosi e in

alcuni casi condurre a

impatti imprevedibili.



della dinamica e attribuzione di responsabilità associate agli incidenti) ad oggi svolte

soltanto da un 40% delle aziende.

Il tema dell’Application Security riguarda invece l’insieme delle attività e delle misure

previste dalle aziende per sviluppare, utilizzare e mantenere nel tempo applicazioni

software sicure, ossia prive di vulnerabilità gravi che possono mettere in crisi

l’operatività del Business o comportare danni economici e di immagine. Oggi un

problema molto sentito è quello della realizzazione di App Mobile sicure: sia perché le

aziende hanno l’ambizione di arrivare sul mercato in tempi rapidi con App suggestive, da

far utilizzare a dipendenti o clienti sui nuovi smartphone o tablet, sia perché tutto il

mondo dei device mobile Android, iOS, BlackBerry e Windows ha dimostrato negli ultimi

anni di poter essere un veicolo per la diffusione di malware, l’utilizzo improprio di risorse

aziendali e anche la perdita/furto di dati rilevanti.

Come mostrano i risultati dell’indagine, gli aspetti di Application Security sono tenuti in

conto dai responsabili della security (solo un 10% degli intervistati non svolge alcuna

attività in questo ambito), ma soprattutto dal punto di vista della definizione di

guidelines per lo sviluppo sicuro delle applicazioni. Attività di testing/quality assurance

sono svolte soltanto da una minoranza di aziende (43%). Quella che pare molto grave è

la scarsa propensione (riguarda soltanto un 17% delle aziende) a verificare la sicurezza

delle applicazioni esposte su Internet. Considerando che sempre più spesso le

applicazioni aziendali sono “aperte al Web”, è evidente che la mancanza di misure

specifiche rappresenta una falla molto grave nelle policy di security.

Figura 13: Attività di Application Security

Domanda: Quali attività per l’Application Security svolgete?


10%

9%

17%

18%

21%

34%

43%

52%

0% 20% 40% 60%

Non svolgiamo nessuna attività di Application Security

La soluzione per i test di sicurezza e' integrata con l’ambiente di sviluppo

Scanning di applicazioni esposte su Internet

Utilizzo di servizi esterni per verificare la sicurezza delle applicazioni aziendali

Utilizzo di strumenti per testare internamente la sicurezza applicativa

Policy di security assessment di software sviluppato da terzi

Testing/quality assurance in fase di rilascio applicativo

Definizione di guidelines interne per lo sviluppo più sicuro delle applicazioni

Sempre più spesso le

applicazioni aziendali

sono “aperte al

Web”, è evidente che

la mancanza di

misure specifiche

rappresenta una falla

molto grave nelle

policy di security.



Gli attacchi alle applicazioni Web sono oggi tra le metodologie preferite dagli hacker,

anche perché dalle applicazioni si arriva fino ai dati di back-end e quindi alla possibilità di

entrare in possesso di informazioni critiche (ad esempio tramite SQL Injection, ad oggi la

metodologia di attacco più diffusa secondo diverse fonti). Come sarà mostrato in

seguito, le aziende si dotano spesso di appliance specifiche per la protezione delle

applicazioni Web (Web Application Firewall, adottate dal 72% delle aziende secondo la

nostra indagine).

Anche per quanto riguarda il software acquistato, non sono utilizzate se non in una

minoranza di aziende (il 34%) policy specifiche per avere garanzia dai vendor che il

software sia privo di vulnerabilità. Considerando che sempre più spesso il software

aziendale è sviluppato da terze parti, non aver previsto test preventivi formalizzati nel

contratto di acquisto del software comporta un’assunzione di rischio da parte delle

organizzazioni. A livello internazionale si osserva invece una crescita di interesse per

programmi di assessment del software rivolti alle terze parti4.

Soluzioni di Cybersecurity adottate e previste

Come mostra la figura successiva, le aziende hanno adottato negli ultimi anni una

miriade di tecnologie di Cybersecurity che - a diversi livelli e in modo molto specialistico -

rispondono a singoli aspetti al problema più ampio della riduzione del rischio

informatico. Tradizionalmente l’antivirus, poi evoluto verso suite di endpoint protection

inglobando altri aspetti (antispam, antiphishing, DLP) e gli apparati posizionati ai confini

della rete aziendale (firewall, VPN) hanno rappresentato la prima barriera contro le

minacce. Al crescere dei rischi, l’adozione di nuove soluzioni (web application firewall,

gateway per web security ed email security, data loss prevention, encryption e

quant’altro) sono andate via via diffondendosi.

Oggi la figura mostra un buon livello di protezione da più punti di vista, oltre che tassi di

crescita dell’adozione per numerose categorie di prodotti, elemento che conferma le

stime di crescita del mercato della Cybersecurity nel suo complesso.

Dove si nota invece una potenziale debolezza delle aziende italiane è nell’ambito della

Security Intelligence (SIEM/Log management/Event Correlation), con soltanto un 60%

delle aziende che si è dotata di queste soluzioni. La possibilità di tenere sotto controllo

gli ambienti di security, governare e misurare il proprio livello di risposta alle minacce,

passa infatti attraverso consolle unitarie di gestione e analisi degli eventi. Data anche la

complessità raggiunta dalle architetture di security, è evidente che solo un controllo

centralizzato, automatizzato, multivendor e standard-based di raccolta e analisi dei dati

collegati agli eventi può permettere un livello di protezione adeguato.

4 Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012



Figura 14: Soluzioni di Cybersecurity adottate e previste

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=110.

Affrontare i nuovi r ischi associati a Cloud, Mobil ity e Social

Media

La diffusione di servizi Cloud, dei device Mobile, l’utilizzo di Social Media all’interno o al

di fuori dai confini aziendali, oltre che in generale tutto quanto va sotto l’ambito dell’IT

Consumerization (tecnologie e servizi Web diventati popolari nell’IT Consumer che

passano poi ad essere utilizzati anche in ambito enterprise), crea sfide rilevanti dal punto

di vista della gestione della security.

Come abbiamo verificato con una precedente ricerca (svolta da The Innovation Group

nel gennaio 2013, relativa in particolare al tema della Mobility e del BYOD5) oggi soltanto

un terzo delle aziende italiane considera il tema dell’IT Consumerization e del BYOD

come un’opportunità aziendale, ad esempio per ridurre i costi della Mobility, che pure

sono in continua crescita.

5 Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013

30%

45%

46%

50%

60%

62%

71%

72%

79%

92%

94%

96%

97%

11%

8%

12%

10%

9%

9%

7%

3%

8%

4%

3%

4%

3%

59%

46%

42%

40%

31%

29%

22%

25%

13%

0% 20% 40% 60% 80% 100%

Soluzioni anti-APTs

Messaging security

Data Loss Prevention/encryption

Sender reputation/whitelisting

SIEM/Log management/event correlation

Identity control (role management)

Business continuity/High Availability

Web Application Firewall

Intrusion prevention/detection (IPS/IDS)

Backup/recovery

Access control

Network Technologies - firewall, etc.

Anti Malware (antivirus, antispam)

2012 2013 Non previsto



Le aziende dovrebbero maturare maggiore consapevolezza su quale può essere un utile

contributo di questi fenomeni se allineati ai bisogni effettivi della singola realtà. Ad oggi

il tema della protezione dei dati e degli asset interni dai rischi collegati a Cloud, Mobile e

Social Media si traduce principalmente in regole e prassi interne, pensate da un lato per

elevare l’Awareness delle persone su questi aspetti, dall’altro lato per predisporre

misure, processi e controlli collegati agli effettivi utilizzi.

Figura 15: Policy e misure relative ai nuovi rischi di Cybersecurity

Domanda: Avete definito policy e misure per la sicurezza di …


Per quanto riguarda invece le misure di security specifiche per l’ambito dei Social Media,

dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare

alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media

può comportare numerose problematiche a livello aziendale. La commistione tra

l’utilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali

vadano a ledere l’immagine dell’azienda, o le reti interne possano essere più facilmente

attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di

avere soluzioni di security assessment per la navigazione online, o di poter rilevare,

tramite misure ad hoc, l’accesso ai siti social. Va osservato però che queste forme di

controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le

situazioni, dal momento che sempre più spesso gli utenti si collegano ai siti social da

mobile.

27%

35%

38%

51%

39%

67%

14%

24%

6%

9%

17%

11%

60%

41%

56%

39%

43%

22%

0% 20% 40% 60% 80% 100%

Utilizzo personale di servizi Cloud (BYOS, Bring Your Own Software)

Utilizzo aziendale di servizi Cloud

Utilizzo personale di Social Media

Utilizzo aziendale di Social Media

Utilizzo personale di device e App Mobile (BYOD)

Utilizzo aziendale di device e App Mobile

Si’ Non ancora ma previsto No e non previsto



Figura 16: Misure di Security specifiche per i Social Media

Domanda: Con riferimento ai rischi di sicurezza associati all'utilizzo di Social Media, quale

situazione corrisponde alla vostra azienda?


Pochissime aziende poi verificano con attenzione gli agreement sottoscritti al momento

dell’iscrizione. Questa problematica riguarda chi utilizza i Social Media per il business, e

quindi ad esempio registra una pagina social aziendale su Facebook o altri siti. Non fare

attenzione agli agreement sottoscritti al momento dell’iscrizione può comportare la

perdita per le aziende di alcuni diritti sulla proprietà dei contenuti che saranno caricati

sui siti.

Per quanto riguarda la percezione che le aziende hanno della sicurezza offerta dai Cloud

provider, la figura successiva mostra in generale un livello elevato, con giudizi per lo più

positivi – con l’eccezione soltanto di un aspetto, la possibilità che il Cloud provider

fornisca garanzie su una localizzazione dei dati corrispondenti alle norme. L’impressione

che fornisce la figura è che con l’utilizzo di servizi Cloud le aziende trasferiscono la

responsabilità su processi e tecnologie di Cybersecurity ai loro fornitori.

24%

6%

23%

27%

34%

0% 10% 20% 30% 40% 50%

Nessuna delle precedenti misure

Siamo attenti agli agreement sottoscritti nell'iscrizione ai Social Media

Abbiamo un sistema di Security Assesment dedicato ai Social Media

Siamo dotati di un sistema di rilevazione degli accessi ai sistemi Social

Abbiamo un sistema di Security Assesment dedicato alla navigazione

Online



Figura 17: Opinioni sulla Security nel Cloud

Domanda: Con riferimento ai servizi Cloud pubblici, quanto siete d'accordo con le seguenti

affermazioni?


40%

55%

56%

60%

61%

75%

79%

60%

45%

44%

40%

39%

25%

21%

0% 20% 40% 60% 80% 100%

I CSP permettono ai clienti di scegliere dove localizzare i dati

I CSP mettono a disposizione sistemi di encryption di data-in-transit o data-at-rest

I CSP mettono a disposizione meccanismi per mantenere separati dati di clienti

diversi

I CSP sottostanno a regolamentazioni, audit e controlli in ambito Data Security

I CSP offrono garanzie sul Data Removal in caso di cessazione del servizio

I CSP prevedono tecniche sicure di accesso ai dati da parte dei clienti

I Cloud Service Provider (CSP) offrono meccanismi di data backup e recovery

Sempre o abbastanza spesso Poco o per niente


Nota Metodologica

Nota Metodologica

Sono riportate di seguito le caratteristiche del campione utilizzato per la survey.

L’indagine è stata svolta, in parte con interviste telefoniche dirette e in parte con survey

online, tra marzo e aprile 2013. Ha coinvolto 115 aziende dei diversi settori verticali, con

una prevalenza di realtà del mondo manifatturiero (29 aziende), della pubblica

amministrazione e sanità (25), del settore finanziario (13) e delle utilities (12). Con

riferimento al settore finanziario, non si tratta di grandi gruppi bancari ma piuttosto di

banche di media dimensione, assicurazioni e intermediari finanziari. Il mondo utilities

comprende anche operatori Oil&Gas e numerose municipalizzate.

Figura 18: Settore delle aziende del campione

Domanda: In quale settore opera la sua azienda?


Con riferimento alla dimensione delle aziende nel campione, si ha una distribuzione su

più classi, ma per lo più concentrata su aziende di media dimensione (con 65 casi tra i 51

e i 1.000 addetti) e di grande dimensione (42 casi di aziende con oltre 1.000 addetti, fino

a oltre 10.000 addetti, come mostra la figura successiva). La classe delle piccole imprese,

con meno di 50 addetti, conta soltanto 8 casi, che non possono quindi essere assunti

come significativi della realtà delle piccole aziende. Invece la rappresentatività delle

medie e grandi è sufficiente per elaborare considerazioni generali per queste tipologie di

aziende.

Banche/Finanza 9%

Assicurazioni 3%

Utility 10%

Trasporti/Logistica 7%

Commercio, Distribuzione

9% Servizi

4% Industria

25%

TLC/Media 4%

Settore Pubblico 15%

Information Technology

2%

Sanità 7%

Turismo 2% Costruzioni

3%


Nota Metodologica

Figura 19: Dimensione delle aziende del campione

Domanda: Qual è il numero di dipendenti della sua azienda?


Hanno risposto all’indagine responsabili aziendali con diversi ruoli, dal direttore generale

al responsabile IT, alle figure specialistiche e i manager dedicati alla security. Veniva

intervistato di volta in volta chi rispondeva in azienda delle scelte collegate al Security

Management. Si nota che nella maggior parte dei casi questo ruolo è affidato al CIO o al

responsabile dei sistemi informativi (49% delle risposte) ma in un 28% delle aziende

contattate hanno risposto figure con ruolo e responsabilità specifiche, ossia CSO/CISO

oppure Security Manager. Nei restanti casi (escludendo le risposte relativi ai

CEO/direttori generali) si è parlato con figure tecniche come security engineer/analyst e

consultant, che rispondevano direttamente al CIO.

Figura 20: Ruolo dell’intervistato

Domanda: Qual è il suo ruolo in azienda?


11-50 7%

51-100 9% 101-200

9%

201-500 21%

501-1000 18%

1.001-5.000 19%

5.001-10.000 8%

10.001+ 9,6%

CEO/AD/Direttore Generale

11%

Chief Information

Officer (CIO) o Direttore IT

49%

Chief Security Officer (CSO)/

Chief Information

Security Officer (CISO)

8%

Security Manager

20%

Security engineer/analyst/consultant/ad

ministrator 12%


Aziende italiane e Cloud Security

Concludiamo lo studio con 3 interventi specialistici su tematiche che sono state citate, relative alla Cloud Security; al tema delle misure per la Digital Forensics; agli aspetti legati alla Sicurezza delle Infrastrutture Critiche.

Le aziende ital iane e i l tema della Cloud Security

Intervista a Alberto Manfredi, Presidente di Cloud Security Alliance Italy

CSA (Cloud Security Alliance)è un’associazione internazionale no-profit nata negli USA

nel 2009 con lo scopo di promuovere l’uso di best practices che consentano di sviluppare

ed utilizzare in sicurezza tutte le forme del Cloud Computing (infrastrutture, piattaforme

e applicazioni). Con tali obiettivi l’associazione si rivolge sia al consumatore che al

fornitore di servizi Cloud coinvolgendoli, su base volontaria, in gruppi di ricerca (ad oggi

ne sono stati attivati più di 20) per produrre delle guide specifiche, disponibili

gratuitamente, tra cui citiamo quelle su Mobile, GRC, Audit, CERT, Big Data e la famosa

Cloud Security Guidance ormai giunta alla sua versione 3.06. Ad oggi l’associazione conta

più di 45.000 soci individuali, 160 soci aziende e più di 20 associazioni affiliate ed ha filiali

operative sia in EMEA che APAC.

L’associazione CSA Italy Chapter e` uno dei 60 capitoli nazionali che oltre a promuovere

la cultura della sicurezza Cloud svolge anche delle attività di ricerca specifiche per il

mercato italiano. In particolare sono attive tre aree di ricerca (Portabilità –

Interoperabilità - Sicurezza Applicativa, Privacy & Legal nel Cloud, Traduzioni) che

nell’ultimo anno hanno prodotto 4 pubblicazioni7 ed una risposta ad una consultazione

pubblica del Garante per la protezione dei dati personali (Data Breach).

“Come emerge dall’indagine di TIG, presentata nel capitolo successivo, solo il 35%

delle aziende italiane afferma di avere delle policy e delle misure per la sicurezza per il

Cloud ad uso aziendale. Meno che per i social media (50%) e la mobility (70%). Cosa ne

pensa? Cosa cambia per le aziende con il Cloud nel gestire la sicurezza?”

Per risponderle partirei da alcune considerazioni storiche. Il termine smartphone è stato

coniato da Ericsson nel 1997 con il suo modello GS 88 “Penelope” mentre i Social Media

sono nati con il “Web” come evoluzione delle BBS (Bulletin Board Systems), inizialmente

con servizi quali Geocities (1994, acquisita poi da Yahoo) per arrivare a Google (1998),

Linkedin e Myspace (2003), Facebook, (2004), Twitter (2006)8.

Il Cloud Computing “moderno” (per distinguerlo dalle tecnologie e modi d’uso su cui si

fonda, in particolare virtualizzazione e grid computing) nasce di fatto nel 2006 con i

servizi Elastic Cloud di Amazon Web Services (2006) a cui si aggiungono quelli di Google

Apps nel 20099. Il Cloud Computing sembrerebbe quindi una delle ultime “tecnologie”

(e’ questa la prima percezione) che cerca di entrare nelle nostre aziende. Tuttavia oggi

rileviamo come lo smartphone sia lo strumento preferito di accesso ai contenuti delle

piattaforme social e queste ultime possano ormai essere considerate dei servizi Cloud.

6 Per la lista completa delle ricerche attivate consultare la pagina cloudsecurityalliance.org/research/

7 cloudsecurityalliance.it/area-downloads/

8 www.uncp.edu/home/acurtis/NewMedia/SocialMedia/SocialMediaHistory.html

9 www.computerweekly.com/feature/A-history-of-cloud-computing


Aziende italiane e Cloud Security

In realtà, il Cloud Computing non è una nuova tecnologia e non dovrebbe essere gestito

come tale, ma può essere considerato un nuovo aggregatore di tecnologie e modalità di

utilizzo di utenti-consumer (ormai sempre “connessi”) che mette in risalto l’ormai

inscindibile relazione tra Persone, Processi e Tecnologie.

Nelle aziende diventa quindi necessario armonizzare le policy IT e di sicurezza sui temi

Cloud, Mobile e Social con una logica di inclusione delle nuove tecnologie ed abitudini

digitali dei lavoratori-consumer se vogliamo cogliere gli indubbi vantaggi per il business,

minimizzare i rischi e, perché no, aumentare la soddisfazione e produttività dei nostri

collaboratori.

“Secondo le aziende una percentuale tra il 40% e il 60% dei Cloud Service Provider

(CSP) offrono servizi Cloud con le caratteristiche necessarie per considerarli sicuri: cosa

devono chiedere ai fornitori le aziende e che cosa i fornitori devono predisporre per

essere dei CSP sicuri e affidabili?”

Se questo nuovo paradigma porta indubbi vantaggi su costi di gestione e fruibilità di dati

e applicazioni, riporta anche all’attenzione gli aspetti di sicurezza e privacy. Basti pensare

ai temi della localizzazione del dato, della responsabilità del trattamento, della business

continuity, della compliance, della sicurezza delle VM/Hypervisor, della cancellazione del

dato, della portabilità dei dati (solo per citarne alcuni).

Questi punti di attenzione (che rappresentano delle potenziali vulnerabilità) sono ormai

noti anche alla criminalità informatica che già nell’ultimo anno ha aumentato gli attacchi

verso il settore Online Service e Cloud (che include i Social Networks) con un tasso di

crescita superiore al 900%10

.

Per facilitare il dialogo tra domanda ed offerta nel mercato del Cloud, CSA ha lanciato

nel 2011 un’iniziativa chiamata CSA Security, Trust & Assurance Registry (STAR)11

che ha

l’obiettivo di incoraggiare i CSP a fornire adeguate informazioni ai potenziali clienti

sull’implementazione di misure di sicurezza a supporto della propria offerta cloud. I

fornitori possono aderire a questa iniziativa su base volontaria rispondendo, con il

supporto di CSA, ad una serie di domande negli ambiti Compliance, Data Governance,

Facility Security, HR Security, Information Security, Legal, Operation Management, Risk

Management, Release Management, Resiliency, Security Architecture. Il fornitore redige

quindi un rapporto che viene reso disponibile su un apposito registro pubblico12

.

Dal 2013 l’iniziativa CSA STAR sarà parte integrante di uno schema di certificazione

volontaria per CSP chiamato Open Certification Framework che prevederà un primo

livello di autovalutazione con STAR, un secondo livello di audit e certificazione di terza

parte (integrato con ISO 27001 e AICPA SSAE16-SOC2) ed un terzo livello di “continuous

monitoring”, ovvero la verifica dei livelli di servizio e sicurezza con meccanismi di audit

real time13

.

10 Rapporto Clusit 2013 sulla sicurezza ICT in Italia (www.clusit.it)

11 cloudsecurityalliance.org/star/

12 cloudsecurityalliance.org/star/registry/

13 cloudsecurityalliance.org/research/grc-stack/

Per facilitare il

dialogo tra domanda

ed offerta nel

mercato del Cloud,

CSA ha lanciato nel

2011 un’iniziativa

chiamata CSA

Security, Trust &

Assurance Registry

(STAR) che ha

l’obiettivo di

incoraggiare i CSP a

fornire adeguate

informazioni ai

potenziali clienti.

https://cloudsecurityalliance.org/star/registry/


Digital Forensics E Misure Difensive

Per i fornitori di servizi di consulenza e progettazione in ambito Cloud CSA ha anche

definito il primo profilo professionale di esperto in sicurezza Cloud (certificazione

CCSK)14

.

Pertanto, per mantenere le sue promesse di maggiore affidabilità, efficienza e sicurezza,

il Cloud Computing richiede l’instaurazione di un nuovo rapporto tra consumatore e

fornitore fondato sulla trasparenza, senza il quale prevalgono ancora i modelli

“tradizionali” di acquisto dei servizi ICT (con installazioni HW/SW on premises) e si

preclude l’accesso alle enormi potenzialità e benefici che può offrire il mercato Cloud, in

particolare per la piccola e media impresa (agilità, riduzione costi, qualità del servizio).

Digital Forensics e Misure di fensive messe in atto dalle aziende

Intervista a Giuseppe Vaciago, Avvocato penalista esperto in ICT Law

Come avviene ad oggi l’acquisizione di prove legali (Digital Evidence) contro potenziali

cyber crime?

All’interno di un contesto aziendale è possibile acquisire prove digitali che sia stato

commesso un cyber crime o un’altra tipologia di illecito, ma è importante sapere che

tale acquisizione deve avvenire nel rispetto di procedure tecniche che garantiscano la

piena utilizzabilità della digital evidence raccolta. Per questa ragione è importante che

una società abbia previsto procedure di Digital Forensics, materia che disciplina le

attività finalizzate a preservare eventuali prove digitali da depositare in giudizio,

garantendo che non siano alterate.

Oggi assistiamo a numerosi illeciti: società che rimangono vittima di accessi abusivi da

parte di società concorrenti oppure con al proprio interno dipendenti che commettano

illeciti sottraendo informazioni dai sistemi ICT. In entrambe le ipotesi, è necessario che i

vertici della società intervengano immediatamente, poiché l’estrema volatilità del dato

digitale impone che siano svolte alcune operazioni preliminari finalizzate alla

cristallizzazione di eventuali prove.

Nella prassi di molte realtà aziendali italiane, in queste circostanze, viene contattato

l’amministratore di sistema che, se da un lato può essere in grado da un punto di vista

tecnico di porre in essere le opportune verifiche e investigazioni preliminari, dall’altro

lato potrebbe non avere le competenze in ambito di Digital Forensics e quindi rischiare

di alterare una prova che invece potrebbe essere di fondamentale importanza in un

futuro giudizio.

A livello legale sono ammissibili sia le indagini difensive (introdotte dalla legge 397/00 e

svolte da un legale esterno alla società) sia anche una più generica attività investigativa,

volta comunque a far valere un diritto in sede giudiziaria.

Qualora sia necessario svolgere un’indagine difensiva su un’eventuale illecito commesso

all’interno della società è sicuramente preferibile, ove sia consentito, adottare le indagini

difensive previste dal codice di procedura penale (art. 327-bis e 391-bis e ss. c.p.p.).

14 cloudsecurityalliance.org/education/ccsk

All’interno di un

contesto aziendale è

possibile acquisire

prove digitali che sia

stato commesso un

cyber crime o un’altra

tipologia di illecito,

ma è importante

sapere che tale

acquisizione deve

avvenire nel rispetto

di procedure tecniche

che garantiscano la

piena utilizzabilità

della digital evidence

raccolta.



Quali procedure di Digital Forensics devono prevedere le aziende per tutelarsi il più

possibile contro eventuali illeciti?

A livello tecnico le 4 regole fondamentali su cui si fonda la Digital Forensics sono:

Integrità del dato: quando si effettua un’indagine su un dato digitale (da una singola email, all’intero contenuto del server di una società), è importante garantire che la prova sia autentica e non modificata.

Affidabilità: tale requisito viene soddisfatto quando il sistema informatico nel suo complesso è sicuro. In questo caso, le informazioni prodotte possono anch’esse essere considerate ragionevolmente degne di fiducia.

Catena di custodia (Chain of custody): come avviene nelle indagini tradizionali, tracciare la catena di custodia - ossia fornire evidenza dei vari passaggi che ha fatto il singolo dato digitale - è essenziale per garantire la massima “tenuta” durante l’eventuale giudizio.

Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso devono essere assicurati fisicamente in un luogo sicuro all’interno dell’azienda o anche all’esterno della realtà aziendale.

Si raccomandano in particolare le seguenti azioni:

Copia Bit-stream: prima di iniziare ogni tipo di indagine è opportuno procedere ad una copia bit-stream del supporto di memorizzazione. La copia bit-stream è una sorta di “clonazione” del supporto di memorizzazione che preserva anche l’allocazione fisica dei singoli file oltre che la loro posizione logica.

Impronta di Hash: è una funzione univoca operante in un solo senso (ossia, non può essere invertita), attraverso la quale un documento di lunghezza arbitraria è trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale stringa, che rappresenta una sorta di “impronta digitale” del testo in chiaro, è definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale alterazione del documento anche minima, perché in tal caso si ha una modifica dell’impronta. In altre parole, calcolando e registrando l’impronta, e successivamente ricalcolandola, è possibile dimostrare se i contenuti di un file, oppure del supporto, hanno subito o meno modifiche, anche solo accidentali.

Quali sono le caratteristiche principali degli strumenti software di Digital Forensics?

I software più utilizzati per svolgere attività di Digital Forensics possono essere

facilmente reperiti in rete sia in versione open source15

sia closed source16

. Prevedono

numerosi strumenti di particolare utilità per le attività di monitoraggio e di sorveglianza,

tra cui:

Software di data recovery: consentono il recupero dei dati presenti, cancellati o danneggiati da memorie di massa.

15 Tra i software open source una delle distribuzioni più note è DeftLinux (http://www.deftlinux.net)

16 Tra i software closed source, il più noto è sicuramente Encase Enterprise

(http://www.guidancesoftware.com/encase-enterprise.htm)



Software di data carving: permettono la ricostruzione, ove possibile, di un file danneggiato attraverso il recupero di porzioni dello stesso file.

Software di packet-sniffing: permettono di svolgere un’attività di intercettazione passiva dei dati che transitano in una rete telematica.

Tali attività possono essere svolte sia per scopi legittimi (ad esempio l'analisi e

l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi

illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne

consegue che, come sempre, è opportuno valutare quali siano i limiti previsti dalla legge

italiana all’utilizzo di questi strumenti.

Esistono limiti legali ai controlli e alle misure preventive che possono essere

predisposte in azienda?

L’uso (che talvolta sfocia in abuso) dell’informatica nel contesto aziendale genera non

solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici

volti allo spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma

comporta sempre di più la necessità di adottare modelli organizzativi in grado di

prevenire la commissione di cyber crimes o di reati comunque connessi all’uso delle

nuove tecnologie.

Il rispetto delle misure di sicurezza previste dal Codice Privacy17

, non è sempre

sufficiente a garantire una vera protezione e diventa necessario adottare procedure e

utilizzare strumenti in grado di controllare ogni tipo di anomalia all’interno del sistema

informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti

attività:

Monitoraggio della navigazione Web, compreso l’utilizzo di social network.

Controllo dei messaggi di posta elettronica effettuati dal dipendente nell’esercizio della sua attività lavorativa.

Clonazione dell’hard disk del dipendente, al fine di verificare la commissione di un eventuale illecito.

Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in

vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli

eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli

articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha

richiesto che il datore di lavoro rispetti i seguenti principi:

Necessità: i sistemi informativi e i programmi informatici devono essere configurati riducendo al minimo l'utilizzazione di dati personali e identificativi dei dipendenti.

Correttezza: le caratteristiche essenziali dei trattamenti devono essere rese note ai lavoratori.

Pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalità determinate, esplicite e legittime (ad esempio per scopi difensivi, in caso di illecito commesso ai danni di una società).

17 Art. 34, D.lgs. 196/03



Il datore di lavoro deve anche adottare le seguenti misure di tipo organizzativo:

Indicare chiaramente e in modo particolareggiato, quali siano le modalità di utilizzo degli strumenti messi a disposizione e con quali modalità vengano effettuati controlli.

Predisporre e pubblicizzare una policy interna rispetto al corretto uso degli strumenti informatici e agli eventuali controlli da sottoporre ad aggiornamento periodico.

Predisporre un’adeguata informativa ai sensi dell’art. 13 del Codice Privacy con la quale avvisare il dipendente circa l’attività di controllo alla quale è soggetto.

In ogni caso, il datore di lavoro non può procedere in modo sistematico ai seguenti

controlli:

Lettura e registrazione dei messaggi di posta elettronica, al di là di quanto tecnicamente necessario per garantire il servizio e-mail aziendale.

Riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal lavoratore.

Lettura e registrazione dei caratteri inseriti tramite la tastiera di un personal computer (keylogger).

Analisi occulta di computer portatili affidati in uso al dipendente.

Tuttavia, nel momento stesso in cui ricorrano i presupposti dell’esercizio legittimo di un

diritto in sede giudiziaria (c.d. “controllo difensivo”), il datore di lavoro può, in casi

eccezionali, superare i divieti sopracitati a patto che:

Sia stato stipulato un accordo con le rappresentanze sindacali o, in assenza di questo, con l’ispettorato del lavoro (art. 4 Statuto dei Lavoratori) circa le modalità del controllo.

Sia in grado di dimostrare che lo strumento di controllo utilizzato fosse da ritenersi indispensabile, nel senso di costituire l'ultima risorsa utilizzabile al fine di evitare danni o pregiudizi agli interessi dell'impresa, di terzi o degli stessi lavoratori.

Alla luce di quanto descritto, si può concludere che le indicazioni fornite dal Garante

della Privacy in tema di controllo “tecnologico” del dipendente non rendono sempre

facile lo svolgimento di un’attività di internal investigation compliant da un punto di vista

legale. Tuttavia, è anche vero che la prova raccolta violando le disposizioni in materia di

privacy, potrà comunque essere utilizzata sia per fini disciplinari nei confronti del

dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale.


Sicurezza Delle Infrastrutture Critiche

Polit iche europee e nazionali per la sicurezza delle Infrastrutture

Crit iche

A cura di Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security

Center

Il tema delle Infrastrutture Critiche e della Cybersecurity sono sempre più spesso

affrontati congiuntamente. Di fatto, buona parte delle strategie nazionali di

Cybersecurity dedicano un’area di attenzione particolare al tema della Protezione delle

Infrastrutture Critiche. Questa associazione è evidentemente dovuta all’oramai

onnipresenza dei sistemi ICT all’interno delle Infrastrutture Critiche. Non solo: il loro

ruolo nell’erogazione dei servizi è divenuto critico, per cui malfunzionamenti, avarie o

sabotaggi possono avere impatti rilevanti.

Di fatto tutti i servizi critici di un paese oggi vengono erogati attraverso l’uso di avanzati

sistemi ICT, i cui malfunzionamenti o sabotaggi possono avere impatti rilevanti. Si prenda

ad esempio il sistema elettrico: sebbene i sistemi ICT vengano impiegati per migliorare le

capacità di comando e controllo, e sebbene alcuni sistemi elettrici possano tollerare di

operare in assenza di sistemi ICT, una loro compromissione intenzionale potrebbe avere

effetti rilevanti sulla continuità operativa del servizio. Per non parlare delle nuove

“Smart Grid”, per le quali l’ICT è una componente imprescindibile: un non corretto

funzionamento di tali sistemi porterebbe all’impossibilità di erogare il servizio o ancor

peggio a situazioni anche potenzialmente pericolose per gli operatori e i clienti.

In Italia, il tema delle Infrastrutture Critiche è divenuto popolare a seguito delle

discussioni avviate nel novembre 2005 dalla Commissione Europea con la pubblicazione

del Green Paper18

su un “Programma Europeo per la Protezione delle Infrastrutture

Critiche”. Sebbene già al tempo ci fosse da parte della Commissione Europea la

consapevolezza dell’importanza dell’ICT e delle nuove minacce emergenti, il Green Paper

non parla di Information Security, si limita a definire in modo molto modesto che cosa

siano le “Critical Information Infrastructures”, relegandole ad un paragrafo o poco più

dell’appendice. Anche la direttiva pubblicata l’8 dicembre 200619

non solo non fa

esplicito riferimento all’Information Security, ma non include tra i settori critici quello

dell’ICT. Una delle motivazioni addotte riguarda la complessità del settore, pertanto

l’Unione Europea ha ritenuto più opportuno non includere questo settore. Anche per i

settori presi in considerazione dalla direttiva, gli aspetti di Information Security non sono

sostanzialmente toccati.

18 COM(2005) 576 Final del 17/11/2005

19 Direttiva 2008/114



L’Italia ha recepito la direttiva europea con il Decreto Legislativo dell’11 aprile 2011,

n. 6120

, non introducendo però alcuna novità rispetto alla Direttiva Europea. Va

precisato che la direttiva europea si riferisce esclusivamente a quelle che sono definite

“European Critical Infrastructure” (ECI), ovvero Infrastrutture Critiche Europee; si tratta

di quelle infrastrutture degli stati membri la cui compromissione può avere impatti

transfrontalieri su uno o più paesi membri. Non definisce però cosa vada considerata

un’Infrastruttura Critica, pertanto ogni stato membro sta procedendo autonomamente

nella definizione dei criteri e nell’individuazione di tali infrastrutture.

Poiché la direttiva non indirizza temi di Information Security, la Commissione Europea ha

pubblicato nel 2009 una comunicazione sulla Protezione delle Infrastrutture Critiche

Informatizzate (Critical Information Infrastructure Protection)21

, la quale si focalizza sulla

protezione dell’Europa da cyber attacchi attraverso l’innalzamento della sicurezza nelle

Infrastrutture Critiche. Il 29 aprile 2009 a Tallinn la Commissione Europea ed i

rappresentanti degli Stati Membri si sono incontrati e hanno discusso il tema

dell’“Information and Network Security”, ottenendo il sostegno degli stati membri. Di

fatto l’unico impegno assunto è la costituzione dei “CERT Nazionali”. Nel maggio del

2010 l’Unione Europea ha avviato i lavori dell’“Agenda Digitale Europea”22

, nella quale la

Cybersecurity è stata inserita come uno degli elementi fondamentali per una strategia

digitale europea. Sebbene non ci sia un vero e proprio focus sulle infrastrutture critiche,

l’Agenda Digitale ha delineato attraverso i suoi principi ed il piano di azioni, ciò che poi

sarà la struttura portante della Strategia Europea del 2013 e la bozza di direttiva.

La pubblicazione di questi due documenti, avvenuta nel febbraio del 2012, è il primo

vero passo verso la definizione di norme e di azioni per innalzare il livello di Network and

Information Security nelle Infrastrutture Critiche e più in generale, nelle organizzazioni

pubbliche e private degli stati membri. Che cosa implica la strategia europea per l’Italia?

Di fatto molto poco. L’Europa segue il principio di sussidiarietà, per cui si limita a

indirizzare quei temi di interesse europeo, ma da una prospettiva di completamento

rispetto alle strategie nazionali. Il vero problema della Strategia di Cybersecurity

dell’Unione Europea è che non indirizza quegli aspetti chiave utili ai paesi membri,

creando una Europa a più velocità: da una parte i paesi maturi che hanno non solo

definito una propria strategia di Cybersecurity, ma che hanno già sviluppato capabilities

avanzate e dedicato risorse ed investimenti; dall’altra quei paesi che non hanno un forte

committment del governo e che indirizzano la Cybersecurity in modo tattico e

destrutturato. L’Italia ha visto recentemente la pubblicazione di un Decreto del

Presidente del Consiglio dei Ministri (24 gennaio 2013). Il decreto definisce un modello

organizzativo per la Cybersecurity, attribuendo le varie responsabilità a diversi organi e

istituzioni. Non definisce però né le priorità, né il piano di azione, elementi decisivi di una

Strategia Nazionale.

20 “Attuazione della Direttiva 2008/114/CE recante l’individuazione e la designazione delle infrastrutture

critiche europee e la valutazione della necessità di migliorarne la protezione”, pubblicato in Gazzetta Ufficiale n. 102 del 4 Maggio 2011. 21

COM(2009)149 22

COM(2010)245

Nel maggio del 2010

l’Unione Europea ha

avviato i lavori

dell’“Agenda Digitale

Europea” , nella

quale la

Cybersecurity è stata

inserita come uno

degli elementi

fondamentali per una

strategia digitale

europea.



E le infrastrutture critiche italiane? Rimangono un problema aperto, tutto da indirizzare.

Il loro livello di complessità e l’impatto di eventuali anomalie e compromissioni è così

alto da rendere la loro sicurezza una priorità per il paese. Purtroppo ad oggi la loro

protezione è demandata completamente agli operatori, i quali definiscono le priorità in

base alla loro percezione del rischio ed in base alle priorità dettate dal Business. Molti di

questi operatori hanno ancora un approccio alla Cybersecurity di tipo “tattico”, ovvero

legata alla mera implementazione di tecnologie e presidi di sicurezza nell’ambito dei

progetti. Manca ancora un approccio strategico alla Cybersecurity, guidato direttamente

dal top management, in modo consapevole ed informato. Questo implica evoluzioni

degli operatori sia in termini organizzativi che di capabilities. L’Italia dovrebbe

identificare una Autorità per la Cybersecurity, la quale dovrà lavorare insieme agli

operatori per definire nuovi livelli comuni di sicurezza, attraverso un piano di Standard

nazionali dedicati alle infrastrutture critiche. Tale Autorità dovrebbe lavorare in piena

sinergia con le controparti europee ed extraeuropee, in modo da poter beneficiare di

approcci globali, più efficaci ed efficienti per gli operatori.


L’offerta HP in ambito Security si è arricchita negli ultimi anni di soluzioni avanzate

per la protezione dei rischi informatici, con una proposta di servizi correlata, allo

scopo di guidare e supportare le aziende durante tutte le fasi della realizzazione di

un sistema per la gestione della sicurezza delle informazioni. La piattaforma di

offerta “Security Intelligence Platform” di HP include soluzioni derivanti da

numerose acquisizioni di società leader di mercato - quali ArcSight, Fortify e

TippingPoint - e consente di indirizzare in maniera integrata e proattiva aspetti di

analisi e correlazione degli eventi, sicurezza delle applicazioni e meccanismi di difesa

dalle intrusioni in ottica end-to-end. Nello specifico, le soluzioni di security offerte

da HP sono:

Network Security: HP TippingPoint Next Generation Intrusion Prevention System (NGIPS); HP TippingPoint SSL Solutions.

Application Security: HP Fortify Software Security Center Server.

Data Security: Data Security: Atalla Payments e Data Security.

Security Intelligence: HP TippingPoint Security Management System, Arcsight Information Security.

Virtualization Security: HP TippingPoint CloudArmour.

Inoltre, HP, in qualità di Solution Provider, differenziandosi in questo senso dai

vendor propriamente di prodotti di sicurezza, mette a disposizione soluzioni end-to-

end di security volte a risolvere problematiche delle aziende, come ad esempio:

Advanced Persistent Threat: prevenire incidenti legati a minacce APT.

Cloud Security: soluzione per essere compliant alle norme e prevenire le minacce associate a infrastrutture Cloud.

Data Loss Monitoring: servizio di intelligence per proteggere i dati sensibili.

Insider Threat: soluzione per avere visibilità sulle minacce interne.

IT Risk Management e Compliance: servizio globale per essere compliant alle principali norme che impattano sulla security (SOX, PCI, FISMA, HIPAA).

Mobile Application Security: soluzione per ridurre i rischi associati all’utilizzo di terminali Mobile (iPhone, iPad and Android).

Software Security Assurance: utilizzo di servizi e tecnologie avanzate per introdurre in azienda modelli di sviluppo e test sicuro del software.

HP conta oggi più di 3.000 professionisti nelle proprie strutture di Security e un

portafoglio di servizi tecnologici, di consulenza e gestiti (Managed Security Services)

che includono una metodologia proprietaria di Risk Analysis (A.T.O.M. – Access,

Trasform, Optimize, Manage). La società si rivolge ai propri clienti sia direttamente,

sia attraverso la propria rete di partner. Ha stipulato alleanze con i principali vendor

di Security internazionali allo scopo di integrare la propria offerta di tecnologie,

nell’ottica di proporsi sul mercato come un player in grado di indirizzare qualsiasi

esigenza di Security dei propri clienti.


IBM negli ultimi anni ha incrementato notevolmente il portafoglio dei prodotti

hardware e software di Security, grazie a una politica di acquisizioni mirate. Le

acquisizioni più recenti sono state quelle della società BigFix nel 2010, relativamente

ai prodotti di endpoint management, e Q1 Labs, nel 2011, per la soluzione QRadar di

security intelligence software. Grazie alla disponibilità di un framework complessivo

hardware, software, servizi professionali e Managed Security Services a supporto,

IBM si propone come solution provider nell’ambito della Security, in grado di

risolvere esigenze end-to-end dei propri clienti. La piattaforma IBM di soluzioni di

security copre i seguenti layer:

Application Security: soluzioni per produrre e mantenere in sicurezza le applicazioni mobile e web, costruendo layer di protezione attraverso tutte le fasi del ciclo di sviluppo e di vita del software.

Identity e Access Management: gestione delle identità (assegnazione di diritti di accesso, change management relativo a ruoli e privilegi, deprovisioning), e degli accessi (secure authentication,single sign-on (SSO), enforcement delle policy di accesso), monitoring, auditing, reporting sulle attività degli utenti.

Data Security: discovery e classificazione di dati critici, protezione dei dati (masking, encryption, monitoraggio degli accessi ai dati, compliance, protezione sia fisica sia virtuale, nel Cloud).

Infrastructure Security: piattaforma Advanced Threat Protection Platform (ATPP) relativa ad aspetti di network security (IPS appliances) e endpoint security.

Security Intelligence: soluzione QRadar, rileva in automatico potenziali vulnerabilità e azioni contrarie alle policy aziendali. Comprende funzioni analitiche e di correlazione dei dati provenienti da centinaia di fonti attraverso l’organizzazione.

Anche il portafoglio di servizi di sicurezza di IBM è molto ricco e fa riferimento al

Security Framework di IBM, sfruttando le potenzialità dei prodotti software, gli asset

e le capacità dei Security Operation Centers, dei laboratori e dei centri di ricerca, per

mettere a disposizione dei clienti funzionalità di security intelligence per essere

proattivi nell'identificazione e nella gestione degli incidenti. Tra questi citiamo

l’Emergency Response Service (ERS, per prepararsi, gestire e rispondere agli

incidenti di Cybersecurity in modo efficace); il servizio di Security Operations

Optimization (aiuta a valutare il livello delle soluzioni e dei processi di gestione della

sicurezza); i nuovi Managed Security Services focalizzati alla gestione delle

infrastrutture SIEM (Security Information and Event Management) e il nuovo servizio

gestito per la protezione da attacchi DDoS. Il modello di go-to-market IBM, che vede

in Italia una crescita degli investimenti per le soluzioni di Security, è misto, in parte

diretto (soprattutto verso clienti di grandi dimensioni come banche e PA), in parte

attraverso i partner di canale, con cui coprire le esigenze di organizzazioni di minore

dimensione distribuite sul territorio.


Hanno collaborato alla realizzazione del White Paper:

Elena Vaciago, Research Manager, The Innovation Group

Camilla Bellini, Junior Analyst, The Innovation Group

Michele Ghisetti, Junior Analyst, The Innovation Group

Ringraziamo inoltre per il loro contributo:

Alberto Manfredi, Presidente di Cloud Security Alliance Italy

Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security Center

Giuseppe Vaciago, Avvocato Penalista in ICT Law

The Innovation Group (TIG) è una società di servizi di consulenza direzionale, advisory e ricerca

indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del

Business e dei processi aziendali attraverso l’utilizzo delle tecnologie digitali e delle nuove

tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare

strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di “go

to market”, di produzione e gestione integrata della conoscenza interna ed esterna dell’azienda

tramite le tecnologie ICT.

The Innovation Group è formato da un Team con esperienze consolidate, sia a livello locale sia

internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti

internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,

delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle

Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle

ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le

capacità esistenti all’interno e prendere le decisioni più utili in tempi rapidi.

The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di

mercati, tecnologie e best practice.

Tutte le informazioni/i contenuti presenti sono di proprietà esclusiva di The Innovation Group (TIG) e sono da

riferirsi al momento della pubblicazione. Nessuna informazione o parte del report può essere copiata,

modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto

da parte di TIG. L’uso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il

copyright e comporta penalità per chi lo commette.

Copyright © 2013 The Innovation Group.

TIG White Paper Trends della Cybersecurity _maggio 2013

Technology

Transcript of TIG White Paper Trends della Cybersecurity _maggio 2013