Sei sulla pagina 1di 41

2013

Evoluzioni nel
mercato italiano
della Cybersecurity

Maggio 2013

SI RINGRAZIANO PER IL LORO SUPPORTO:

The Innovation Group - 2013

|1

SOMMARIO
SCENARIO INTERNAZIONALE DELLA CYBERSECURITY

APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY

PRINCIPALI RISULTATI DELLINDAGINE

CRITICIT DEL TEMA DELLA CYBERSECURITY NELLE AZIENDE ITALIANE

RISCHI INFORMATICI, RESPONSABILIT E CONSEGUENZE PERCEPITE

10

OBIETTIVI, ATTIVIT ED EFFICACIA DELLA FUNZIONE SECURITY

15

ATTIVIT DI INCIDENT RESPONSE E APPLICATION SECURITY

19

SOLUZIONI DI CYBERSECURITY ADOTTATE E PREVISTE

21

AFFRONTARE I NUOVI RISCHI ASSOCIATI A CLOUD, MOBILITY E SOCIAL MEDIA

22

NOTA METODOLOGICA

26

LE AZIENDE ITALIANE E IL TEMA DELLA CLOUD SECURITY

28

DIGITAL FORENSICS E MISURE DIFENSIVE MESSE IN ATTO DALLE AZIENDE

30

POLITICHE EUROPEE E NAZIONALI PER LA SICUREZZA DELLE INFRASTRUTTURE


CRITICHE

The Innovation Group - 2013

34

|2

Ad un osservatore imparziale appare evidente che lo scenario globale sulle minacce


legate a Internet e allICT in costante trasformazione. Da un lato viene sottolineato da
pi fonti che i rischi sono in crescita e le minacce stanno cambiando natura,
responsabilit e target. Dallaltro lato, nuove tendenze che riguardano tutti - gli utenti, le
aziende, i consumatori - e che saranno ampiamente discusse nel presente studio,
obbligano i decisori aziendali a riconsiderare le proprie politiche e architetture di
security per riadattarle ai nuovi contesti.
Obiettivo dello studio quello di fornire ai manager di aziende pubbliche e private,
quotidianamente chiamati a prendere decisioni in questo ambito, una fotografia
aggiornata sulle evoluzioni in corso nella Cybersecurity. Le conclusioni sono basate da un
lato sullosservazione delle principali dinamiche a livello internazionale, dallaltro lato
sullo studio delle scelte effettuate dalle aziende italiane. E stata svolta infatti
unindagine che ha coinvolto, nei mesi di marzo e aprile 2013, 115 organizzazioni medio
grandi italiane. Il tutto con lobiettivo di fornire un utile supporto informativo a chi
intende attivarsi e cogliere indicazioni concrete su come migliorare il proprio approccio
al tema della Cybersecurity.

Roberto Masiero
Co-Founder
The Innovation Group

The Innovation Group - 2013

Ezio Viola
Co-Founder
The Innovation Group

|3

Scenario Internazionale Della Cybersecurity

SCENARIO INTERNAZIONALE DELLA CYBERSECURITY


Guardando alle evoluzioni che a livello globale caratterizzano lambito della
Cybersecurity, emerge un aspetto che preoccupa pi di altri, ossia quello che vede
laffermarsi di attacchi sempre pi mirati, rivolti a singole organizzazioni invece che al
mass-market e pensati con lo scopo di ottenere forti guadagni sul fronte economico. Si
tratta di attacchi progettati per superare le attuali misure di sicurezza, sfruttando
debolezze, come lelemento umano, difficili da prevedere e controllare. Un esempio di
questo trend sono gli APTs (Advanced Persistent Threats), attacchi che normalmente
durano molto tempo, sono perfettamente orchestrati in modo da utilizzare pi tecniche
contemporaneamente, si basano (per dare inizio allattacco) sullo sfruttamento di
vulnerabilit umane, ossia la buona fede degli utenti. A questi sono rivolti attacchi di
spear phishing congegnati per avere da un lato massima efficacia, dallaltro non essere
rilevati dalle soluzioni di security predisposte (ad esempio per il controllo delle mail o
della navigazione web).
Anche la crescita degli attacchi Zero-days (sfruttano vulnerabilit non ancora note agli
stessi vendor del software, per cui hanno successo garantito, non essendoci misure per
prevenirli) dimostra quanto lindustria del cyber crime sia oggi avanzata sul fronte delle
competenze tecniche e della determinazione nel sfruttarle, anche rivendendole a terzi.
Tutte queste attivit avvengono per lo pi in modo silenzioso, allinsaputa delle vittime,
che possono continuare a perdere dati e informazioni rilevanti per anni. Oltre ad avere
una maggiore consapevolezza del fenomeno le aziende dovrebbero dotarsi di strumenti
per tener traccia di eventuali attivit malevole e poter rispondere con azioni legali, come
sar presentato nel capitolo successivo parlando di Digital Forensics.

Lindustria del cyber


crime sempre pi
avanzata sul fronte
delle competenze
tecniche e della
determinazione nel
sfruttarle

Rispetto agli anni scorsi, stanno emergendo le responsabilit di nuove tipologie di


attaccanti. Da un lato gli hacktivists, ad esempio Anonymous, che pur usando tecniche di
base (DDoS, defacement di siti web), hanno ampliato il campo di azione attaccando
anche aziende private, ad esempio dei settori energia e trasporti, per portare a termine
proprie azioni di protesta e causare imbarazzo pubblicando informazioni riservate.
Dallaltro lato, emerge il ruolo di gruppi di cyber-spie, probabilmente arruolati da stati
esteri che volontariamente attuano queste politiche anche a scopo di spionaggio
industriale. In questo caso le tecniche di attacco possono essere molto evolute e
rimanere silenti nel tempo, per cui solo dopo anni le aziende si accorgono di aver perso
informazioni rilevanti come contratti, database clienti, Intellectual Property.

Nuove
responsabilit tra
chi conduce i
cyber attacchi

Per quanto riguarda la controbilanciata da misure come antivirus, antispyware.


Preoccupa la facilit con diffusione di malware, dove si nota una crescita preoccupante
sul fronte dei device mobile. Mentre per altre tipologie di malware infatti il fenomeno,
pur rimanendo, oggi sotto maggiore controllo (e in particolare viene registrata una
minore incidenza dello spam rispetto al passato) per quanto riguarda il mobile malware,
la diffusione in crescita e non abbastanza cui il malware riesce a diffondersi fruttando
meccanismi come il phishing (anche via SMS) o il download di App non verificate,
pratiche sempre pi comuni nel mondo consumer, in cui gli utenti sono del tutto
impreparati sul fronte della security.

Crescita del
Mobile malware

The Innovation Group - 2013

|4

Lelemento
umano come
maggiore
vulnerabilit

Scenario Internazionale Della Cybersecurity


Un aspetto rilevante che sta emergendo per anche che, guardando allinsieme delle
azioni malevole (che non risparmiano in realt pi nessuno, essendo sempre di pi le
vittime sia lato consumer sia business, in tutti i settori e dimensioni di azienda)
escludendo gli attacchi di profilo elevato, per la maggior parte le azioni di furto di dati o
interruzione dei servizi potrebbero essere evitate applicando misure minime e prestando
maggiore attenzione alla tematica.
Inoltre, dove le misure di sicurezza predisposte mostrano maggiormente la loro
inadeguatezza nei casi in cui lattacco prende di mira gli utenti, ad esempio con
tecniche di social engineering o spear phishing. Lelemento umano emerge oggi come la
maggiore vulnerabilit nelle politiche di prevenzione e risposta ai rischi della
Cybersecurity. Le aziende non fanno evidentemente abbastanza sul fronte del
coinvolgimento degli utenti finali nelle attivit di prevenzione e risposta: basti pensare
che ancora oggi numerose organizzazioni risultano vulnerabili perch le chiavi di accesso
utilizzate dagli utenti sono banali, ripetitive e facilmente individuabili! Bisognerebbe
quindi lavorare di pi per accrescere la cultura della sicurezza allinterno delle
organizzazioni nel loro complesso: evidente che gli strumenti e le metodologie
utilizzate finora per creare Security Awareness non hanno funzionato, e vanno ripensati
nellottica di un maggiore Engagement degli utenti.

Richiesta di
Awareness e
cultura della
security

Inoltre, dando per scontata oramai la possibilit di un attacco, sarebbe auspicabile che
tutte le aziende fossero in grado di reagire tempestivamente. Lanalisi di quanto
avvenuto ad oggi porta infatti a consigliare misure immediate di risposta allattacco
informatico, anche quando se ne subito un danno, perch questo aiuta a limitarne gli
effetti negativi. Ad esempio, una comunicazione immediata ai clienti in caso di data
breach sui loro dati pu servire a limitare la perdita di clienti come conseguenza
dellattacco. Il customer churn come conseguenza di un attacco portato a termine
rappresenta un elemento da considerare, variabile a seconda del settore in cui opera
lazienda, in genere pi alto per servizi finanziari o prodotti High Tech.

Necessit di
misure immediate
di risposta

Nel 2012 si poi assistito allestensione degli attacchi anche verso le nuove piattaforme
dei Social Network (Facebook, Twitter, Pinterest), oltre che verso provider di servizi
Cloud (Dropbox). Nel caso degli attacchi ai Social Network, si trattato pi che altro di
furti di identit, acquisizione di dati personali, messaggi ingannevoli, quindi utilizzando
tecniche di hacking basilari e sfruttando pi che altro la limitatezza dei meccanismi di
autenticazione delle persone ad oggi adottati da questi siti. Il problema si amplifica per
nel caso di utilizzo business dei Social Media, perch in questo caso aumentano rischi di
reputazione, danno dimmagine, responsabilit verso terzi, perdita di dati rilevanti o
diffusione di malware da comunicazioni provenienti dai Social Media, con possibili
implicazioni economiche per le aziende.

Attacchi a Social
Networks e servizi
Cloud

Con riferimento invece agli attacchi verso provider Cloud, hanno messo in alcuni casi in
evidenza la mancanza di procedure interne di security, per cui ad esempio, nel caso di
Dropbox, accedendo allaccount di un dipendente della societ gli hacker sono entrati in
possesso di numerosi account di utenti del servizio di storage online, utilizzandoli in
definitiva per inviare spam. Altre situazioni sono apparse per pi gravi, in particolare, la
temporanea indisponibilit del servizio di Amazon AWS. In questo caso non si trattato
tanto di un attacco informatico ma piuttosto di un problema interno a livello di rete. La
mancanza del servizio ha seriamente danneggiato una serie di clienti che basano sui data

The Innovation Group - 2013

|5

Scenario Internazionale Della Cybersecurity


center di Amazon i propri servizi Internet. Il tema della sicurezza del Cloud un
problema allattenzione dei governi e di istituzioni, per cui sono prevedibili ampi sviluppi
su questo fronte, come sar illustrato anche nel capitolo successivo.
Una ulteriore fonte di preoccupazione viene dalla possibilit che gli hacker spostino in
futuro lattenzione su ulteriori bersagli, costituiti non pi da PC, server, o device mobile,
ma dai dispositivi elettronici che sempre di pi pervadono tutti gli ambiti, dagli
autoveicoli, alle abitazioni, alle smart grid. Gi oggi il tema delle infrastrutture critiche
mette in luce la possibilit che malintenzionati possano prendere il controllo di sistemi e
processi la cui indisponibilit avrebbe conseguenze gravissime a livello di intere nazioni
(reti elettriche, telecomunicazioni, risorse idriche, sanit, trasporti). Per evitare che
questo succeda sarebbe opportuno cominciare a prevedere, fin dalle fasi di design di
nuovi prodotti, una sicurezza intrinseca che elimini la possibilit di utilizzi indesiderati.
Questo tipo di verifiche e aggiunta di controlli avrebbe per come conseguenza un
innalzamento del costo di produzione.
Largomento assume per una tale rilevanza che diventato oggetto di politiche di
sicurezza nazionale. Attualmente vari governi si stanno impegnando in particolare a
trovare nuove forme di regolamentazione comune, in modo da mettere a fattore
comune gli sforzi che sono richiesti alle diverse parti, pubbliche e private, per mettere in
sicurezza le rispettive infrastrutture, trovando giusti bilanciamenti e avviando
collaborazioni sia a livello nazionale, sia anche internazionale.
Negli USA, entrato in vigore in febbraio lordine esecutivo del Presidente Obama
Improving Critical Infrastructure - Cybersecurity rivolto al NIST (National Institute for
Standards and Technology) secondo il quale listituto dovr questanno collaborare con
lindustria nazionale per individuare un framework di azioni volontarie comune. Il NIST in
particolare dovr entro 240 giorni definire una versione preliminare di un apposito
sistema - il Cyber Framework - con regole, metodi, procedure di indirizzo e misure di
contenimento dei rischi cyber per le infrastrutture. A livello europeo negli ultimi anni
sono stati aperti diversi tavoli di discussione, ma di fatto ad oggi sono stati presi soltanto
degli impegni piuttosto generici, ad esempio quello che ogni stato membro dellUnione
dovrebbe costituire un proprio CERT nazionale (la tematica sar approfondita nelle
pagine successive).

The Innovation Group - 2013

|6

Infrastrutture
critiche e Internet
of Things (IoT)

Approccio Delle Aziende Italiane Alla Cybersecurity

APPROCCIO DELLE AZIENDE ITALIANE ALLA CYBERSECURITY


Principali risultati dellindagine
Obiettivo dello studio stato quello di rilevare, presso un campione di 115 aziende
italiane, medio grandi e dei diversi settori verticali, qual la rilevanza del tema della
Cybersecurity; come sta cambiano la percezione sulle minacce in corso; quali sono gli
obiettivi e le attivit predisposte per il Security Management. Inoltre sono state indagate
le soluzioni e le tecnologie utilizzate per i diversi ambiti, con un approfondimento
relativo alle attivit di Incident Response, Application Security e su ambiti nuovi come
Mobility, Social Networks e servizi Cloud.
Dallanalisi emerge che le aziende italiane medio grandi attribuiscono elevata
importanza al tema della Cybersecurity, ossia delle soluzioni e dei servizi per contrastare
malware e altri rischi IT. Hanno per un approccio alla tematica ancora troppo ancorato
al passato. Infatti:

Non assegnano sufficiente importanza alle nuove fonti di rischio, dal Mobile, ai
Social Networks, al BYOD (Bring Your Own Device).

Hanno scarsa consapevolezza della pericolosit delle nuove minacce, come


APTs (Advanced Persistent Threats), attacchi Zero-days e attacchi Scada
(Supervisory Control And Data Acquisition), e non vedono nella risposta alle
minacce emergenti un obiettivo importante della funzione security.

Sottostimano le perdite economiche legate a incidenti dovuti a cyber attacks,


non considerano prioritari per diventare pi efficienti aspetti come la Security
Intelligence, la gestione end-to-end del problema, lautomatizzazione delle
procedure operative.

Rispetto a qualche anno fa, oggi la diffusione delle principali misure di Cybersecurity ha
raggiunto la maggior parte delle aziende italiane, e le risposte indicano ulteriore crescita
delladozione. Ci nonostante rimangono isole di arretratezza su aspetti interni del
Security Management che richiederebbero un momento di riflessione da parte dei
responsabili.

Nonostante il 74% delle aziende riporti di aver subito almeno un incidente


informatico dovuto a cyber attacco, le misure di Incident Response hanno oggi
unadozione ancora molto limitata, soprattutto per aspetti come le analisi
forensiche per lidentificazione delle responsabilit, le azioni e la reportistica
post incidente.

In tema di Application Security, met delle aziende definisce guidelines interne


per lo sviluppo sicuro di applicazioni, solo un terzo verifica con policy opportune
che il software acquisito da terzi sia sicuro.

Quello di cui i responsabili della sicurezza si lamentano la mancanza di risorse interne e


di skill dedicati: per questo motivo, il ricorso a fornitori specializzati esterni frequente,
e si configura sia come esternalizzazione di aspetti pi operativi (mantenendo la
governance allinterno) sia anche come completo passaggio di responsabilit a terzi.

The Innovation Group - 2013

|7

Nonostante il 74%
delle aziende riporti
di aver subito
almeno un incidente
informatico dovuto
a cyber attacco, le
misure di Incident
Response hanno
oggi unadozione
ancora molto
limitata.

Approccio Delle Aziende Italiane Alla Cybersecurity


La stessa figura comincia ad apparire anche parlando di sicurezza dei Cloud provider. La
percezione della sicurezza dei servizi offerti da Cloud provider appare mediamente
positiva, con leccezione soltanto di un aspetto, il fatto che il Cloud provider possa
fornire garanzie sulla localizzazione dei dati.
In tema di Mobility e Social Network, le aziende cominciano a mostrare la diffusione di
policy interne dedicate a queste tematiche, sia per luso aziendale sia quello personale di
device mobile e siti social. Dove invece si osserva ancora un salto da effettuare nella
predisposizione di soluzioni di sicurezza dedicate a questi ambienti.

Criticit del tema dell a Cybers ecurity nelle aziende italiane


La consapevolezza sui rischi informatici oggi ampiamente diffusa nelle aziende italiane
e ad una Awareness elevata corrisponde la predisposizione di numerose attivit e misure
di Cybersecurity. In un 20% circa delle aziende italiane il tema assume importanza
rilevante, tanto da essere considerato fondamentale per preservare il business, la
Reputation e quindi, in ultima istanza, la stessa sopravvivenza dellimpresa. Se si
analizzano le risposte per settori verticali o per dimensione di impresa si ottengono in
alcuni ambiti percentuali ancora pi elevate. Il settore finanziario e della pubblica
amministrazione sono quelli maggiormente impattati dalla tematica, anche per obblighi
normativi che hanno comportato unelevata attenzione alla sicurezza dei dati e hanno
determinato ladozione di misure e processi volti a prevenire gli incidenti informatici.
Tabella 1: Attribuzione di livelli di importanza al tema della Cybersecurity
Livello

Descrizione

Massimo

Fondamentale nel preservare il Business e la Reputation dell'azienda

Alto

La Cybersecurity serve a garantire l'operativit quotidiana

Medio

Vengono svolte quelle che nel nostro settore sono le misure principali

Basso

Vengono svolte solo misure di base

The Innovation Group - 2013

|8

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 1: Criticit del tema della Cybersecurity
Domanda: Quanto critico il tema della Cybersecurity nella sua azienda?
Livello basso
3%

Livello
massimo
19%

Livello medio
33%

Livello alto
45%
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Si osserva quindi, considerando il complesso delle aziende italiane, una preponderanza


di risposte tra chi attribuisce al tema una rilevanza elevata (la Cybersecurity serve a
garantire loperativit quotidiana), con una quota del 45% delle risposte, o media (sono
svolte le misure principali), per un ulteriore 33% dei rispondenti. Solo in un 3% delle
aziende il tema riveste bassa attenzione, con lattuazione soltanto di misure minime di
security.
Figura 2: Criticit del tema della Cybersecurity - per dimensione dimpresa
Domanda: Quanto critico il tema della Cybersecurity nella sua azienda?

> 1.000 addetti

24%

50-1.000 addetti

< 50 addetti

43%

17%

48%

13%

0%

33%

32%

38%

20%

Livello massimo

38%

40%
Livello alto

60%
Livello medio

3%

13%

80%

100%

Livello basso

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

The Innovation Group - 2013

|9

SCENARIO INTERNAZIONALE E ITALIANO DELLA CYBERSECURITY

Approccio Delle Aziende Italiane Alla Cybersecurity

Per comprendere le diverse attribuzioni di importanza alla tematica interessante


analizzare le risposte per dimensione di azienda o per settore dimpresa. La dimensione
dellimpresa direttamente correlata al tema: tanto maggiore il numero di dipendenti,
tanto pi importante sar avere sotto controllo i possibili rischi informatici e prevedere
misure che preservino il Business. Con riferimento al settore, anche in questo caso si
nota come gi detto unelevata attenzione alla Cybersecurity negli ambiti finance e
pubblica amministrazione. A seguire le aziende nel settore dei servizi, utilities, retail e
industria attribuiscono, per la maggioranza, importanza medio alta, ma in alcuni casi, ad
esempio nei servizi o nel retail, anche scarsa rilevanza della Cybersecurity (con adozione
soltanto di misure di base)
Figura 3: Criticit del tema della Cybersecurity - per settore verticale
Domanda: Quanto critico il tema della Cybersecurity nella sua azienda?

Finance

31%

Settore Pubblico

25%

Servizi
Utilities
Retail

62%
46%

14%

40%

34%

20%

14%

33%

40%

14%

Livello massimo

15%

58%

10%

0%

29%

56%

8%

Industria

8%

10%

52%

40%

Livello alto

60%
Livello medio

80%

100%

Livello basso

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Rischi informatici, responsabilit e conseguenze percepite


Analizzando la percezione delle aziende con riferimento ai rischi informatici, si osserva
un approccio ancora troppo legato al passato. I principali rischi che vengono indicati
dagli intervistati sono infatti quelli tradizionali, di possibile interruzione del servizio
(aspetto che impatta direttamente sulla responsabilit dei manager dellICT e quindi
viene percepito come maggiormente problematico) o di furto/perdita di dati rilevanti. I
nuovi rischi, che stanno emergendo come fonti pi probabili di danno e compromissione
di sistemi oltre che perdite economiche, come device Mobile, Social Networks, BYOD,
ottengono livelli di attenzione troppo bassi, come riporta la figura successiva.
La diffusione involontaria di malware ha un peso importante citata quasi dalla met
dei rispondenti e questo sta a indicare che nonostante siano stati effettuati negli ultimi
20 anni numerosi sforzi e siano state impiegate pi misure per combattere il malware,
tutto questo non sia in realt considerato sufficiente.

The Innovation Group - 2013

| 10

Analizzando la
percezione delle
aziende con
riferimento ai rischi
informatici, si osserva
un approccio ancora
troppo legato al
passato.

Approccio Delle Aziende Italiane Alla Cybersecurity


Considerando per la diffusione di malware associata a device BYOD (Bring Your Own
Device) o allutilizzo di Social Network, o in generale a device Mobile aziendali, questi
non sono indicati come elementi principali nella determinazione del rischio informatico.
Le aziende appaiono in questo modo troppo ancorate a visioni pregresse della security e
quindi al mantenimento di soluzioni gi esistenti per il controllo del malware. Poco
intenzionate invece a far evolvere la propria percezione del rischio verso quelli che sono
in effetti i nuovi driver principali
Figura 4: Principali rischi informatici percepiti dalle aziende
Domanda: Quali dei seguenti ritenete essere i principali rischi informatici per la vostra azienda?
Attacchi informatici volti a bloccare i
sistemi

55%

Furti di dati e informazioni rilevanti

51%

Diffusione involontaria di malware da parte


di dipendenti/partner

46%

Eventi disastrosi che comportano


l'interruzione dei servizi/danni ai dati

33%

Danni dovuti a comportamenti


inconsapevoli (es. su Social Network)

26%

Perdita di dati/diffusione di malware


associata a device personali (BYOD)

13%

Perdita di dati/diffusione di malware per


l'utilizzo di device Mobile aziendali

12%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Anche considerando le risposte relative alla pericolosit dei metodi di attacco, riportate
nella figura successiva, appare evidente una focalizzazione delle aziende sulle minacce
tradizionali. E vero che tra i rispondenti della survey molti sono CIO e IT Manager (49%
dei rispondenti). Ma anche considerando le risposte soltanto di Chief Security Officer,
Security Manager e Security specialists (40% dei rispondenti), si ottengono le stesse
percentuali nella distribuzione delle risposte. Chi guarda con occhio critico la figura
successiva, non pu che rimanere preoccupato vedendo quanto bassa lattenzione
prestata ai nuovi cyber threats.

The Innovation Group - 2013

| 11

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 5: Metodi di attacco ritenuti pi pericolosi
Domanda: Quali dei seguenti metodi di Cyber attacco ritenete potenzialmente pi dannosi per la
vostra azienda?
Malware (virus, trojans, rootkits, worms)

76%

Phishing/Social Engineering

30%

Distributed denial of service (DDoS)

29%

SQL injection

24%

Zero-day attacks

16%

APTs/spear phishing

13%

Attacchi Scada

8%
0%

20%

40%

60%

80%

100%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

E abbastanza sorprendente che chi si occupa di security continui ad attribuire tanta


importanza a minacce in buona parte note e in teoria sotto controllo con suite antimalware tradizionali, oramai diffuse nel 98% delle aziende (come sar mostrato pi
avanti), mentre invece sia sottostimata cos ampiamente la pericolosit degli attacchi
Zero-day e APTs (Advanced Persistent Threats), o addirittura Scada (Supervisory Control
And Data Acquisition), che pure sono quotidianamente menzionati sui Media come
responsabili di enormi danni.
Si potrebbe ipotizzare che la figura corrisponda alla percezione delle aziende di essere
attaccate con pi frequenza con metodi di attacco di tipo tradizionale, ma purtroppo
1
neanche questo vero. Ad oggi, come ha riportato anche il Report Clusit 2013 , che
dipinge la situazione italiana per quanto riguarda le minacce di Cybersecurity, gli attacchi
APTs crescono a tassi superiori al 400% per anno, e si posizionano al secondo posto per
numerosit dopo quelli SQL Injection, seguiti da attacchi DDoS. Il malware compare
soltanto al sesto posto, non pi considerato dagli esperti la tecnica principale per
sottrarre informazioni o rendere indisponibili i sistemi.
Per quanto riguarda invece lattribuzione di responsabilit per gli attacchi, la figura che si
ottiene intervistando i responsabili della security aziendale rispecchia effettivamente la
situazione che emerge da diverse analisi sulle evoluzioni del cyber crime.

Clusit, Rapporto 2013 sulla sicurezza ICT in Italia, 2013

The Innovation Group - 2013

| 12

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 6: Responsabili degli attacchi informatici - secondo le aziende
Domanda: Quali potrebbero essere secondo lei i maggiori responsabili di Cyber attacchi nel caso
della vostra azienda?
Cyber Criminals

42%

Anonymous/Hacktivists

38%

Attacchi dallinterno - dipendenti

27%

Attacchi dallinterno - personale a


contratto

19%

Competitors

11%

Stati esteri

10%

Business Partner

4%

Non stato possibile determinarlo

15%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Lo sfruttamento delle vulnerabilit dellICT per perpetrare frodi con furto di informazioni
da parte della criminalit organizzata un fenomeno in crescita in ogni parte del mondo.
I cyber attacchi oggi possono sostanzialmente dividersi in 2 tipologie: quelli attribuiti ai
cyber criminals puntano a un ritorno economico immediato, sono volti a sottrarre
informazioni che saranno rivendute in seguito nel mercato nero di Internet (cyber
espionage). La seconda tipologia di attacchi in forte crescita invece quella degli
hacktivists (Anonymous, WikiLeaks) il cui scopo effettuare azioni di protesta civile,
dove sono lesi i principi della libert digitale oppure dove si vuole far emergere
allopinione pubblica comportamenti discutibili. Le multinazionali in particolare non sono
immuni da attacchi di questo tipo. Come mostra la figura sopra, il rischio collegato ad
azioni di hacktivists oggi considerato come rilevante da parte di molte aziende.
In alcuni casi le aziende stanno anche considerando la minaccia proveniente da Stati
Esteri. E oramai un fatto assodato che alcune nazioni, in particolare la Cina e la Russia, si
2
siano dotate negli ultimi anni di apparati di intelligence che effettuano attivit di cyber
espionage con sottrazione di Intellectual Property, in particolare in settori avanzati come
tecnologie militari, biomediche e farmaceutiche, nuovi materiali e manifatturiere
avanzate.

Umberto Gori, Luigi Sergio Germani. Information Warfare 2011, Franco Angeli

The Innovation Group - 2013

| 13

Approccio Delle Aziende Italiane Alla Cybersecurity


Il 74% delle aziende intervistate dichiara di aver avuto lo scorso anno almeno un
incidente riconducibile ad un attacco informatico, e in alcuni casi gli incidenti sono stati
numerosi. Analizzando le risposte, si ottiene che i settori in cui le aziende subiscono il
maggior numero di incidenti da cyber attacchi (superiore a 7) sono lindustria, il settore
pubblico e il settore delle telecomunicazioni.
Figura 7: Numero di incidenti dovuti a Cyber attacchi
Domanda: Qual il numero approssimativo di incidenti dovuti a Cyber attacchi registrati negli
ultimi 12 mesi nella sua azienda?
60%

45%
40%

26%

22%

20%

4%

2%

1%

Tra 7 e 10

Tra 11 e 20

Superiore a
40

0%
Nessuno

Tra 1 e 2

Tra 3 e 6

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=103

Tra le conseguenze degli attacchi vengono citati numerosi aspetti, in principal modo
linterruzione delle attivit e il danno dimmagine. Invece, il danno economico non
ritenuto al momento prioritario, ma questo aspetto probabilmente legato al fatto che
si sottostima limpatto economico di un incidente informativo.
Figura 8: Conseguenze degli attacchi informatici - secondo le aziende
Domanda: Quali sono state secondo lei le principali conseguenze degli attacchi subiti?
Interruzione dellattivit

44%

Danni al Brand/alla reputazione

38%

Perdita di dati e Intellectual Property

31%

Perdita economica

26%

Costi dovuti a problemi legali

15%

Costi per attivit investigative

13%

Perdita di clienti

12%

Nuovi investimenti in Cybersecurity

9%

Perdita del valore della societ

2%

Nessun danno

5%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

The Innovation Group - 2013

| 14

Approccio Delle Aziende Italiane Alla Cybersecurity

Obiettivi, attivit ed efficacia della funzione Security


Con riferimento agli obiettivi attribuiti alla funzione security nelle aziende italiane, i
principali sono la protezione dei dati e delle infrastrutture oltre che la compliance alle
norme.
La risposta a nuove forme di attacco o malware viene citata come obiettivo, ma
purtroppo soltanto da un 38% delle aziende: il restante 62% delle aziende non lo
considera evidentemente prioritaria. Questo conferma quanto visto in precedenza, ossia
che la pericolosit dei nuovi attacchi (ad esempio quelli del tipo APTs) ampiamente
sottostimata dai responsabili della security.
Figura 9: Obiettivi della Funzione IT Security
Domanda: Quali sono gli obiettivi che si pone la funzione security nella vostra azienda?
Proteggere dati sensibili e Intellectual
Property

71%

Essere compliant alle norme

63%

Rispondere a nuove forme di


malware/attacchi informatici

38%

Definire un GRC Management integrato e


in linea con le richieste del business (GRC)

20%

Analizzare i dati della security in modo da


essere proattivi (Security Intelligence)

19%

Risolvere le problematiche di security


dovute a device Mobile

16%

Far dipendere le scelte di security da una


valutazione d'impatto sul Business

15%

Automatizzare le attivit legate alla


security

13%

Definire un modello operativo di security


per luso del Cloud Computing

5%
0%

20%

40%

60%

80%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Tematiche che rientrano negli obiettivi di una minoranza di responsabili sono:

Governance, Risk e Compliance Management integrato (GRC): si tratta di


allineare e gestire tramite piattaforme integrate gli aspetti di Governance della
security con il pi ampio campo di attivit relativo al Risk e Compliance
management. E un ambito in sviluppo del mercato, che nella nostra indagine
viene citato solo da un 20% delle aziende intervistate.

The Innovation Group - 2013

| 15

Approccio Delle Aziende Italiane Alla Cybersecurity

Security Intelligence: nellambito delle attivit di Security Governance, lutilizzo


di soluzioni specifiche di Intelligence, come funzioni analitiche relative a
informazioni raccolte con molteplici device e dispositivi (SIEM, Security
Information e Event Management) permette di ottenere notevoli benefici in
termini di controllo unitario, trasparenza e reporting verso il management
dellazienda, proattivit nellindividuare le vulnerabilit, time-to-market nella
risposta a eventuali cyber attacchi.

Mobile security: solo un 16% delle aziende considera tra gli obiettivi della
funzione security anche il controllo di device mobile.

Ancora meno importanti nelle aziende del campione analizzato aspetti come
legare le scelte di security a valutazioni di impatto sul Business dei rischi
informatici, lautomatizzazione delle attivit legate alloperativit quotidiana
della security o la definizione di modelli operativi per lutilizzo sicuro dei servizi
Cloud. In particolare, automatizzare molte procedure permetterebbe di ridurre
i costi del Security Management e spostare lattenzione su attivit
maggiormente business critical, ma il tema non attualmente al centro delle
strategie per la security.

In conclusione, una prima figura che emerge dallanalisi degli obiettivi per i responsabili
del Security Management, di un focus prevalente sulla gestione del day-by-day, sul
controllo di una serie di strumenti gi implementati, scarso coordinamento con altri
ambiti dellimpresa, e in generale di nuovo unevidente ritardo nella capacit di risposta
ai nuovi rischi, ad esempio la diffusione in azienda di dispositivi mobile. Non il tipo di
obiettivi che dovrebbe avere una funzione che governa aspetti con importanza
fondamentale per la sopravvivenza stessa del business aziendale, come era stato
dichiarato inizialmente.
Andando a vedere come nella pratica si traducono gli obiettivi della funzione security,
ossia quali sono le attivit e i task che quotidianamente vengono svolti, in azienda o
tramite fornitori esterni, si ottiene una figura molto articolata su tutti i diversi ambiti.
Nellanalisi ci siamo concentrati su quelli che riteniamo essere i processi principali del
Security Management. Come mostra la figura successiva, trattandosi di attivit core,
sono per lo pi svolte internamente, e quando date allesterno, nella maggior parte dei
casi mantenendo comunque allinterno la Governance complessiva per cui al fornitore
sono demandate soltanto attivit operative con una gestione che rimane comunque
allinterno.
Tutti i processi considerati hanno diffusione molto elevata, in alcuni casi riguardano la
totalit delle imprese contattate (considerando sia il fatto che siano svolti internamente
che anche da fornitori esterni), con esclusione soltanto degli aspetti di Vulnerability
Assessment e di Security Intelligence (SIEM), che registrano invece quote di adozione pi
basse, tra il 70 e l80% (contando anche lapporto dei fornitori esterni), e mostrano
contemporaneamente una pi elevata propensione alloutsourcing.

The Innovation Group - 2013

| 16

Focus prevalente
sulla gestione del
day-by-day, sul
controllo di una serie
di strumenti gi
implementati, scarso
coordinamento con
altri ambiti
dellimpresa, e in
generale di nuovo
unevidente ritardo
nella capacit di
risposta ai nuovi
rischi, ad esempio la
diffusione in azienda
di dispositivi mobile.

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 10: Attivit della Funzione IT Security
Domanda: Quali delle seguenti attivit sono svolte dalla funzione IT Security, totalmente o in parte,
o in alternativa da fornitori esterni?
Controllo / gestione accessi

76%

Disegno di policy di Security

20%

64%

32%

2%
3%

Internamente
Enforcement delle policy

70%

23%

2%

Backup e recovery/BC

66%

Formazione degli utenti

66%

Event/Log Management

65%

19%

8% 5%

Patch Management

64%

19%

7% 7%

Risk Management

66%

Compliance Management

23%
21%

23%

39%

SIEM/Security Intelligence

25%

43%

0%

20%

21%

40%

3% 8%

21%

57%

Vulnerability Scanning

5% 5%

21%

63%

Incident Response

4%

60%

Svolto in toto da
fornitori esterni

3% 11%
6% 11%

19%
9%

Governance interna
e attivit date
all'esterno

Attivit non svolta

14%
25%

80%

100%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112

La figura mostra quindi un buon livello di Readiness in termini di processi fondamentali


del Security Management, considerando anche il fatto che stiamo parlando di aziende di
tutti i settori di mercato e, per un 7% dei casi, di aziende con dimensioni inferiori ai 50
3
addetti . In particolar modo, gli ambiti che ottengono maggiore attenzione sul fronte
delle attivit di Security Management sono il controllo e la gestione degli accessi, il
disegno e lenforcement di policy di security, le attivit di backup, recovery o business
continuity volte a salvaguardare i dati e in alcuni casi anche la continuit dei servizi ICT.
Dove si comincia ad osservare una percentuale minoritaria di aziende che non svolge
alcuna attivit (intorno al 10%) soltanto per aspetti di Compliance e Risk Management,
di Incident Response oltre che di Vulnerability Scanning e Security Intelligence, come
detto in precedenza.
Come rendere pi efficace la funzione security nelle sue attivit di operativit
quotidiana, controllo e definizione di policy? Secondo i responsabili intervistati sarebbe
fondamentale poter disporre di maggiori skill nellambito specifico, altamente
specialistico, della Cybersecurity. Quindi possibilit di dotarsi di risorse specializzate, che
come noto sono difficili da reperire nel mercato.

Le caratteristiche del campione analizzato sono riportate alla fine del presente capitolo.

The Innovation Group - 2013

| 17

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 11: Efficacia del Security Management
Domanda: Quali elementi secondo voi rendono pi efficace il Security Management?

Disporre di maggiori skill interni in


ambito security

51%

Disporre di una struttura dedicata e di


un manager dedicato (CSO o CISO)

48%

La security definita a priori, nella fase


di progettazione

28%

Maggiore integrazione in ottica end-toend delle tecnologie per la security

24%

Integrare la Governance della security


con il Risk e il Compliance Management

23%

Far dipendere gli investimenti in


security da analisi su rischi e perdite

19%

Disporre di informazioni pi complete


su tutti i rischi dell'azienda

18%

Il CSO/CISO riporta direttamente al


Board

13%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112

In secondo luogo, viene citata la necessit di dotarsi di una struttura dedicata e di un


management dedicato (Chief Security Officer o Chief Information Security Officer). Non
si ritiene per in generale che lorganizzazione della struttura di security debba essere
fatta in modo da riportare direttamente al Board dellazienda (solo il 13% dei rispondenti
pensano che sarebbe un modo per rendere pi efficace il Security Management). Anche
altri aspetti, come il Security-by-design (la possibilit di inserire la sicurezza informatica
nella fase iniziale di progettazione di nuovi prodotti/servizi dellimpresa) o lintegrazione
end-to-end e la visione olistica che abbracci tutti gli aspetti della sicurezza, sono citati
come importanti solo da una minoranza dei rispondenti, intorno al 20%. Limpressione
che si ottiene analizzando le risposte che i responsabili della security non si stiano oggi
interrogando su quali cambiamenti li renderebbero pi efficaci. Percepiscono soltanto
difficolt legate al day-by-day, come mancanza di fondi, risorse o skill.
Non stato effettuato, se non in una minoranza dei casi, il salto culturale che dovrebbe
portare il Security Management a diventare ambito strategico dellazienda.

The Innovation Group - 2013

| 18

Approccio Delle Aziende Italiane Alla Cybersecurity

Attivit di Incident Response e Application Security


Due ambiti su cui abbiamo deciso di concentrare lanalisi, trattandosi in entrambi i casi di
attivit potenzialmente molto critiche (ma spesso sottovalutate dalle aziende italiane)
sono quelli dellIncident Response e dellApplication Security.
Con Incident Response si intendono le attivit preposte alla prevenzione e gestione di
eventuali incidenti, ossia eventi che hanno comportato una riduzione o un annullamento
delloperativit dei servizi, una perdita di dati e quantaltro. La gestione degli incidenti
unattivit fondamentale, volta a limitarne le conseguenze, in quanto un incidente non
gestito pu comportare in cascata successivi effetti disastrosi e in alcuni casi condurre a
impatti imprevedibili. Un team di Incident Response viene di solito responsabilizzato su
tutte le attivit specifiche per la gestione e la risposta agli incidenti. Si parte dalle attivit
preventive (identificazione di possibili falle o vulnerabilit nei sistemi che possono
condurre a incidenti) fino alle attivit di risoluzione e notifica in caso di incidente a
quelle di investigazione successiva per individuare grazie allanalisi dei log data le cause
dellincidente ed eventuali responsabilit. Un CERT interno (Computer Emergency
Response Team) pu anche essere incaricato di queste attivit.
Figura 12: Attivit di Incident Response
Domanda: Quali attivit di Incident Response svolgete?
Analisi preventive per verificare eventuali
vulnerabilit

56%

Analisi degli incidenti con comprensione


del loro impatto

52%

Analisi per identificare le cause degli


incidenti

40%

Azioni per minimizzare gli impatti

25%

Reportistica sugli incidenti

23%

Aggregazioni/analisi comparativa degli


incidenti

9%

Nessuna delle precedenti risposte

5%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112

Le misure preventive sono quelle che di solito fanno capo alle attivit di Vulnerability
Assessment/Penetration Test. Come mostra la figura successiva, sono quelle pi diffuse
presso le aziende italiane (con un 56% delle risposte). Dove sicuramente le aziende si
mostrano poco preparate non avendo evidentemente strutturato le attivit di Incident
Response in modo organico e completo sono le attivit forensiche (di comprensione

The Innovation Group - 2013

| 19

La gestione degli
incidenti unattivit
fondamentale, volta
a limitarne le
conseguenze, in
quanto un incidente
non gestito pu
comportare in
cascata successivi
effetti disastrosi e in
alcuni casi condurre a
impatti imprevedibili.

Approccio Delle Aziende Italiane Alla Cybersecurity


della dinamica e attribuzione di responsabilit associate agli incidenti) ad oggi svolte
soltanto da un 40% delle aziende.
Il tema dellApplication Security riguarda invece linsieme delle attivit e delle misure
previste dalle aziende per sviluppare, utilizzare e mantenere nel tempo applicazioni
software sicure, ossia prive di vulnerabilit gravi che possono mettere in crisi
loperativit del Business o comportare danni economici e di immagine. Oggi un
problema molto sentito quello della realizzazione di App Mobile sicure: sia perch le
aziende hanno lambizione di arrivare sul mercato in tempi rapidi con App suggestive, da
far utilizzare a dipendenti o clienti sui nuovi smartphone o tablet, sia perch tutto il
mondo dei device mobile Android, iOS, BlackBerry e Windows ha dimostrato negli ultimi
anni di poter essere un veicolo per la diffusione di malware, lutilizzo improprio di risorse
aziendali e anche la perdita/furto di dati rilevanti.
Come mostrano i risultati dellindagine, gli aspetti di Application Security sono tenuti in
conto dai responsabili della security (solo un 10% degli intervistati non svolge alcuna
attivit in questo ambito), ma soprattutto dal punto di vista della definizione di
guidelines per lo sviluppo sicuro delle applicazioni. Attivit di testing/quality assurance
sono svolte soltanto da una minoranza di aziende (43%). Quella che pare molto grave
la scarsa propensione (riguarda soltanto un 17% delle aziende) a verificare la sicurezza
delle applicazioni esposte su Internet. Considerando che sempre pi spesso le
applicazioni aziendali sono aperte al Web, evidente che la mancanza di misure
specifiche rappresenta una falla molto grave nelle policy di security.
Figura 13: Attivit di Application Security
Domanda: Quali attivit per lApplication Security svolgete?
Definizione di guidelines interne per lo
sviluppo pi sicuro delle applicazioni

52%

Testing/quality assurance in fase di


rilascio applicativo

43%

Policy di security assessment di software


sviluppato da terzi

34%

Utilizzo di strumenti per testare


internamente la sicurezza applicativa

21%

Utilizzo di servizi esterni per verificare la


sicurezza delle applicazioni aziendali

18%

Scanning di applicazioni esposte su


Internet

17%

La soluzione per i test di sicurezza e'


integrata con lambiente di sviluppo

9%

Non svolgiamo nessuna attivit di


Application Security

10%
0%

20%

40%

60%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=112

The Innovation Group - 2013

| 20

Sempre pi spesso le
applicazioni aziendali
sono aperte al
Web, evidente che
la mancanza di
misure specifiche
rappresenta una falla
molto grave nelle
policy di security.

Approccio Delle Aziende Italiane Alla Cybersecurity


Gli attacchi alle applicazioni Web sono oggi tra le metodologie preferite dagli hacker,
anche perch dalle applicazioni si arriva fino ai dati di back-end e quindi alla possibilit di
entrare in possesso di informazioni critiche (ad esempio tramite SQL Injection, ad oggi la
metodologia di attacco pi diffusa secondo diverse fonti). Come sar mostrato in
seguito, le aziende si dotano spesso di appliance specifiche per la protezione delle
applicazioni Web (Web Application Firewall, adottate dal 72% delle aziende secondo la
nostra indagine).
Anche per quanto riguarda il software acquistato, non sono utilizzate se non in una
minoranza di aziende (il 34%) policy specifiche per avere garanzia dai vendor che il
software sia privo di vulnerabilit. Considerando che sempre pi spesso il software
aziendale sviluppato da terze parti, non aver previsto test preventivi formalizzati nel
contratto di acquisto del software comporta unassunzione di rischio da parte delle
organizzazioni. A livello internazionale si osserva invece una crescita di interesse per
4
programmi di assessment del software rivolti alle terze parti .

Sol uzioni di Cybers ecurity adottate e previste


Come mostra la figura successiva, le aziende hanno adottato negli ultimi anni una
miriade di tecnologie di Cybersecurity che - a diversi livelli e in modo molto specialistico rispondono a singoli aspetti al problema pi ampio della riduzione del rischio
informatico. Tradizionalmente lantivirus, poi evoluto verso suite di endpoint protection
inglobando altri aspetti (antispam, antiphishing, DLP) e gli apparati posizionati ai confini
della rete aziendale (firewall, VPN) hanno rappresentato la prima barriera contro le
minacce. Al crescere dei rischi, ladozione di nuove soluzioni (web application firewall,
gateway per web security ed email security, data loss prevention, encryption e
quantaltro) sono andate via via diffondendosi.
Oggi la figura mostra un buon livello di protezione da pi punti di vista, oltre che tassi di
crescita delladozione per numerose categorie di prodotti, elemento che conferma le
stime di crescita del mercato della Cybersecurity nel suo complesso.
Dove si nota invece una potenziale debolezza delle aziende italiane nellambito della
Security Intelligence (SIEM/Log management/Event Correlation), con soltanto un 60%
delle aziende che si dotata di queste soluzioni. La possibilit di tenere sotto controllo
gli ambienti di security, governare e misurare il proprio livello di risposta alle minacce,
passa infatti attraverso consolle unitarie di gestione e analisi degli eventi. Data anche la
complessit raggiunta dalle architetture di security, evidente che solo un controllo
centralizzato, automatizzato, multivendor e standard-based di raccolta e analisi dei dati
collegati agli eventi pu permettere un livello di protezione adeguato.

Five Best Practices of Vendor Application Management, WhitePaper, Veracode, settembre 2012

The Innovation Group - 2013

| 21

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 14: Soluzioni di Cybersecurity adottate e previste
Anti Malware (antivirus, antispam)

97%

3%

Network Technologies - firewall, etc.

96%

4%

Access control

94%

Backup/recovery

92%

Intrusion prevention/detection (IPS/IDS)

3%
4%

79%

Web Application Firewall

72%

Business continuity/High Availability

71%

Identity control (role management)

62%

SIEM/Log management/event correlation

60%

Sender reputation/whitelisting

46%

Messaging security

45%

Soluzioni anti-APTs

30%

0%

20%
2012

3%

25%

7%

22%

9%

29%

9%

50%

Data Loss Prevention/encryption

8% 13%

31%

10%

40%

12%

42%

8%

46%

11%

40%
2013

59%

60%

80%

100%

Non previsto

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=110.

Affrontar e i nuovi rischi associati a Cloud, Mobility e Soci al


Medi a
La diffusione di servizi Cloud, dei device Mobile, lutilizzo di Social Media allinterno o al
di fuori dai confini aziendali, oltre che in generale tutto quanto va sotto lambito dellIT
Consumerization (tecnologie e servizi Web diventati popolari nellIT Consumer che
passano poi ad essere utilizzati anche in ambito enterprise), crea sfide rilevanti dal punto
di vista della gestione della security.
Come abbiamo verificato con una precedente ricerca (svolta da The Innovation Group
5
nel gennaio 2013, relativa in particolare al tema della Mobility e del BYOD ) oggi soltanto
un terzo delle aziende italiane considera il tema dellIT Consumerization e del BYOD
come unopportunit aziendale, ad esempio per ridurre i costi della Mobility, che pure
sono in continua crescita.

Elena Vaciago. Quali strategie per il BYOD? The Innovation Group, febbraio 2013

The Innovation Group - 2013

| 22

Approccio Delle Aziende Italiane Alla Cybersecurity


Le aziende dovrebbero maturare maggiore consapevolezza su quale pu essere un utile
contributo di questi fenomeni se allineati ai bisogni effettivi della singola realt. Ad oggi
il tema della protezione dei dati e degli asset interni dai rischi collegati a Cloud, Mobile e
Social Media si traduce principalmente in regole e prassi interne, pensate da un lato per
elevare lAwareness delle persone su questi aspetti, dallaltro lato per predisporre
misure, processi e controlli collegati agli effettivi utilizzi.
Figura 15: Policy e misure relative ai nuovi rischi di Cybersecurity
Domanda: Avete definito policy e misure per la sicurezza di
Utilizzo aziendale di device e App
Mobile

67%

Utilizzo personale di device e App


Mobile (BYOD)

11%

39%

Utilizzo aziendale di Social Media

17%

51%

Utilizzo personale di Social Media

Utilizzo aziendale di servizi Cloud

6%

35%

Utilizzo personale di servizi Cloud


(BYOS, Bring Your Own Software)

27%

0%
Si

20%

43%

9%

38%

39%

56%

24%

41%

14%

40%

22%

60%

60%

Non ancora ma previsto

80%

100%

No e non previsto

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=109

Per quanto riguarda invece le misure di security specifiche per lambito dei Social Media,
dalla presente indagine emerge che le aziende italiane hanno cominciato ad applicare
alcune misure, ma in percentuali molto basse. Un uso non conforme dei Social Media
pu comportare numerose problematiche a livello aziendale. La commistione tra
lutilizzo aziendale e personale dei siti social aumenta il rischio che opinioni personali
vadano a ledere limmagine dellazienda, o le reti interne possano essere pi facilmente
attaccate tramite malware scaricato da siti social. Circa un 34% di aziende afferma di
avere soluzioni di security assessment per la navigazione online, o di poter rilevare,
tramite misure ad hoc, laccesso ai siti social. Va osservato per che queste forme di
controllo effettuate sulla rete aziendale non sono in grado di proteggere tutte le
situazioni, dal momento che sempre pi spesso gli utenti si collegano ai siti social da
mobile.

The Innovation Group - 2013

| 23

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 16: Misure di Security specifiche per i Social Media
Domanda: Con riferimento ai rischi di sicurezza associati all'utilizzo di Social Media, quale
situazione corrisponde alla vostra azienda?
Abbiamo un sistema di Security
Assesment dedicato alla navigazione
Online

34%

Siamo dotati di un sistema di rilevazione


degli accessi ai sistemi Social

27%

Abbiamo un sistema di Security


Assesment dedicato ai Social Media

23%

Siamo attenti agli agreement sottoscritti


nell'iscrizione ai Social Media

6%

Nessuna delle precedenti misure

24%

0%

10%

20%

30%

40%

50%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107

Pochissime aziende poi verificano con attenzione gli agreement sottoscritti al momento
delliscrizione. Questa problematica riguarda chi utilizza i Social Media per il business, e
quindi ad esempio registra una pagina social aziendale su Facebook o altri siti. Non fare
attenzione agli agreement sottoscritti al momento delliscrizione pu comportare la
perdita per le aziende di alcuni diritti sulla propriet dei contenuti che saranno caricati
sui siti.
Per quanto riguarda la percezione che le aziende hanno della sicurezza offerta dai Cloud
provider, la figura successiva mostra in generale un livello elevato, con giudizi per lo pi
positivi con leccezione soltanto di un aspetto, la possibilit che il Cloud provider
fornisca garanzie su una localizzazione dei dati corrispondenti alle norme. Limpressione
che fornisce la figura che con lutilizzo di servizi Cloud le aziende trasferiscono la
responsabilit su processi e tecnologie di Cybersecurity ai loro fornitori.

The Innovation Group - 2013

| 24

Approccio Delle Aziende Italiane Alla Cybersecurity


Figura 17: Opinioni sulla Security nel Cloud
Domanda: Con riferimento ai servizi Cloud pubblici, quanto siete d'accordo con le seguenti
affermazioni?

I Cloud Service Provider (CSP) offrono


meccanismi di data backup e recovery

79%

I CSP prevedono tecniche sicure di


accesso ai dati da parte dei clienti

21%

75%

25%

I CSP offrono garanzie sul Data Removal in


caso di cessazione del servizio

61%

39%

I CSP sottostanno a regolamentazioni,


audit e controlli in ambito Data Security

60%

40%

I CSP mettono a disposizione meccanismi


per mantenere separati dati di clienti
diversi

56%

44%

I CSP mettono a disposizione sistemi di


encryption di data-in-transit o data-at-rest

55%

45%

I CSP permettono ai clienti di scegliere


dove localizzare i dati

40%
0%

20%

Sempre o abbastanza spesso

60%
40%

60%

80%

Poco o per niente

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=107

The Innovation Group - 2013

| 25

100%

Nota Metodologica

Nota Metodologica
Sono riportate di seguito le caratteristiche del campione utilizzato per la survey.
Lindagine stata svolta, in parte con interviste telefoniche dirette e in parte con survey
online, tra marzo e aprile 2013. Ha coinvolto 115 aziende dei diversi settori verticali, con
una prevalenza di realt del mondo manifatturiero (29 aziende), della pubblica
amministrazione e sanit (25), del settore finanziario (13) e delle utilities (12). Con
riferimento al settore finanziario, non si tratta di grandi gruppi bancari ma piuttosto di
banche di media dimensione, assicurazioni e intermediari finanziari. Il mondo utilities
comprende anche operatori Oil&Gas e numerose municipalizzate.
Figura 18: Settore delle aziende del campione
Domanda: In quale settore opera la sua azienda?

Banche/Finanza
Information Sanit Turismo
9%
7%
Utility
Technology
2% Costruzioni
Assicurazioni
10%
2%
3%
3%
Settore Pubblico
Trasporti/Logisti
15%
ca
7%
TLC/Media
Commercio,
4%
Distribuzione
9%
Servizi
Industria
4%
25%
Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Con riferimento alla dimensione delle aziende nel campione, si ha una distribuzione su
pi classi, ma per lo pi concentrata su aziende di media dimensione (con 65 casi tra i 51
e i 1.000 addetti) e di grande dimensione (42 casi di aziende con oltre 1.000 addetti, fino
a oltre 10.000 addetti, come mostra la figura successiva). La classe delle piccole imprese,
con meno di 50 addetti, conta soltanto 8 casi, che non possono quindi essere assunti
come significativi della realt delle piccole aziende. Invece la rappresentativit delle
medie e grandi sufficiente per elaborare considerazioni generali per queste tipologie di
aziende.

The Innovation Group - 2013

| 26

Nota Metodologica
Figura 19: Dimensione delle aziende del campione
Domanda: Qual il numero di dipendenti della sua azienda?

5.001-10.000
8%

10.001+
9,6%

11-50
7%

1.001-5.000
19%

501-1000
18%

51-100
9%

101-200
9%

201-500
21%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

Hanno risposto allindagine responsabili aziendali con diversi ruoli, dal direttore generale
al responsabile IT, alle figure specialistiche e i manager dedicati alla security. Veniva
intervistato di volta in volta chi rispondeva in azienda delle scelte collegate al Security
Management. Si nota che nella maggior parte dei casi questo ruolo affidato al CIO o al
responsabile dei sistemi informativi (49% delle risposte) ma in un 28% delle aziende
contattate hanno risposto figure con ruolo e responsabilit specifiche, ossia CSO/CISO
oppure Security Manager. Nei restanti casi (escludendo le risposte relativi ai
CEO/direttori generali) si parlato con figure tecniche come security engineer/analyst e
consultant, che rispondevano direttamente al CIO.
Figura 20: Ruolo dellintervistato
Domanda: Qual il suo ruolo in azienda?

Security
Manager
20%

Security
engineer/analys
t/consultant/ad
ministrator
12%

Chief Security
Officer (CSO)/
Chief
Information
Security Officer
(CISO)
8%

CEO/AD/Diretto
re Generale
11%

Chief
Information
Officer (CIO) o
Direttore IT
49%

Fonte: Cybersecurity Survey, TIG, aprile 2013. N=115

The Innovation Group - 2013

| 27

Aziende italiane e Cloud Security


Concludiamo lo studio con 3 interventi specialistici su tematiche che sono state citate,
relative alla Cloud Security; al tema delle misure per la Digital Forensics; agli aspetti
legati alla Sicurezza delle Infrastrutture Critiche.

Le aziende itali ane e i l tema della Cl oud Sec urity


Intervista a Alberto Manfredi, Presidente di Cloud Security Alliance Italy
CSA (Cloud Security Alliance) unassociazione internazionale no-profit nata negli USA
nel 2009 con lo scopo di promuovere luso di best practices che consentano di sviluppare
ed utilizzare in sicurezza tutte le forme del Cloud Computing (infrastrutture, piattaforme
e applicazioni). Con tali obiettivi lassociazione si rivolge sia al consumatore che al
fornitore di servizi Cloud coinvolgendoli, su base volontaria, in gruppi di ricerca (ad oggi
ne sono stati attivati pi di 20) per produrre delle guide specifiche, disponibili
gratuitamente, tra cui citiamo quelle su Mobile, GRC, Audit, CERT, Big Data e la famosa
6
Cloud Security Guidance ormai giunta alla sua versione 3.0 . Ad oggi lassociazione conta
pi di 45.000 soci individuali, 160 soci aziende e pi di 20 associazioni affiliate ed ha filiali
operative sia in EMEA che APAC.
Lassociazione CSA Italy Chapter e` uno dei 60 capitoli nazionali che oltre a promuovere
la cultura della sicurezza Cloud svolge anche delle attivit di ricerca specifiche per il
mercato italiano. In particolare sono attive tre aree di ricerca (Portabilit
Interoperabilit - Sicurezza Applicativa, Privacy & Legal nel Cloud, Traduzioni) che
7
nellultimo anno hanno prodotto 4 pubblicazioni ed una risposta ad una consultazione
pubblica del Garante per la protezione dei dati personali (Data Breach).
Come emerge dallindagine di TIG, presentata nel capitolo successivo, solo il 35%
delle aziende italiane afferma di avere delle policy e delle misure per la sicurezza per il
Cloud ad uso aziendale. Meno che per i social media (50%) e la mobility (70%). Cosa ne
pensa? Cosa cambia per le aziende con il Cloud nel gestire la sicurezza?
Per risponderle partirei da alcune considerazioni storiche. Il termine smartphone stato
coniato da Ericsson nel 1997 con il suo modello GS 88 Penelope mentre i Social Media
sono nati con il Web come evoluzione delle BBS (Bulletin Board Systems), inizialmente
con servizi quali Geocities (1994, acquisita poi da Yahoo) per arrivare a Google (1998),
8
Linkedin e Myspace (2003), Facebook, (2004), Twitter (2006) .
Il Cloud Computing moderno (per distinguerlo dalle tecnologie e modi duso su cui si
fonda, in particolare virtualizzazione e grid computing) nasce di fatto nel 2006 con i
servizi Elastic Cloud di Amazon Web Services (2006) a cui si aggiungono quelli di Google
9
Apps nel 2009 . Il Cloud Computing sembrerebbe quindi una delle ultime tecnologie
(e questa la prima percezione) che cerca di entrare nelle nostre aziende. Tuttavia oggi
rileviamo come lo smartphone sia lo strumento preferito di accesso ai contenuti delle
piattaforme social e queste ultime possano ormai essere considerate dei servizi Cloud.

6
7
8
9

Per la lista completa delle ricerche attivate consultare la pagina cloudsecurityalliance.org/research/


cloudsecurityalliance.it/area-downloads/
www.uncp.edu/home/acurtis/NewMedia/SocialMedia/SocialMediaHistory.html
www.computerweekly.com/feature/A-history-of-cloud-computing

The Innovation Group - 2013

| 28

Aziende italiane e Cloud Security


In realt, il Cloud Computing non una nuova tecnologia e non dovrebbe essere gestito
come tale, ma pu essere considerato un nuovo aggregatore di tecnologie e modalit di
utilizzo di utenti-consumer (ormai sempre connessi) che mette in risalto lormai
inscindibile relazione tra Persone, Processi e Tecnologie.
Nelle aziende diventa quindi necessario armonizzare le policy IT e di sicurezza sui temi
Cloud, Mobile e Social con una logica di inclusione delle nuove tecnologie ed abitudini
digitali dei lavoratori-consumer se vogliamo cogliere gli indubbi vantaggi per il business,
minimizzare i rischi e, perch no, aumentare la soddisfazione e produttivit dei nostri
collaboratori.
Secondo le aziende una percentuale tra il 40% e il 60% dei Cloud Service Provider
(CSP) offrono servizi Cloud con le caratteristiche necessarie per considerarli sicuri: cosa
devono chiedere ai fornitori le aziende e che cosa i fornitori devono predisporre per
essere dei CSP sicuri e affidabili?
Se questo nuovo paradigma porta indubbi vantaggi su costi di gestione e fruibilit di dati
e applicazioni, riporta anche allattenzione gli aspetti di sicurezza e privacy. Basti pensare
ai temi della localizzazione del dato, della responsabilit del trattamento, della business
continuity, della compliance, della sicurezza delle VM/Hypervisor, della cancellazione del
dato, della portabilit dei dati (solo per citarne alcuni).
Questi punti di attenzione (che rappresentano delle potenziali vulnerabilit) sono ormai
noti anche alla criminalit informatica che gi nellultimo anno ha aumentato gli attacchi
verso il settore Online Service e Cloud (che include i Social Networks) con un tasso di
10
crescita superiore al 900% .
Per facilitare il dialogo tra domanda ed offerta nel mercato del Cloud, CSA ha lanciato
11
nel 2011 uniniziativa chiamata CSA Security, Trust & Assurance Registry (STAR) che ha
lobiettivo di incoraggiare i CSP a fornire adeguate informazioni ai potenziali clienti
sullimplementazione di misure di sicurezza a supporto della propria offerta cloud. I
fornitori possono aderire a questa iniziativa su base volontaria rispondendo, con il
supporto di CSA, ad una serie di domande negli ambiti Compliance, Data Governance,
Facility Security, HR Security, Information Security, Legal, Operation Management, Risk
Management, Release Management, Resiliency, Security Architecture. Il fornitore redige
12
quindi un rapporto che viene reso disponibile su un apposito registro pubblico .
Dal 2013 liniziativa CSA STAR sar parte integrante di uno schema di certificazione
volontaria per CSP chiamato Open Certification Framework che preveder un primo
livello di autovalutazione con STAR, un secondo livello di audit e certificazione di terza
parte (integrato con ISO 27001 e AICPA SSAE16-SOC2) ed un terzo livello di continuous
monitoring, ovvero la verifica dei livelli di servizio e sicurezza con meccanismi di audit
13
real time .

10
11
12
13

Rapporto Clusit 2013 sulla sicurezza ICT in Italia (www.clusit.it)


cloudsecurityalliance.org/star/
cloudsecurityalliance.org/star/registry/
cloudsecurityalliance.org/research/grc-stack/

The Innovation Group - 2013

| 29

Per facilitare il
dialogo tra domanda
ed offerta nel
mercato del Cloud,
CSA ha lanciato nel
2011 uniniziativa
chiamata CSA
Security, Trust &
Assurance Registry
(STAR) che ha
lobiettivo di
incoraggiare i CSP a
fornire adeguate
informazioni ai
potenziali clienti.

Digital Forensics E Misure Difensive


Per i fornitori di servizi di consulenza e progettazione in ambito Cloud CSA ha anche
definito il primo profilo professionale di esperto in sicurezza Cloud (certificazione
14
CCSK) .
Pertanto, per mantenere le sue promesse di maggiore affidabilit, efficienza e sicurezza,
il Cloud Computing richiede linstaurazione di un nuovo rapporto tra consumatore e
fornitore fondato sulla trasparenza, senza il quale prevalgono ancora i modelli
tradizionali di acquisto dei servizi ICT (con installazioni HW/SW on premises) e si
preclude laccesso alle enormi potenzialit e benefici che pu offrire il mercato Cloud, in
particolare per la piccola e media impresa (agilit, riduzione costi, qualit del servizio).

Digital For ensic s e Misure di fensive messe i n atto dalle aziende


Intervista a Giuseppe Vaciago, Avvocato penalista esperto in ICT Law
Come avviene ad oggi lacquisizione di prove legali (Digital Evidence) contro potenziali
cyber crime?
Allinterno di un contesto aziendale possibile acquisire prove digitali che sia stato
commesso un cyber crime o unaltra tipologia di illecito, ma importante sapere che
tale acquisizione deve avvenire nel rispetto di procedure tecniche che garantiscano la
piena utilizzabilit della digital evidence raccolta. Per questa ragione importante che
una societ abbia previsto procedure di Digital Forensics, materia che disciplina le
attivit finalizzate a preservare eventuali prove digitali da depositare in giudizio,
garantendo che non siano alterate.
Oggi assistiamo a numerosi illeciti: societ che rimangono vittima di accessi abusivi da
parte di societ concorrenti oppure con al proprio interno dipendenti che commettano
illeciti sottraendo informazioni dai sistemi ICT. In entrambe le ipotesi, necessario che i
vertici della societ intervengano immediatamente, poich lestrema volatilit del dato
digitale impone che siano svolte alcune operazioni preliminari finalizzate alla
cristallizzazione di eventuali prove.
Nella prassi di molte realt aziendali italiane, in queste circostanze, viene contattato
lamministratore di sistema che, se da un lato pu essere in grado da un punto di vista
tecnico di porre in essere le opportune verifiche e investigazioni preliminari, dallaltro
lato potrebbe non avere le competenze in ambito di Digital Forensics e quindi rischiare
di alterare una prova che invece potrebbe essere di fondamentale importanza in un
futuro giudizio.
A livello legale sono ammissibili sia le indagini difensive (introdotte dalla legge 397/00 e
svolte da un legale esterno alla societ) sia anche una pi generica attivit investigativa,
volta comunque a far valere un diritto in sede giudiziaria.
Qualora sia necessario svolgere unindagine difensiva su uneventuale illecito commesso
allinterno della societ sicuramente preferibile, ove sia consentito, adottare le indagini
difensive previste dal codice di procedura penale (art. 327-bis e 391-bis e ss. c.p.p.).

14

cloudsecurityalliance.org/education/ccsk

The Innovation Group - 2013

| 30

Allinterno di un
contesto aziendale
possibile acquisire
prove digitali che sia
stato commesso un
cyber crime o unaltra
tipologia di illecito,
ma importante
sapere che tale
acquisizione deve
avvenire nel rispetto
di procedure tecniche
che garantiscano la
piena utilizzabilit
della digital evidence
raccolta.

Digital Forensics E Misure Difensive


Quali procedure di Digital Forensics devono prevedere le aziende per tutelarsi il pi
possibile contro eventuali illeciti?
A livello tecnico le 4 regole fondamentali su cui si fonda la Digital Forensics sono:

Integrit del dato: quando si effettua unindagine su un dato digitale (da una
singola email, allintero contenuto del server di una societ), importante
garantire che la prova sia autentica e non modificata.

Affidabilit: tale requisito viene soddisfatto quando il sistema informatico nel


suo complesso sicuro. In questo caso, le informazioni prodotte possono
anchesse essere considerate ragionevolmente degne di fiducia.

Catena di custodia (Chain of custody): come avviene nelle indagini tradizionali,


tracciare la catena di custodia - ossia fornire evidenza dei vari passaggi che ha
fatto il singolo dato digitale - essenziale per garantire la massima tenuta
durante leventuale giudizio.

Protezione fisica dei dati: tutti i dati recuperati dal sistema compromesso
devono essere assicurati fisicamente in un luogo sicuro allinterno dellazienda
o anche allesterno della realt aziendale.

Si raccomandano in particolare le seguenti azioni:

Copia Bit-stream: prima di iniziare ogni tipo di indagine opportuno procedere


ad una copia bit-stream del supporto di memorizzazione. La copia bit-stream
una sorta di clonazione del supporto di memorizzazione che preserva anche
lallocazione fisica dei singoli file oltre che la loro posizione logica.

Impronta di Hash: una funzione univoca operante in un solo senso (ossia, non
pu essere invertita), attraverso la quale un documento di lunghezza arbitraria
trasformato in una stringa di lunghezza fissa, relativamente limitata. Tale
stringa, che rappresenta una sorta di impronta digitale del testo in chiaro,
definita valore di Hash o Message Digest. Sta a indicare qualsiasi eventuale
alterazione del documento anche minima, perch in tal caso si ha una modifica
dellimpronta. In altre parole, calcolando e registrando limpronta, e
successivamente ricalcolandola, possibile dimostrare se i contenuti di un file,
oppure del supporto, hanno subito o meno modifiche, anche solo accidentali.

Quali sono le caratteristiche principali degli strumenti software di Digital Forensics?


I software pi utilizzati per svolgere attivit di Digital Forensics possono essere
15
16
facilmente reperiti in rete sia in versione open source sia closed source . Prevedono
numerosi strumenti di particolare utilit per le attivit di monitoraggio e di sorveglianza,
tra cui:

15

Software di data recovery: consentono il recupero dei dati presenti, cancellati o


danneggiati da memorie di massa.

Tra i software open source una delle distribuzioni pi note DeftLinux (http://www.deftlinux.net)

16

Tra i software closed source, il pi noto sicuramente Encase Enterprise


(http://www.guidancesoftware.com/encase-enterprise.htm)

The Innovation Group - 2013

| 31

Digital Forensics E Misure Difensive

Software di data carving: permettono la ricostruzione, ove possibile, di un file


danneggiato attraverso il recupero di porzioni dello stesso file.

Software di packet-sniffing: permettono di svolgere unattivit


intercettazione passiva dei dati che transitano in una rete telematica.

di

Tali attivit possono essere svolte sia per scopi legittimi (ad esempio l'analisi e
l'individuazione di problemi di comunicazione o di tentativi di intrusione) sia per scopi
illeciti (intercettazione fraudolenta di password o altre informazioni sensibili). Ne
consegue che, come sempre, opportuno valutare quali siano i limiti previsti dalla legge
italiana allutilizzo di questi strumenti.
Esistono limiti legali ai controlli e alle misure preventive che possono essere
predisposte in azienda?
Luso (che talvolta sfocia in abuso) dellinformatica nel contesto aziendale genera non
solo i classici rischi ormai noti anche ai non addetti al lavoro (dagli attacchi informatici
volti allo spionaggio industriale, al furto o al danneggiamento dei dati digitali), ma
comporta sempre di pi la necessit di adottare modelli organizzativi in grado di
prevenire la commissione di cyber crimes o di reati comunque connessi alluso delle
nuove tecnologie.
17

Il rispetto delle misure di sicurezza previste dal Codice Privacy , non sempre
sufficiente a garantire una vera protezione e diventa necessario adottare procedure e
utilizzare strumenti in grado di controllare ogni tipo di anomalia allinterno del sistema
informatico. Tali strumenti di controllo possono prevedere ad esempio le seguenti
attivit:

Monitoraggio della navigazione Web, compreso lutilizzo di social network.

Controllo dei messaggi di posta elettronica effettuati dal dipendente


nellesercizio della sua attivit lavorativa.

Clonazione dellhard disk del dipendente, al fine di verificare la commissione di


un eventuale illecito.

Tali tipologie di controllo, tuttavia, devono avvenire nel rispetto della normativa in
vigore a tutela della privacy dei lavoratori. Molto spesso, infatti, accade che i controlli
eccedano i limiti previsti dagli articoli 4 e 8 dello Statuto dei Lavoratori richiamati dagli
articoli 113 e 114 del Codice Privacy. Per questo motivo, il Garante della Privacy ha
richiesto che il datore di lavoro rispetti i seguenti principi:

17

Necessit: i sistemi informativi e i programmi informatici devono essere


configurati riducendo al minimo l'utilizzazione di dati personali e identificativi
dei dipendenti.

Correttezza: le caratteristiche essenziali dei trattamenti devono essere rese


note ai lavoratori.

Pertinenza e non eccedenza: i trattamenti devono essere effettuati per finalit


determinate, esplicite e legittime (ad esempio per scopi difensivi, in caso di
illecito commesso ai danni di una societ).

Art. 34, D.lgs. 196/03

The Innovation Group - 2013

| 32

Digital Forensics E Misure Difensive


Il datore di lavoro deve anche adottare le seguenti misure di tipo organizzativo:

Indicare chiaramente e in modo particolareggiato, quali siano le modalit di


utilizzo degli strumenti messi a disposizione e con quali modalit vengano
effettuati controlli.

Predisporre e pubblicizzare una policy interna rispetto al corretto uso degli


strumenti informatici e agli eventuali controlli da sottoporre ad aggiornamento
periodico.

Predisporre unadeguata informativa ai sensi dellart. 13 del Codice Privacy con


la quale avvisare il dipendente circa lattivit di controllo alla quale soggetto.

In ogni caso, il datore di lavoro non pu procedere in modo sistematico ai seguenti


controlli:

Lettura e registrazione dei messaggi di posta elettronica, al di l di quanto


tecnicamente necessario per garantire il servizio e-mail aziendale.

Riproduzione ed eventuale memorizzazione delle pagine web visualizzate dal


lavoratore.

Lettura e registrazione dei caratteri inseriti tramite la tastiera di un personal


computer (keylogger).

Analisi occulta di computer portatili affidati in uso al dipendente.

Tuttavia, nel momento stesso in cui ricorrano i presupposti dellesercizio legittimo di un


diritto in sede giudiziaria (c.d. controllo difensivo), il datore di lavoro pu, in casi
eccezionali, superare i divieti sopracitati a patto che:

Sia stato stipulato un accordo con le rappresentanze sindacali o, in assenza di


questo, con lispettorato del lavoro (art. 4 Statuto dei Lavoratori) circa le
modalit del controllo.

Sia in grado di dimostrare che lo strumento di controllo utilizzato fosse da


ritenersi indispensabile, nel senso di costituire l'ultima risorsa utilizzabile al fine
di evitare danni o pregiudizi agli interessi dell'impresa, di terzi o degli stessi
lavoratori.

Alla luce di quanto descritto, si pu concludere che le indicazioni fornite dal Garante
della Privacy in tema di controllo tecnologico del dipendente non rendono sempre
facile lo svolgimento di unattivit di internal investigation compliant da un punto di vista
legale. Tuttavia, anche vero che la prova raccolta violando le disposizioni in materia di
privacy, potr comunque essere utilizzata sia per fini disciplinari nei confronti del
dipendente, sia in sede giudiziaria per instaurare un procedimento civile o penale.

The Innovation Group - 2013

| 33

Sicurezza Delle Infrastrutture Critiche

Politiche europee e nazionali per l a sicur ezza delle I nfrastr uttur e


Critiche
A cura di Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security
Center
Il tema delle Infrastrutture Critiche e della Cybersecurity sono sempre pi spesso
affrontati congiuntamente. Di fatto, buona parte delle strategie nazionali di
Cybersecurity dedicano unarea di attenzione particolare al tema della Protezione delle
Infrastrutture Critiche. Questa associazione evidentemente dovuta alloramai
onnipresenza dei sistemi ICT allinterno delle Infrastrutture Critiche. Non solo: il loro
ruolo nellerogazione dei servizi divenuto critico, per cui malfunzionamenti, avarie o
sabotaggi possono avere impatti rilevanti.
Di fatto tutti i servizi critici di un paese oggi vengono erogati attraverso luso di avanzati
sistemi ICT, i cui malfunzionamenti o sabotaggi possono avere impatti rilevanti. Si prenda
ad esempio il sistema elettrico: sebbene i sistemi ICT vengano impiegati per migliorare le
capacit di comando e controllo, e sebbene alcuni sistemi elettrici possano tollerare di
operare in assenza di sistemi ICT, una loro compromissione intenzionale potrebbe avere
effetti rilevanti sulla continuit operativa del servizio. Per non parlare delle nuove
Smart Grid, per le quali lICT una componente imprescindibile: un non corretto
funzionamento di tali sistemi porterebbe allimpossibilit di erogare il servizio o ancor
peggio a situazioni anche potenzialmente pericolose per gli operatori e i clienti.
In Italia, il tema delle Infrastrutture Critiche divenuto popolare a seguito delle
discussioni avviate nel novembre 2005 dalla Commissione Europea con la pubblicazione
18
del Green Paper su un Programma Europeo per la Protezione delle Infrastrutture
Critiche. Sebbene gi al tempo ci fosse da parte della Commissione Europea la
consapevolezza dellimportanza dellICT e delle nuove minacce emergenti, il Green Paper
non parla di Information Security, si limita a definire in modo molto modesto che cosa
siano le Critical Information Infrastructures, relegandole ad un paragrafo o poco pi
19
dellappendice. Anche la direttiva pubblicata l8 dicembre 2006 non solo non fa
esplicito riferimento allInformation Security, ma non include tra i settori critici quello
dellICT. Una delle motivazioni addotte riguarda la complessit del settore, pertanto
lUnione Europea ha ritenuto pi opportuno non includere questo settore. Anche per i
settori presi in considerazione dalla direttiva, gli aspetti di Information Security non sono
sostanzialmente toccati.

18
19

COM(2005) 576 Final del 17/11/2005


Direttiva 2008/114

The Innovation Group - 2013

| 34

Sicurezza Delle Infrastrutture Critiche


LItalia ha recepito la direttiva europea con il Decreto Legislativo dell11 aprile 2011,
20
n. 61 , non introducendo per alcuna novit rispetto alla Direttiva Europea. Va
precisato che la direttiva europea si riferisce esclusivamente a quelle che sono definite
European Critical Infrastructure (ECI), ovvero Infrastrutture Critiche Europee; si tratta
di quelle infrastrutture degli stati membri la cui compromissione pu avere impatti
transfrontalieri su uno o pi paesi membri. Non definisce per cosa vada considerata
unInfrastruttura Critica, pertanto ogni stato membro sta procedendo autonomamente
nella definizione dei criteri e nellindividuazione di tali infrastrutture.
Poich la direttiva non indirizza temi di Information Security, la Commissione Europea ha
pubblicato nel 2009 una comunicazione sulla Protezione delle Infrastrutture Critiche
21
Informatizzate (Critical Information Infrastructure Protection) , la quale si focalizza sulla
protezione dellEuropa da cyber attacchi attraverso linnalzamento della sicurezza nelle
Infrastrutture Critiche. Il 29 aprile 2009 a Tallinn la Commissione Europea ed i
rappresentanti degli Stati Membri si sono incontrati e hanno discusso il tema
dellInformation and Network Security, ottenendo il sostegno degli stati membri. Di
fatto lunico impegno assunto la costituzione dei CERT Nazionali. Nel maggio del
22
2010 lUnione Europea ha avviato i lavori dellAgenda Digitale Europea , nella quale la
Cybersecurity stata inserita come uno degli elementi fondamentali per una strategia
digitale europea. Sebbene non ci sia un vero e proprio focus sulle infrastrutture critiche,
lAgenda Digitale ha delineato attraverso i suoi principi ed il piano di azioni, ci che poi
sar la struttura portante della Strategia Europea del 2013 e la bozza di direttiva.
La pubblicazione di questi due documenti, avvenuta nel febbraio del 2012, il primo
vero passo verso la definizione di norme e di azioni per innalzare il livello di Network and
Information Security nelle Infrastrutture Critiche e pi in generale, nelle organizzazioni
pubbliche e private degli stati membri. Che cosa implica la strategia europea per lItalia?
Di fatto molto poco. LEuropa segue il principio di sussidiariet, per cui si limita a
indirizzare quei temi di interesse europeo, ma da una prospettiva di completamento
rispetto alle strategie nazionali. Il vero problema della Strategia di Cybersecurity
dellUnione Europea che non indirizza quegli aspetti chiave utili ai paesi membri,
creando una Europa a pi velocit: da una parte i paesi maturi che hanno non solo
definito una propria strategia di Cybersecurity, ma che hanno gi sviluppato capabilities
avanzate e dedicato risorse ed investimenti; dallaltra quei paesi che non hanno un forte
committment del governo e che indirizzano la Cybersecurity in modo tattico e
destrutturato. LItalia ha visto recentemente la pubblicazione di un Decreto del
Presidente del Consiglio dei Ministri (24 gennaio 2013). Il decreto definisce un modello
organizzativo per la Cybersecurity, attribuendo le varie responsabilit a diversi organi e
istituzioni. Non definisce per n le priorit, n il piano di azione, elementi decisivi di una
Strategia Nazionale.

20

Attuazione della Direttiva 2008/114/CE recante lindividuazione e la designazione delle infrastrutture


critiche europee e la valutazione della necessit di migliorarne la protezione, pubblicato in Gazzetta Ufficiale
n. 102 del 4 Maggio 2011.
21
COM(2009)149
22

COM(2010)245

The Innovation Group - 2013

| 35

Nel maggio del 2010


lUnione Europea ha
avviato i lavori
dellAgenda Digitale
Europea , nella
quale la
Cybersecurity stata
inserita come uno
degli elementi
fondamentali per una
strategia digitale
europea.

Sicurezza Delle Infrastrutture Critiche


E le infrastrutture critiche italiane? Rimangono un problema aperto, tutto da indirizzare.
Il loro livello di complessit e limpatto di eventuali anomalie e compromissioni cos
alto da rendere la loro sicurezza una priorit per il paese. Purtroppo ad oggi la loro
protezione demandata completamente agli operatori, i quali definiscono le priorit in
base alla loro percezione del rischio ed in base alle priorit dettate dal Business. Molti di
questi operatori hanno ancora un approccio alla Cybersecurity di tipo tattico, ovvero
legata alla mera implementazione di tecnologie e presidi di sicurezza nellambito dei
progetti. Manca ancora un approccio strategico alla Cybersecurity, guidato direttamente
dal top management, in modo consapevole ed informato. Questo implica evoluzioni
degli operatori sia in termini organizzativi che di capabilities. LItalia dovrebbe
identificare una Autorit per la Cybersecurity, la quale dovr lavorare insieme agli
operatori per definire nuovi livelli comuni di sicurezza, attraverso un piano di Standard
nazionali dedicati alle infrastrutture critiche. Tale Autorit dovrebbe lavorare in piena
sinergia con le controparti europee ed extraeuropee, in modo da poter beneficiare di
approcci globali, pi efficaci ed efficienti per gli operatori.

The Innovation Group - 2013

| 36

Lofferta HP in ambito Security si arricchita negli ultimi anni di soluzioni avanzate


per la protezione dei rischi informatici, con una proposta di servizi correlata, allo
scopo di guidare e supportare le aziende durante tutte le fasi della realizzazione di
un sistema per la gestione della sicurezza delle informazioni. La piattaforma di
offerta Security Intelligence Platform di HP include soluzioni derivanti da
numerose acquisizioni di societ leader di mercato - quali ArcSight, Fortify e
TippingPoint - e consente di indirizzare in maniera integrata e proattiva aspetti di
analisi e correlazione degli eventi, sicurezza delle applicazioni e meccanismi di difesa
dalle intrusioni in ottica end-to-end. Nello specifico, le soluzioni di security offerte
da HP sono:

Network Security: HP TippingPoint Next Generation Intrusion Prevention


System (NGIPS); HP TippingPoint SSL Solutions.

Application Security: HP Fortify Software Security Center Server.

Data Security: Data Security: Atalla Payments e Data Security.

Security Intelligence: HP TippingPoint Security Management System,


Arcsight Information Security.

Virtualization Security: HP TippingPoint CloudArmour.

Inoltre, HP, in qualit di Solution Provider, differenziandosi in questo senso dai


vendor propriamente di prodotti di sicurezza, mette a disposizione soluzioni end-toend di security volte a risolvere problematiche delle aziende, come ad esempio:

Advanced Persistent Threat: prevenire incidenti legati a minacce APT.

Cloud Security: soluzione per essere compliant alle norme e prevenire le


minacce associate a infrastrutture Cloud.

Data Loss Monitoring: servizio di intelligence per proteggere i dati sensibili.

Insider Threat: soluzione per avere visibilit sulle minacce interne.

IT Risk Management e Compliance: servizio globale per essere compliant


alle principali norme che impattano sulla security (SOX, PCI, FISMA, HIPAA).

Mobile Application Security: soluzione per ridurre i rischi associati


allutilizzo di terminali Mobile (iPhone, iPad and Android).

Software Security Assurance: utilizzo di servizi e tecnologie avanzate per


introdurre in azienda modelli di sviluppo e test sicuro del software.

HP conta oggi pi di 3.000 professionisti nelle proprie strutture di Security e un


portafoglio di servizi tecnologici, di consulenza e gestiti (Managed Security Services)
che includono una metodologia proprietaria di Risk Analysis (A.T.O.M. Access,
Trasform, Optimize, Manage). La societ si rivolge ai propri clienti sia direttamente,
sia attraverso la propria rete di partner. Ha stipulato alleanze con i principali vendor
di Security internazionali allo scopo di integrare la propria offerta di tecnologie,
nellottica di proporsi sul mercato come un player in grado di indirizzare qualsiasi
esigenza di Security dei propri clienti.

The Innovation Group - 2013

| 37

IBM negli ultimi anni ha incrementato notevolmente il portafoglio dei prodotti


hardware e software di Security, grazie a una politica di acquisizioni mirate. Le
acquisizioni pi recenti sono state quelle della societ BigFix nel 2010, relativamente
ai prodotti di endpoint management, e Q1 Labs, nel 2011, per la soluzione QRadar di
security intelligence software. Grazie alla disponibilit di un framework complessivo
hardware, software, servizi professionali e Managed Security Services a supporto,
IBM si propone come solution provider nellambito della Security, in grado di
risolvere esigenze end-to-end dei propri clienti. La piattaforma IBM di soluzioni di
security copre i seguenti layer:

Application Security: soluzioni per produrre e mantenere in sicurezza le


applicazioni mobile e web, costruendo layer di protezione attraverso tutte
le fasi del ciclo di sviluppo e di vita del software.

Identity e Access Management: gestione delle identit (assegnazione di


diritti di accesso, change management relativo a ruoli e privilegi,
deprovisioning), e degli accessi (secure authentication,single sign-on (SSO),
enforcement delle policy di accesso), monitoring, auditing, reporting sulle
attivit degli utenti.

Data Security: discovery e classificazione di dati critici, protezione dei dati


(masking, encryption, monitoraggio degli accessi ai dati, compliance,
protezione sia fisica sia virtuale, nel Cloud).

Infrastructure Security: piattaforma Advanced Threat Protection Platform


(ATPP) relativa ad aspetti di network security (IPS appliances) e endpoint
security.

Security Intelligence: soluzione QRadar, rileva in automatico potenziali


vulnerabilit e azioni contrarie alle policy aziendali. Comprende funzioni
analitiche e di correlazione dei dati provenienti da centinaia di fonti
attraverso lorganizzazione.

Anche il portafoglio di servizi di sicurezza di IBM molto ricco e fa riferimento al


Security Framework di IBM, sfruttando le potenzialit dei prodotti software, gli asset
e le capacit dei Security Operation Centers, dei laboratori e dei centri di ricerca, per
mettere a disposizione dei clienti funzionalit di security intelligence per essere
proattivi nell'identificazione e nella gestione degli incidenti. Tra questi citiamo
lEmergency Response Service (ERS, per prepararsi, gestire e rispondere agli
incidenti di Cybersecurity in modo efficace); il servizio di Security Operations
Optimization (aiuta a valutare il livello delle soluzioni e dei processi di gestione della
sicurezza); i nuovi Managed Security Services focalizzati alla gestione delle
infrastrutture SIEM (Security Information and Event Management) e il nuovo servizio
gestito per la protezione da attacchi DDoS. Il modello di go-to-market IBM, che vede
in Italia una crescita degli investimenti per le soluzioni di Security, misto, in parte
diretto (soprattutto verso clienti di grandi dimensioni come banche e PA), in parte
attraverso i partner di canale, con cui coprire le esigenze di organizzazioni di minore
dimensione distribuite sul territorio.

The Innovation Group - 2013

| 38

Hanno collaborato alla realizzazione del White Paper:


Elena Vaciago, Research Manager, The Innovation Group
Camilla Bellini, Junior Analyst, The Innovation Group
Michele Ghisetti, Junior Analyst, The Innovation Group

Ringraziamo inoltre per il loro contributo:


Alberto Manfredi, Presidente di Cloud Security Alliance Italy
Andrea Rigoni, Direttore Generale della Fondazione Global Cyber Security Center
Giuseppe Vaciago, Avvocato Penalista in ICT Law

The Innovation Group (TIG) una societ di servizi di consulenza direzionale, advisory e ricerca
indipendente fondata da Roberto Masiero ed Ezio Viola, specializzata nella innovazione del
Business e dei processi aziendali attraverso lutilizzo delle tecnologie digitali e delle nuove
tecnologie della conoscenza. Si rivolge ad Aziende ed Organizzazioni che desiderano sviluppare
strategie di crescita attraverso programmi, iniziative e progetti di innovazione del Business, di go
to market, di produzione e gestione integrata della conoscenza interna ed esterna dellazienda
tramite le tecnologie ICT.
The Innovation Group formato da un Team con esperienze consolidate, sia a livello locale sia
internazionale, si avvale del contributo di partnership strategiche con Aziende e Istituti
internazionali che garantiscono un forte e continuo sviluppo di ricerca e di conoscenza dei mercati,
delle tecnologie e delle migliori pratiche nei principali settori verticali. Alle Aziende e alle
Organizzazioni The Innovation Group si propone con un approccio pragmatico, volto ad affiancarle
ed accompagnarle nella fase di realizzazione di piani strategici, per valorizzare le risorse e le
capacit esistenti allinterno e prendere le decisioni pi utili in tempi rapidi.
The Innovation Group si avvale di forti partnership internazionali per la ricerca e la conoscenza di
mercati, tecnologie e best practice.

Tutte le informazioni/i contenuti presenti sono di propriet esclusiva di The Innovation Group (TIG) e sono da
riferirsi al momento della pubblicazione. Nessuna informazione o parte del report pu essere copiata,
modificata, ripubblicata, caricata, trasmessa, postata o distribuita in alcuna forma senza un permesso scritto
da parte di TIG. Luso non autorizzato delle informazioni / i contenuti della presente pubblicazione viola il
copyright e comporta penalit per chi lo commette.

Copyright 2013 The Innovation Group.

The Innovation Group - 2013

| 39

The Innovation Group - 2013

| 40