Di fronte a uno scenario della sicurezza profondamente cambiato nel giro di pochi anni, è difficile pensare a un responsabile IT che non sia consapevole della nuova situazione e delle relative conseguenze. In particolare, il superamento del concetto di perimetro aziendale come è stato considerato a lungo, quale baluardo del patrimonio informativo aziendale su cui concentrare le difese. Eppure, il messaggio incontra ancora molta fatica nell’essere tradotto in pratica. «Negli Usa, un’azienda utilizza in media circa 201 applicazioni, indice di quanto ormai siano cruciali nella gestione del business – osserva Maurizio Desiderio, country manager Italy & Malta di F5 Networks -. Anche per questo, il 72% degli attacchi sono mirati al furto di identità, la strada più veloce per accedere ai dati. D’altra parte, il 90% della spesa in sicurezza IT resta dedicato al perimetro tradizionale».
Uno spunto interessante, indice di un divario ancora marcato tra funzione IT e percezione del problema sicurezza come elemento infrastrutturale da parte del management. «Un dipendente medio inizia a collegarsi ai dati aziendali prima ancora di arrivare in ufficio – prosegue Desiderio -. Dispositivi e connessioni sono sempre meno nel perimetro aziendale, anche se ogni passaggio finisce per interessarne sempre i dati. È il momento di pensare alla sicurezza in modo diverso, riequilibrare il rapporto di spesa». Una sfida non da poco, sia nei termini sia nelle prospettive, di fonte alla quale tuttavia non ci si può permettere di esitare. Prima di addentarsi nelle relative soluzioni, si rivela quindi importante un’analisi esterna.
«Secondo il nostro Rapporto 2016 OAD, Osservatorio Attacchi Digitali in Italia, negli ultimi anni il numero di aziende che ha rilevato intrusioni è stabile intorno al 40% – spiega Marco Bozzetti, presidente AIPSI, ideatore e curatore OAD -. In Italia, contiamo circa 6 milioni di partite IVA contro 3.006 aziende sopra i 250 dipendenti. Praticamente, siamo un paese di nano imprese e l’hacker in genere punta al grande obiettivo». Pur precisando come le ricerche siano condotte su un campione volontario e non studiato, le tendenze dal 2007 a oggi possono rappresentare uno spaccato sufficientemente affidabile, soprattutto a livello di tendenza. «Come facile intuire, al crescere della dimensione, cresce il numero di attacchi rilevati – precisa Bozzetti -. Le modalità più frequenti restano invece invariate. Si parla soprattutto di quattro modalità: malware e social engineering prima di tutto, seguite dal furto dei dispositivi e dal DDoS».
A fronte di una realtà sostanzialmente stabile, si contrappone una capacità di reazione per certi versi difficile da comprendere. «Tutto ormai ruota intorno alle applicazioni, dove la sicurezza resta per buona parte da verificare – lamenta Bozzetti -. L’attenzione resta bassa. Solo il 16% verifica un applicativo prima della messa in opera. Si fa relativamente bene quando si parla di backup, ma al di là l’attenzione scende. Meno del 50% si affida ad https, IPSec e simili». Inoltre, solo il 21% utilizza la cifratura per la conservazione dei dati, mentre il 13,4% dichiara addirittura di non prevedere l’utilizzo di alcun sistema a difesa mirata dei dati. Quelli, che con il 52,1% degli attacchi, risultano essere invece il primo obiettivo, con lo scopo di portare a termine una frode informatica. Il quadro di insieme, riconduce a un problema ormai noto da tempo. «L’aspetto della sicurezza è ormai solo per il 20% di natura tecnica, mentre il restante 80% è di tipo organizzativo – riflette Bozzetti -. Serve un maggiore coinvolgimento del top management, anche perchè ormai l’ICT è abilitante per qualsiasi attività aziendale. Se qualcosa non va, ne risente l’intera azienda».
Intervenire è prima di tutto compito dei rispettivi responsabili interni. Un importante aiuto, oltre a un’opportunità, può però arrivare dagli esperti del settore. «I due cardini più importanti sono la user identity e la protezione della applicazioni – interviene Paolo Arcagni, system engineer manager – Italy & Malta di F5 Networks -. Chi riesce a rubare l’identità ha automaticamente accesso alle applicazioni e ai dati senza ulteriori sforzi. Non serve più andare alla ricerca di vulnerabilità». Fermo restando un’attenzione da rivolgere alla difesa dei dati, in siti proprietari o in cloud, l’esigenza è bilanciare maggiormente l’attenzione, aumentando l’impegno verso l’utente e relativa identità. «Bisogna capire dove si trova e come si connette – riprende Arcagni -. Fare controlli sullo stato di salute del device, operare trasversalmente su tutti gli elementi di identificazione». A partire da accorgimenti tanto semplici quanto ancora sottovalutati, come per esempio il controllo geografico e temporale delle connessioni e relativi intervalli di tempo.
«L’altro baluardo, è la protezione delle applicazioni. Anche senza carpire le credenziali, una vulnerabilità permette di accedere ai dati passando dall’applicativo. Bisogna aggiungere altro, come la protezione ai sistemi DNS o il controllo SSL». È esattamente su ciascuno di questi aspetti, firewall tradizionali compresi, che F5 ha calibrato l’offerta, nell’ottica di tradurre in pratica il principio di sicurezza legata al dato e non più ai singoli elementi dell’infrastruttura. «Mettiamo in campo una serie di stopper per adattare le protezioni a ogni elemento – conclude Arcagni -. Il nostro approccio è avvicinarci il più possibile alle applicazioni con protezione a tutti i livelli. Sia nel data center sia nel cloud, mettiamo in campo una serie di moduli, hardware, software o ambienti virtualizzati a massima tutela dei dati digitali».