Perchè rischioblog

rischioblog è un contenitore di news provenienti da tutto il mondo e approfondimenti riguardanti le minacce interne alle aziende, ovvero violazioni alla sicurezza, frodi, fughe di dati.
Trovano spazio in questo blog le violazioni e le frodi che avrebbero potuto essere evitate o mitigate attraverso adeguati strumenti di controllo, tecnologici e procedurali.
Lo scopo di rischioblog è di alzare il livello di attenzione sul tema delle minacce interne all'azienda che spesso hanno conseguenze più pericolose di quelle originate all'esterno, ma che, per la loro natura più "silenziosa" non godono di un pari e adeguato trattamento.
Quando esaminiamo il mondo della sicurezza, risulta chiaro che la gestione delle minacce più “rumorose” riceve molta più attenzione e investimenti di quella rivolta alle minacce “silenziose”. Ancora oggi, gli investimenti in sicurezza si focalizzano sul “perimetro”, ovvero qualla frontiera immaginaria che separa gli utenti e i sistemi interni all’azienda dal mondo esterno.
Negli ultimi anni l’utilizzo dei sistemi e dei dati è cambiato: abbiamo reso l’informazione più accessibile dai browser, aumentato gli accessi remoti e ci stiamo sempre più affidando ai servizi distribuiti. Parallelemente, anche i rischi si sono evoluti: accanto a quelli già presenti relativi alle minacce interne, si sono affacciati nuovi rischi derivati dal nuovo modo di accesso ai dati.
Si è venuto a creare un divario nella distribuzione delle risorse di sicurezza: le minacce al perimetro aziendale sono tuttora costantemente tangibili, e da tempo ormai tutte le aziende si sono dotate di protezioni come i firewall; ma nuove minacce alle nostre informazioni richiedono diversi controlli di sicurezza.
È quindi corretto e opportuno adottare misure di sicurezza preventive e contenitive, ma non sempre l’investimento viene approvato, per diverse motivazioni. Il budget annuale prevede che vengano rinnovate le manutenzioni dei prodotti che già sono stati implementati, più altri (pochi) investimenti che normalmente devono essere messi in ordine di priorità. Delle varie misure di mitigazione dei rischi, solo quelle più ad alta priorità possono concorrere per trovare la giusta messa in opera.
Le minacce silenziose godono di considerazione negli investimenti solo successivamente a un grave incidente, o quando vengono promulgate nuove leggi o normative industriali. In questo modo spendiamo molto di più (in capitali, tempo e risorse) cercando di rendere sicuri i nostri sistemi e le nostre reti, piuttosto che il patrimonio informativo che costituisce il vero motore del nostro business.

Le motivazioni di un investimento
Di sicurezza nelle aziende se ne è sempre parlato, probabilmente da poco dopo la nascita delle prime società di uomini e capitali. La maggior strutturazione organizzativa degli ultimi decenni ha portato all’introduzioni di nuove funzioni dedicate alla sicurezza, ma il grande clamore su questo tema è partito solo dopo la diffusione dei primi virus e della connettività in Internet.
Le finalità delle minacce più insidiose non sono cambiate, ma hanno solo trovato nuovi canali di approccio: una volta si fotocopiavano documenti confidenziali cartacei, ora si accede a uno share di rete, si copia la cartella, la si crittografa e la si invia con una webmail.
Le frodi e il furto dei dati sono piaghe che le aziende hanno sempre dovuto affrontare. È innegabile che Denial-of-service, i virus, i worm, lo spam siano tuttora dei problemi, ma queste minacce sono più dei vettori che degli obiettivi finali.
Non si vuole parlare di calo di produttività, ma di rischi al funzionamento del business.
Com’è quindi possibile determinare i rischi più gravi e direzionare investimenti e spese per focalizzarsi sulle minacce primarie?
Esistono vari metodi per mostrare i benefici degli investimenti in sicurezza, ma quando si cerca di giustificare le spese in aree specifiche, la maggior parte di questi approcci non funziona: alcuni modelli cercano di misurare quello che non può essere misurato con accuratezza, altri si affidano a ragionamenti puramente qualitativi, producendo risultati la cui accuratezza è discutibile.
Altri modelli derivano da variazioni di formule economiche consolidate e progettate per recuperare efficienza o ritorni sugli investimenti. Spesso, però, investire in sicurezza non produce né fatturato né risultati quantificabili, e le giustificazioni sopra menzionate vengono vanificate.
È necessario focalizzarsi su vari metodi per fare comprendere la necessità di salvaguardia dei nostri dati e uno di essi è focalizzato sull’aumentare la cultura della sicurezza, o anche la Security Awareness, la consapevolezza che determinati rischi esistono e devono essere gestiti.
Laddove non esiste consapevolezza della gravità della minaccia, non può esistere volontà di mitigazione.
Prendiamo ad esempio un’ipotetica azienda i cui dipendenti hanno da sempre avuto un comportamento virtuoso nella navigazione su Internet, nella gestione dei dispositivi rimovibili, evitando di caricare software da chiavi USB o da CD non aziendali, e eliminando autonomamente le email sospette ancora prima di leggerle.
È molto difficile che in questa ipotetica azienda non sia mai stato installato un sistema antivirus o antispam, perché è ormai prassi consolidata introdurre misure di sicurezza contro un nemico ben visibile.
Consideriamo ora una realtà parallela alla nostra, dove non solo si parla di minacce ipotetiche, ma anche di attacchi andati a buon fine: parlo di una realtà dove si sa che l’azienda A ha subito un furto di dati, il dipendente dell’azienda B ha perso un laptop con informazioni confidenziali, che l’azienda C ha subito una frode da parte di un dipendente interno, e che l’azienda D ha avuto un fermo di produttività a causa di un sabotaggio da parte di un consulente scontento.
In questa realtà c’è molta focalizzazione sulla gestione dei rischi visti nella loro globalità, senza prediligere il versante esterno, ma bilanciando gli investimenti basandosi sull’effettiva gravità delle minacce.
A dire il vero, questa realtà esiste, per i primi due esempi, già negli USA e nel Regno Unito attraverso una serie di normative emanate negli ultimi anni che obbligano le aziende a denunciare ogni incidente di sicurezza che abbia avuto una qualche influenza sui fattori di Confidenzialità, Integrità e Disponibilità dei dati dei privati cittadini.
Non c’è molta informazione, invece, per gli ultimi due casi, se non andando a scartabellare nei verbali dei tribunali.
L'obiettivo di rischioblog è di portare a conoscenza del pubblico italiano della diffusione di questa realtà e di aumentare il livello di consapevolezza che le frodi e violazioni di sicurezza sono sempre presenti e devono essere previste e gestite con continuità.