L’insieme delle metodologie e strategie atte a consolidare la sicurezza dei sistemi informativi aziendali è noto agli addetti come Hardening, ossia rafforzamento. In altri termini, si può parlare anche di VAM (Vulnerability Assessment and Migration), per focalizzare sulle modalità di intervento su tali sistemi.
Per garantirne l’inattaccabilità, sia interna che esterna, è necessario compiere alcuni passi che permettano innanzitutto di individuare le possibili vulnerabilità e definire le procedure di messa in atto delle più efficaci difese, che riducano quanto più possibile i rischi connessi.
Il VAM opera in tal senso, ovvero definisce i test per poter individuare le possibili falle di un determinato sistema e intervenire per migliorarne l’affidabilità prevenendo attacchi basati sulle vulnerabilità individuate.
Vale la pena evidenziare i motivi che spingono un’azienda a intraprendere un percorso di attuazione di procedure di sicurezza, per capire di conseguenza quali siano le risorse che necessitano di protezione.
La domanda quindi è «Cosa deve essere protetto, contro chi e come?».
Per poter analizzare nella sua complessità l’aspetto “strategie di sicurezza“, però, è necessario identificare prima alcuni capisaldi che permettano di focalizzare non solo sui mezzi, ma anche sulle procedure da attuare e, conseguentemente sui ruoli aziendali che devono essere coinvolti all’interno dell’azienda per intervenire in modo ordinato e controllato sui sistemi.
Per poter meglio comprendere tutti gli aspetti che interessano le attività di Hardening, in particolare dobbiamo definire ruoli e responsabilità all’interno dell’azienda, ovvero dobbiamo intervenire in merito all’Organizzazione. Inoltre è necessario procedere alla classificazione di ciò che va messo “in sicurezza”, si tratti di macchine, aree o dati etc..
Per introdurre un regime di sicurezza bisogna dotarsi di strumenti che rispondano a determinati requisiti e possano conseguentemente garantire il livello di sicurezza che si desidera raggiungere.
Tutto ciò risulta privo di significato se non si adotta un’adeguata Politica della sicurezza, ovvero se non si adottano dei comportamenti che siano coerenti con le tecnologie adottate ed i requisiti definiti.
Una volta individuati e definiti questi aspetti si è pronti per scegliere tra le tecnologie e gli strumenti hardware e software disponibili, quali siano da utilizzare per ottenere gli scopi prefissati.
Prima di tutto, quindi, cosa si intende con il termine generico di sicurezza aziendale?
L’insieme di strumenti e procedure atti a proteggere informazioni, beni e servizi da disastri, errori e manipolazioni che possano intervenire nella vita di ogni azienda compromettendone l’operatività in termini di riservatezza, correttezza, disponibilità e coerenza con i requisiti legali di gestione dei dati, ad esempio il D.Lgs. 196/2003.
Ormai non esiste azienda che non mantenga su supporto elettronico dati, informazioni, contratti e progetti, per non parlare di strategie di mercato, note interne, dati contabili, ordini e così via. Questo fa sì che quando si parla di sicurezza aziendale immediatamente l’attenzione venga posta ai sistemi informativi.
Credibilità, concorrenzialità e immagine potrebbero essere compromesse con conseguenze anche estreme. I competitor potrebbero, ad esempio, anticipare le strategie aziendali, vanificare gli investimenti di innovazione realizzati, acquisire quote di mercato.
Da anni i sistemi informativi sono soggetti ad attacchi più o meno generalizzati e l’evoluzione tecnologica fa la sua parte nell’incrementare il loro grado di vulnerabilità: le applicazioni oggi sono distribuite, operano a cavallo delle reti aziendali e spesso anche utilizzando dati o librerie esterne.
Rilevazioni Datapro Research riferiscono che i danni ai sistemi informativi aziendali sono causati soprattutto da errore umano (nel 52% dei casi), da accessi fraudolenti (10%), incendi (15%) e allagamenti (10%).
Ma chi causa questi danni? La stessa fonte indica che nell’80% dei casi si tratta degli impiegati stessi dell’azienda.
Quali sono invece i danni provocativolontariamente? Nel 44% dei casi si tratta di appropriazione di denaro (carte di credito etc.), mentre il danneggiamento di software ed il furto di informazioni si attestano entrambi sul 16% ciascuno, contro un 12% di alterazione dei dati.
Tra i requisiti di un sistema informativo aziendale protetto spiccano dunque:
riservatezza dei dati durante le trasmissioni; identificazione certa delle due parti coinvolte; sistema di monitoraggio delle attività; controllo degli accessi permessi differenziati di visibilità/operatività in base al ruolo; tutela da manipolazione o riutilizzo dei dati per ulteriori transazioni; accuratezza di processi e informazioni; riservatezza e integrità garantiti dello scambio dati;
disponibilità continua dei servizi.
Adottare misure di sicurezza non basta a garantire la protezione del proprio sistema aziendale: è necessario definire una politica della sicurezza preventiva, in modo da garantire protezione di processi e dati. Questo si ottiene mediante la definizione di procedure condivise e comprese ad ogni livello aziendale.
L’Istituto Britannico degli Standard (BSI) ha emanato dieci direttive atte a definire alcuni punti cardine che consentono di misurare il grado di sicurezza propri di un azienda:
- presenza di un documento atto a definire la politica della sicurezza
- identificazione di ruoli e responsabilità
- accurata formazione del personale sugli aspetti propri della sicurezza
- modalità di segnalazione di incidenti di sicurezza
- procedure di controllo di presenza di virus
- Processo di pianificazione continua
- Identificazione del rilascio di copie documentali
- propcedure per la manutenzione e distribuzione dei dati aziendali
- conformità ai requisiti di legge in merito al trattamento dei dati
- conformità alla politica della sicurezza.