DIECI MODI con cui i reparti IT facilitano il crimine informatico

Transcript

1 Whitepaper DIECI MODI con cui i reparti IT facilitano il crimine informatico Be Ready for What s Next.

2 Dieci modi con cui i reparti IT facilitano il crimine informatico Prima di leggere questo documento vi invitiamo ad approfondire il white paper Guerra in corso a livello di endpoint di Kaspersky Lab (nella sezione risorse) che si concentra sul vero obiettivo dei criminali informatici: gli endpoint o i dipendenti. Questo white paper si concentra su come i reparti IT facilitano inconsapevolmente il crimine informatico consentendo ai criminali informatici di accedere a sistemi e ai dati aziendali attraverso una serie di idee sbagliate e di false assunzioni. I collaboratori hanno la continua esigenza di accedere ad internet e sempre più lo fanno con diversi supporti che le aziende mettono a loro disposizione; allo stesso tempo anche le aziende iniziano a richiedere ai dipendenti l utilizzo sempre più frequenti di numerosi devices. La mobilità dei dipendenti e dei dati aziendali presenta una sfida sempre più impegnativa per le aziende e mantenersi al passo con la crescita esponenziale delle minacce poste dai criminali informatici è una prospettiva confusa e incerta. Il risultato è che spesso, senza che ne siano consapevoli, molti reparti IT sono diventati complici dei criminali informatici. Questo documento spiega 10 modi modi in cui i reparti IT delle aziende facilitano il crimine informatico nei loro ambienti IT e fornisce alcune linee per bloccarli basate su ricerche di terze parti e su analisi svolte dagli esperti di Kaspersky Lab. 3

3 Fattore #1 Assumere che i dati si trovino nel data center Consideriamo il fatto che la maggior parte dei dirigenti di un azienda ha una copia delle proprie sul proprio smartphone (iphone, BlackBerry e così via), una seconda copia sul laptop e una terza copia sul server di posta aziendale. Questo dimostra chiaramente che la quantità di dati al di fuori del data center è il doppio di quella dei dati all interno. Se poi si aggiungono le numerose chiavette USB, i CD, i backup, le soluzioni basate sul cloud e l interscambio di dati con i partner dell azienda, questo numero supera facilmente quanto si considera normalmente. Istintivamente si capisce come i dati non siano contenuti soltanto nel data center e tuttavia i reparti IT delle aziende li trattano ancora come se fossero lì. Per quale motivo si dovrebbe spendere una quantità sproporzionata di tempo e di denaro per rinforzare il perimetro del data center con tecnologie quali autenticazione, gestione degli accessi, firewall, prevenzione delle intrusioni nella rete e così via? Con questo non intendiamo dire che queste tecnologie non siano importanti. Lo sono senz altro, però dobbiamo concentrarci sugli endpoint, su cui risiedono attualmente i nostri dati. I dati non vivono in silos, si muovono liberamente al di fuori del data center. In effetti, una ricerca condotta da IDC mostra come desktop e laptop rappresentino la preoccupazione più seria in termini di prevenzione della perdita di dati (DLP, Data Loss Prevention). Gli endpoint rappresentano la fonte di rischio più immediata per la perdita dei dati. I dati di IDC mostrano anche che la mobilità è il primo fattore considerato per le nuove spese per la sicurezza, suggerendo come sempre di più le organizzazioni prestino maggiore attenzione e investano in misure di sicurezza al di fuori dei perimetri dei data center. 4

4 Fattore #2 Mancato riconoscimento del valore dei dati sui dispositivi mobili Il vostro tempo è inestimabile. Le innumerevoli ore spese creando report e analizzando dati per prendere decisioni consapevoli, i weekend passati su e presentazioni ed eseguendo le due diligence di opportunità per l azienda fa si che una grande quantità di dati preziosi risultino caricati soltanto su sistemi portatili. E tuttavia i reparti IT trattano un laptop come una bottiglia di un qualunque soft drink. Quando un dispositivo viene perso o rubato, l indennizzo dell assicurazione considera solo il valore della bottiglia vuota, ignorando tutti i dati che erano contenuti nel dispositivo. Per questo motivo, gli schemi di protezione dei dispositivi mobili si rivolgono in genere al valore del dispositivo, invece di considerare il valore dei dati. Il fatto è che spesso il valore dei dati sul dispositivo supera di gran lunga, anche di centinaia di volte, il valore del dispositivo stesso. L utilizzo di tecnologie anti-malware, antifurto e di protezione della privacy per i dispositivi mobili è un buon punto di partenza per affrontare il problema della protezione dei dati mobili. Tra le aziende vige l usanza di consentire agli utenti, almeno a livello dirigenziale, di scegliere il modello preferito quando vengono acquistati dispositivi mobili per l azienda quali laptop o smart phone. Il numero crescente di iphone supportati su reti aziendali è un facile esempio. Sfortunatamente, la maggior parte delle persone nelle società sono più preoccupate del costo e del tempo di sostituzione del dispositivo che non del valore dei dati che risiedono su di esso. I dipendenti vengono dotati di dispositivi scelti da loro invece di dispositivi ottimizzati per tecnologie gestite anti-malware, antifurto e di protezione della privacy. Il risultato è una varietà sempre maggiore di dispositivi, sistemi operativi, provider di servizi di rete, profili di sicurezza e di altre tecnologie di sicurezza all interno della rete aziendale. Per le organizzazioni con personale addetto alla sicurezza ridotto, la necessità di garantire la sicurezza attraverso più piattaforme può superare la loro capacità di fornire supporto. 5

5 Fattore #3 Trattare laptop e dispositivi mobili come asset aziendali che non vengono mai usati a scopo personale e pensare che i dati della società non vengano mai trasferiti sui sistemi di casa Non possiamo più presumere che gli asset aziendali vengano utilizzati esclusivamente per lavoro. I laptop, ad esempio, sono il principale strumento di comunicazione per molte persone che viaggiano per lavoro. Basti pensare ai social network per mantenere le propri relazioni personali e ad applicazioni come Skype per eseguire chiamate internazionali in modo economico. Questa trasformazione di asset aziendali in strumenti consumer è in corso e in crescita da anni e, come abbiamo visto in precedenza, i dipendenti iniziano ad aspettarsi flessibilità e autonomia nella scelta di dispositivi gestiti dalla società. Molti dipendenti utilizzano il proprio computer personale per accedere ai propri dati dopo l orario di lavoro. Se non sono correttamente protetti, tali dispositivi rischiano di compromettere notevolemente la sicurezza. L utilizzo di policy e di software di sicurezza è fondamentale per garantire che i dati siano quanto più possibile protetti. Anche per questo molte società estendono gli investimenti nel software di sicurezza e forniscono licenze ai propri dipendenti allo scopo di allargare l ombrello di protezione. Qualsiasi informazione archiviata all interno del perimetro aziendale su dispositivi mobili quali smartphone, laptop o netbook andrebbe necessariamente crittografata perché tali dispositivi possono essere facilmente dimenticati, persi o rubati. 6

6 Fattore #4 Trattare i dispositivi mobili come desktop Alcuni anni fa, le reti IT aziendali erano definite da un perimetro solido. Le tecnologie di protezione delineavano chiaramente cosa era interno alla rete e cosa ne era estraneo, analogamente al fossato che circondava i castelli medievali. I dispositivi esterni erano considerati non affidabili e quelli interni beneficiavano della protezione offerta dal firewall aziendale, come se fossero le mura di un castello. Oggi, in tutto il mondo, le aziende considerano sempre più vantaggioso avere dipendenti che lavorano in remoto e/o in movimento. I miglioramenti della tecnologia mobile hanno consentito alle società di creare dipendenti sempre connessi che possono avere accesso completo a risorse aziendali critiche, quali applicazioni e posta elettronica, da qualsiasi punto del mondo si trovino mentre sono in viaggio. Tale accesso avviene anche e sempre più spesso attraverso i dispositivi palmari. I dipendenti mobili accedono alle reti e ai dati delle aziende da aeroporti, alberghi e connessioni Internet sugli aerei: tutte connessioni non sicure. Di conseguenza, è difficile restringere la normale giornata lavorativa tra le 9 e le 17. Le persone lavorano a qualsiasi ora, accedendo alle informazioni più aggiornate, rispondendo immediatamente ai clienti e occupandosi ogni giorno di un maggior numero di attività. Questo ambiente, tuttavia, ha creato per le aziende nuove vulnerabilità che verranno probabilmente prese di mira dalle minacce emergenti (Mobile Security IDC.) Una rigorosa policy di sicurezza per i laptop è fondamentalmente diversa da quella per i computer desktop. I computer desktop sono spesso utilizzati solo in ufficio e non richiedono tecnologie specifiche quali i firewall personali. Per i laptop, invece, è necessario essere preparati a situazioni diverse. Quando lasciano la sicurezza della rete aziendale, è necessario che il livello di sicurezza venga automaticamente innalzato. Misure di sicurezza quali attivazione di un firewall, disattivazione di connessioni Bluetooth e wireless non protette da password e scansioni più approfondite dei dispositivi USB, devono essere attivate automaticamente ogni volta che un laptop lascia la rete aziendale. 7

7 Fattore #5 Adozione di social network senza protezione I social network sono ormai una realtà consolidata. Questa è una nuova impareggiabile tecnologia è richiesta sempre da più soggetti e parti in azienda per accrescere il business e, se utilizzata correttamente, può essere di notevole aiuto. Dieci anni fa, la pressione sui reparti IT era volta ad ottenere un accesso base a Internet. Quindi è giunta la richiesta di aziendale e, successivamente di applicazioni di Instant Messaging. Ciascuna di queste si è poi trasformata in uno strumento critico per l azienda. I social network sono semplicemente la moda successiva e dobbiamo essere preparati. Molte organizzazioni si stanno oggi domandando come consentire ai propri dipendenti l utilizzo di strumenti Web 2.0 in modo responsabile, senza sacrificare i requisiti di sicurezza e di conformità alle normative. Social network e tecnologie Web 2.0, se utilizzati in modo sicuro, possono aiutare le organizzazioni ad aumentare la collaborazione e la produttività e, in ultima analisi, i guadagni. L attenzione deve essere posta su come le organizzazioni possono adottare i social network in modo sicuro perché, salvo poche eccezioni, l aperto rifiuto dei social network si rivelerà probabilmente impraticabile. È essenziale stabilire una policy formale per il controllo degli accessi e la gestione dei social network. Ad esempio, se una società protegge il proprio perimetro dagli attacchi di malware, ma non stabilisce un controllo adeguato per l accesso ai social network, una banale svista di un dipendente potrebbe provocare un infezione nella rete aziendale causando direttamente o indirettamente significative perdite economiche. I social network costituiscono inoltre un possibile mezzo con cui i dipendenti potrebbero volontariamente o meno diffondere informazioni aziendali ai concorrenti. Con l eccezione di alcuni ambienti accademici molto controllati, bloccare i social network si rivelerà probabilmente impraticabile. Un approccio più pratico prevede l impiego di tecnologie che controllano attentamente il traffico attraverso i siti Web di social network e bloccano i siti ritenuti pericolosi. 8

8 Fattore #6 Attenzione sulla protezione rispetto a rilevamento e risposta La definizione di schemi di sicurezza completi coinvolge più capacità. Le capacità base sono protezione, rilevamento e risposta. Troppo spesso viene trascurata anche la qualità delle capacità di rilevamento e risposta. Come abbiamo riportato sopra, questi sono elementi fondamentali per la strategia di sicurezza. Sul mercato, inoltre, è presente un ampia gamma di capacità di protezione, prestazioni, gestione, distribuzione e supporto. In molte organizzazioni l attenzione si sta spostando verso tecnologie di sicurezza più nuove, quali DLP, crittografia e così via. Sono tutti strumenti utili ma ciò non evita che il numero di incidenti ed infezioni dovuti al malware continui a crescere. Un indagine svolta da IDC ha rivelato che il 46% delle aziende ha rilevato un aumento degli incidenti dovuti al malware, mentre solo il 16% segnala una diminuzione. L ambiente delle piccole-medie aziende ( dipendenti) ha mostrato la differenza maggiore, con il 44% che ha segnalato un aumento del malware e solo il 7% una sua diminuzione. Questo significa che il malware continua a superare queste misure di prevenzione avanzate, dimostrando che è necessario porre maggior enfasi sulle capacità di rilevamento e risposta. I reparti IT hanno investito in meccanismi di protezione a livello di gateway e tuttavia lasciano porte aperte ai dipendenti che navigano sul Web, senza porre in essere i meccanismi di rilevamento appropriati per garantire che i cybercriminali vengano individuati e bloccati in modo efficace. Poiché oggi i criminali informatici prendono di mira gli endpoint, è necessario distribuire valide tecnologie di rilevamento e risposta sugli endpoint per proteggerli da malware progettati da criminali informatici per rubare dati, credenziali e denaro. 9

9 Fattore #7 Mancata creazione di una cultura della sicurezza La consapevolezza e la formazione degli utenti finali sono essenziali in tutte le fasi e a tutti i livelli di sicurezza dell azienda. Ad esempio, è necessario spiegare ai dipendenti come difendere se stessi da codici nocivi, navigare in modo sicuro, evitare spyware e scareware e le regole utili con gli allegati delle . Allo stesso tempo, anche policy da adottare per le password devono essere comunicate chiaramente, monitorate e ripetute costantemente. La consapevolezza delle minacce, del loro impatto e dei metodi di proliferazione aiuta a mantenere vigili gli utenti e costituisce un deterrente dal prendere decisioni improprie che potrebbero infettare i loro endpoint e da li anche l azienda. Campagne di consapevolezza sulla sicurezza condotte periodicamente sono essenziali per mantenere i dipendenti informati e protetti. Naturalmente, è molto importante che il personale IT sia ben istruito sulle tecnologie e i vettori delle minacce attuali, in modo che possano prendere decisioni consapevoli in merito alle tecnologie di protezione e prevenzione. 10

10 Fattore #8 Ridotta segnalazione delle violazioni della sicurezza Sebbene le violazioni della sicurezza perpetrate dai criminali informatici siano aumentate più del 23% e il costo legato a tali violazioni sia più che raddoppiato, questa è solo la punta dell iceberg. Questi dati, rilasciati dalla FBI, sono fuorvianti perché le società in genere non fanno adeguate segnalazioni quando subiscono violazioni informatiche. Le aziende semplicemente non desiderano che il mondo che ruota intorno a loro sappia che hanno subito delle violazioni per paura di possibili effetti negativi sulle loro azioni, sul marchio e sulla reputazione della società stessa. Anche se questo impulso a nascondere il danno subito è naturale, il risultato che se ne determina è una rappresentazione distorta della crescita delle minacce su Internet. Ridurre le segnalazioni dà alle società la falsa impressione che la minaccia del malware sia ridotta e che la crescita dei crimini informatici sia sovrastimata. In realtà le minacce sono cresciute ben oltre il 23%, l FBI semplicemente non può quantificarlo a causa delle violazioni che ogni giorno non vengono segnalate. Società come la vostra trarranno grandi vantaggi dalla conoscenza di quante violazioni si sono verificate, di come sono state perpetrate e di come possono proteggersi da attacchi simili. 11

11 Fattore #9 Stabilire le conformità La conformità alle normative e la sicurezza IT non sono sempre sinonimi. Può essere facile essere conformi con una normativa e tuttavia non essere per niente sicuri. Molte organizzazioni guardano alla protezione dal malware come la voce di un elenco da spuntare: Devo averla e devo mantenerla, ma il mio compito finisce qui. La conformità alle normative implica spesso un approccio top-down. Spesso le aziende si adattano pedissequamente alla normativa senza chiedersi se il modello così attuato è quello più indicato alla loro realtà. Le società devono esaminare i propri prodotti e procedure per riuscire a capire come possono adattarsi al modello richiesto dalle normative. La sicurezza, d altra parte, è un iniziativa bottom-up quando viene implementata correttamente. Elementi di sicurezza devono sempre essere inclusi nella progettazione sia di un prodotto software sia dell architettura della rete dell organizzazione. Quando si progetta l architettura di un prodotto, ad esempio, come passo iniziale è opportuno descrivere comunicazione, localizzazione, versi oni e così via, quindi devono essere descritti gli elementi di sicurezza che è necessario incorporare nell applicazione fin dal primo giorno. Gli elementi di sicurezza devono essere rivisti e raffinati nel corso dello sviluppo. La conformità può fornire un illusione di sicurezza a quanti non comprendono la complessità insita nel garantire la sicurezza del mondo digitale. La conformità alle normative presa da sola non può essere l obiettivo finale. 12

12 Fattore #10 Pensare che tutto vada bene Sebbene i sistemi possano essere a prova di bomba, in ultima analisi sono gli esseri umani a utilizzarli. In molti casi i problemi sorgono dall elemento umano: un semplice errore involontario o la mancanza delle competenze e delle best practice necessarie. Il personale della società deve essere addestrato sulla gestione delle informazioni, in particolare su come reagire a situazioni specifiche, come seguire policy e procedure di sicurezza chiare e a livello aziendale, come evitare il malware essendo diligenti e attenti e, nel caso il malware sia già penetrato nella rete, come agire correttamente per rendere sicuri i dati ed evitare ulteriori perdite. Pensate seriamente alla probabilità che un evento inerente la sicurezza si verifichi nella vostra impresa. Tutti noi possiamo svolgere un lavoro migliore assicurandoci che i dati critici e più importanti dell azienda non cadano in mani sbagliate. 12

13 Riepilogo Ogni giorno i criminali informatici trovano nuovi modi per infiltrarsi negli endpoint aziendali al solo scopo di sottrarre dati e denaro. Secondo il report The Top Cyber Security Risks di SANS.org, le società perdono ogni giorno migliaia di dollari pur ritenendo di essere al sicuro. Tutti noi possiamo svolgere un lavoro migliore assicurandoci che i dati critici e più importanti dell azienda non cadano in mani sbagliate. Kaspersky Lab Italy sales.corporate@kaspersky.it qt5a 12