La sfida della conformità è duplice: da un lato la gestione della rete impone il governo di un ambiente in continua rivoluzione. Dall’altro ci sono i comportamenti degli utenti. E allora come fare? Ce lo spiega un esperto.
Come dice Rodolfo Falcone, Country Manager di Check Point Software Technologies Italia, tutti speriamo che le nostre reti siano completamente protette e che le procedure e policy implementate siano conformi alle normative che regolano i differenti settori. Ma la speranza non sempre corrisponde alla realtà dei fatti.
La verità è che il panorama della sicurezza sta cambiando troppo velocemente perché le aziende riescano a essere sempre e totalmente sicure contro ogni tipo di minaccia.
«Nel corso del 2012 abbiamo eseguito controlli approfonditi di sicurezza sulle reti di circa 900 organizzazioni di tutto il mondo – osserva Falcone – e abbiamo scoperto che il 63% erano infette da bot di cui non erano a conoscenza. Tali bot comunicavano con i loro centri di controllo esterni almeno ogni due ore sottraendo attivamente i dati provenienti dalle reti delle aziende infette».
Si tratta di aziende, spiega, che già disponevano di più tecnologie di sicurezza (come firewall e antivirus) e nonostante ciò, sono state ugualmente infettate. Forse perché le loro soluzioni di sicurezza non sono state aggiornate regolarmente, o magari per una modifica apportata a livello di rete che ha introdotto una vulnerabilità non risolta.
In molti casi, spiega Falcone, queste infezioni derivano da email di spear-phishing, o da allegati infetti, indirizzate ai dipendenti. Oltretutto, i problemi di sicurezza non erano solo confinati alle reti: il 54% delle organizzazioni aveva riscontrato episodi di perdita di dati, a causa di email inviate per errore a un destinatario esterno, o di informazioni pubblicate erroneamente online.
Non sorprende Falcone, quindi, che a marzo la European Network and Information Security Agency (ENISA) abbia invocato un’azione per contrastare i trend emergenti di attacco informatico tra cui appunto lo spear-phishing.
Ma ENISA è andata oltre, raccomandando che istituzioni e imprese cerchino delle alternative alla posta elettronica, che proteggano meglio gli utenti da attacchi di spoofing o phishing, dando un segnale di riconoscimento che il compito di mantenere la sicurezza e la conformità della posta elettronica aziendale stava diventando un compito insormontabile per molte aziende.
I vari livelli della compliance
Questo scenario spinge Falcone a osservare che la sfida della compliance è duplice.
In primis la continua gestione della rete introduce cambiamenti quotidiani per i dispositivi e le topologie, e ogni modifica apportata, indipendentemente dalla sua entità, può influenzare la posizione dell’azienda rispetto alla conformità, specialmente nelle organizzazioni che contano più sedi, dove può essere difficile per i team It tener traccia di ciò che sta accadendo in ogni sito.
In secondo luogo, la conformità non riguarda solo l’IT, ma anche le azioni e i comportamenti delle persone, che sono inclini a cambiare altrettanto frequentemente rispetto alla rete. E poiché sempre più spesso le aziende sono chiamate a rispettare molteplici regimi normativi, l’implementazione di controlli e policy di sicurezza per rispondere a tali esigenze è diventata una sfida reale.
E questo è solo il primo passo verso la conformità: i sistemi devono anche essere monitorati o controllati regolarmente per garantirne la conformità, e presentare analisi di conformità per il reporting e l’auditing.
In che modo rispondono allora i responsabili It aziendali a queste richieste, quando non dispongono delle risorse o del personale per controllare continuamente gli event log di sistema?
Automatizzazione del controllo
Tenere il passo con tali requisiti, allora, per Falcone significa disporre di un monitoraggio in tempo reale e automatizzato della rete, delle configurazioni dei prodotti di sicurezza e delle policy, oltre che dell’impatto dei cambiamenti sulla sicurezza dell’organizzazione e sulla posizione in termini di compliance. Una visione da un’unica dashboard di rete consente ai team IT di tracciare e identificare i potenziali problemi a livello di traffico o connettività, e di evidenziare le aree a rischio per la sicurezza, come ad esempio la configurazione dei vari firewall di rete, e quali politiche e regole di sicurezza sono attive su quelli dispositivi.
L’automazione può offrire ai team IT la visibilità e la capacità di risposta per affrontare rapidamente i problemi di rete prima che si presentino rischi seri.
Ma in che modo il team IT può conoscere il livello esatto di conformità in un momento specifico, con le rispettive normative del settore?
Con i giusti strumenti di conformità è la risposta.
La compliance efficace è quella consapevole
Oltre a offrire una gestione avanzata della rete e della sicurezza, per Falcone uno strumento di compliance efficace dovrebbe essere in grado di valutare lo stato di gateway e dispositivi di sicurezza rispetto a una vasta casistica di best practice di sicurezza attuali, requisiti normativi e linee guida. La soluzione dovrebbe quindi monitorare automaticamente le modifiche effettuate a livello di policy e configurazioni, avvisare il team It sul possibile impatto di tali cambiamenti, e suggerire correzioni che consentono di mantenere la sicurezza e la conformità.
Altrettanto importante alla capacità di individuare e risolvere i problemi, è la possibilità di documentare lo stato di sicurezza dell’organizzazione, per dimostrare la conformità all’amministrazione e ai revisori esterni.
L’automazione aiuta le organizzazioni a non dover rincorrere la compliance, ma piuttosto a ottenerne il controllo.
La soluzione adatta può aiutare i team IT a rilevare i potenziali problemi; può evidenziare le aree a rischio e lo stato attuale di conformità attraverso il confronto con best practice e le normative più rilevanti in vigore, oltre che attraverso raccomandazioni adeguate a livello di sicurezza e conformità per mantenere la sicurezza e la conformità.
Così, se il cambiamento è inevitabile, il suo impatto sulla conformità e sulla sicurezza di un’organizzazione può essere minimizzato.