Intervista a Dario Forte, esperto di It security, sui temi e sugli aspetti legali al centro delle strategie di protezione delle informazioni
Sui problemi chiave della sicurezza informatica nelle aziende abbiamo voluto sentire anche l’opinione autorevole di un esperto come Dario Forte, fondatore e amministratore delegato di DFlabs. La società di consulenza è certificata Iso 9001 e specializzata in information security, risk management e governance. Le sue attività (information security strategy, incident prevention and response, digital forensics, e-discovery, infosecurity training, intrusion prevention, log and vulnerability management) spaziano in diversi campi.
L’evoluzione del Web, con i social network, il cloud computing, le applicazioni di e-commerce, la pluralità di contenuti multimediali, i software proprietari e quelli open source, continua a complicare la protezione di sistemi, applicazioni, dati, reti e siti online. Secondo lei, in Italia come altrove, di quali minacce informatiche si deve oggi preoccupare maggiormente il mondo aziendale e perché? Si può parlare di categorie di aziende più a rischio?
«Non riteniamo che i social network siano fonte primaria e inedita di problematiche di sicurezza, in quanto si tratta semplicemente di un nuovo vestito per protocolli e point of failure già noti. Quello che invece inizia ad essere potenzialmente pericoloso è di sicuro il cloud computing, in quanto le aziende utenti si stanno concentrando troppo sugli aspetti operativi e di business, secondo una evidente strategia dettata dai costi, ma poco sulle tematiche di sicurezza e legali. A tal proposito non parlerei di settori verticali a rischio ma di segmenti aziendali orizzontali, da suddividersi per condizioni finanziarie aziendali. Dove la crisi ha colpito maggiormente, infatti, abbiamo notato una tendenza a muovere verso il cloud computing per risparmiare, ma per così dire alla cieca, senza cioè una strategia di risk management quantomai necessaria».
Quali sono gli strumenti chiave, tecnologici e organizzativi, che un’azienda dovrebbe attivare a livello di prevenzione o individuazione dei potenziali rischi o attacchi?
«Innanzitutto la strategia e la vision, mancante nella maggior parte dei casi che abbiamo analizzato. Un esempio è dato dall’applicazione del provvedimento del Garante sugli amministratori di sistema. Il mondo finance di fascia alta, dove la presenza di DFlabs è molto ampia, ha dimostrato di avere un commitment elevato e ha usato la leva del provvedimento 99/2008 per gestire strategicamente le problematiche di sicurezza al suo interno, con progetti di ampio respiro dove le misure per gli amministratori di sistema rappresentano solo una porzione. La parte rimanente del mondo enterprise, invece, si è mostrata ancora una volta legata primariamente alle tecnologie, confermando la sua scarsa visione strategica delle problematiche di security. Se da una parte ciò ha favorito alcuni vendor amanti del dumping, da un lato ha reintrodotto nei clienti quel famoso falso senso di sicurezza che tutti noi credevamo di aver allontanato per sempre. Ne riparleremo tra qualche mese. Ad ogni modo, in questo momento, è necessaria un’applicazione de facto del modello di controllo, in grado di garantire la prevenzione degli incidenti di sicurezza a partire dalle anomalie».
Quando un’azienda scopre di aver subito un attacco informatico e ne constata i danni, su quale supporto può contare a livello di computer forensic per raccogliere prove valide da portare eventualmente in sede processuale? Secondo la vostra percezione, quanto è oggi diffusa nelle organizzazioni la pratica di questa disciplina?
«Anche qui va differenziata l’utenza. In settori della domanda ove vi sono necessità di compliance, il livello di forensic awareness è adeguato, anche se in molti casi ancora reattivo. DFlabs si occupa di digital investigation, log e incident dalla sua nascita, nel 2004. Fa inoltre parte di un consorzio mondiale chiamato Esg, composto da 30 aziende che operano nello specifico settore internazionalmente. Nell’ultimo biennio abbiamo gestito oltre 200 terabyte di dati. Gran parte di essi è stata investigata come reazione a un problema o dopo l’intervento di terzi non qualificati. Ciò significa che le aziende non sono ancora preparate culturalmente, e intervengono quando i buoi sono già scappati o quando i loro fornitori di base si sono rivelati non idonei a risolvere i problemi. Fino allo scorso anno, infatti, la forensic era un settore attraente, dove si sono buttati tutti a capofitto. Tuttavia, a seguito di alcuni errori commessi da qualche operatore improvvisato, sono iniziate le prime cause di risarcimento danni e molti player hanno deciso di lasciare il mercato. Fino al 2014 la gestione della digital forensics e della e-discovery rimane un settore in crescita, ma con richiesta di professionalità. I maggiori tentativi di acquisizione da parte delle aziende più grandi di realtà specializzate avvengono in questo segmento».
In generale, secondo la sua percezione, quanti sono in Italia i casi in cui le aziende colpite e danneggiate da un attacco informatico, portando prove valide in tribunale, riescono alla fine a dimostrare il danno subìto e a ottenere un risarcimento?
«Sono più di quanti si possa immaginare. La nostra esperienza, infatti, ci ha confermato che la digital investigation è un’arma fondamentale, non solo per le richieste di risarcimento nei confronti degli impiegati infedeli e simili, ma anche per dimostrare la compliance con le normative locali, la 231/01, e internazionali come Sarbanes-Oxley Act, Federal Information Security Management Act e Federal Rule 26, alle quali anche le realtà nazionali devono sottostare se vogliono avere visibilità sui mercati, come ad esempio quelli anglosassoni. Il caso di Société Générale è l’esempio più lampante della necessità di avere un impianto efficace di prevenzione e repressione, mentre quello della Ferrari dello scorso anno ha dimostrato come sia possibile ottenere efficacemente i risarcimenti del caso».