Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

LO STATO DELL'ARTE

Sicurezza delle informazioni, le sfide 2019 per le aziende (e le soluzioni)

Occuparsi oggi di sicurezza delle informazioni, come di sicurezza dei dati personali, non può prescindere dall’iniziare a “fare ordine” nel modo con cui i dati circolano all’interno dell’azienda. Ecco le soluzioni per adottare un nuovo approccio nella data protection

06 Feb 2019
B

Luca Bechelli

Information & Cyber Security Advisor presso P4I - Partners4Innovation


Sicurezza delle informazioni e data protection sono state le parole chiave del 2018 per effetto degli adeguamenti al GDPR, ma ancora poche aziende possono sostenere di esercitare un controllo sui dati in modo capillare e con misure di sicurezza efficaci.

La sfida nel 2019 deve arrivare a nuovi livelli.

Il problema principale, e molti degli incidenti informatici che le aziende si trovano a valutare se segnalare all’Autorità Garante per la protezione dei dati personali lo dimostrano (almeno nell’esperienza di chi scrive), è che la circolazione delle informazioni in azienda e tra l’azienda e i suoi partner raggiunge livelli a dir poco “endemici”, riducendo sensibilmente ogni forma e capacità di controllo e gestione. Il mercato prova a rispondere con parole chiave come cifratura, sistemi di Data Leakage Prevention e di Digital Rights Management: non si tratta di una risposta errata, ma le priorità, forse, sono diverse.

Sicurezza delle informazioni: cosa è stato fatto fino ad oggi

Prendiamo un’azienda media o medio-grande, di un settore diverso da quello dei servizi IT, o bancari o sanitari (casi limite a cui si rivolgono tipicamente i fornitori di servizi consulenziali e di prodotti di sicurezza sia per capacità di spesa, sia per livello di maturità sulla sicurezza nonché per l’elevata criticità dei dati gestiti): questo è il tipo di azienda più diffuso in Italia e comprende tutti i settori in cui il nostro paese è leader o compete per il primo posto al mondo.

Questo tipo di realtà è caratterizzato dall’avere una forte componente di popolazione aziendale impiegata nei settori di produzione e/o vendita di prodotti e servizi, da fatturati che vanno dalle centinaia di milioni di euro ai miliardi, con un minimo di qualche migliaio di dipendenti e oltre.

Spesso strutturate in gruppi, con filiali e/o società impiantate in diverse parti dell’Italia e del mondo, tali aziende hanno reparti IT con addetti che, quando va bene, arrivano a qualche decina di unità. Questo tipo di realtà, per essere competitivo sul mercato, ha investito molto nella digitalizzazione dei propri processi e nella costruzione di sistemi centralizzati che consentissero di mantenere sotto controllo i dati importanti per il business, un percorso che è costantemente in evoluzione e che più di recente si è anche avvantaggiato dell’introduzione di servizi cloud. Ai fini di quanto diremo sotto, possiamo ritenere il cloud una forma di “consolidamento” e “centralizzazione” dei sistemi informativi aziendali, e conseguentemente delle informazioni aziendali più rilevanti.

Ridurre la proliferazione delle applicazioni mediante le quali sono gestite le informazioni aziendali, ponendoli sotto un’unica governance aziendale, costituisce un primo intervento di grande beneficio anche per la sicurezza: riducendo i “punti di controllo” (o ambiti dove possono presentarsi vulnerabilità) aumenta la capacità effettiva di implementare misure di protezione, controllarne l’efficacia, mantenerle aggiornate, monitorarne i casi di errore e le possibili violazioni. Ciò va letto anche in un’ottica di capacity, ovvero della possibilità di spesa (riducendo gli ambiti di controllo si riducono nel numero le soluzioni tecniche necessarie, o i costi di licenza ecc.) quanto delle competenze e del numero di persone necessarie per governare un contesto altrimenti eccessivamente eterogeneo e complesso.

La questione dei dati “non strutturati”

Se, da un lato, tale strada è ormai una pratica consolidata nella maggior parte dei casi, non è possibile affermare la stessa cosa riguardo alla gestione dei dati “non strutturati”.

Per dati “non strutturati” si intendono tipicamente le informazioni contenute all’interno di fogli elettronici, presentazioni, documenti di testo, in file che circolano secondo modalità più o meno definite all’interno dell’azienda.

Tali documenti costituiscono tipicamente la sorgente o la destinazione delle elaborazioni che sono svolte all’interno delle applicazioni aziendali (centralizzate). Possono essere ad esempio le specifiche di un componente che deve essere realizzato dall’impianto produttivo, la costruzione di un’offerta economica prima di essere caricata sul sistema CRM, oppure un’estrazione dal CRM stesso per determinare le statistiche di vendita, l’andamento degli ordini e via dicendo.

Non improbabile che, oltre a semplici documenti, nei reparti dove c’è l’esigenza di elaborare una grande quantità di dati “non strutturati”, si arrivi alla predisposizione di vere e proprie applicazioni (decentrate), spesso in esecuzione su PC o server posizionati sotto le scrivanie, connesse alle applicazioni centrali o direttamente ai loro database. A loro volta, tali applicazioni sono utilizzate per estrarre dati in ulteriori fogli elettronici.

In tale scenario, il come sono generati, dove sono conservati, a quali soggetti sono trasmessi, quando saranno cancellati i file “non strutturati”, sono questioni critiche per la sicurezza e per la conformità alle normative. Non solo: l’affidabilità dei contenuti, la loro “freschezza”, la validità nel tempo dei contenuti non è facilmente verificabile, e questo aspetto è tanto più rilevante quando tali documenti finiscono sulle scrivanie dei board aziendali per assumere delle decisioni.

Mettere ordine nei servizi applicative aziendali

Fui colpito, nei primi anni in cui mi occupavo di sicurezza, nel trovare affinità con la massima del pittore Escher “We adore chaos, because we love to produce order” (adoriamo il caos, perché amiamo produrre ordine) che rappresenta in modo inequivocabile una parte importante del mio lavoro e, più in generale, di coloro i quali si occupano di sistemi informativi in azienda.

Lo sforzo di fare ordine sui servizi applicativi aziendali deve essere necessariamente esteso alla circolazione di file in azienda, pena la possibilità che non sia un bravissimo hacker russo o cinese a rubare i dati, ma semplicemente che questi finiscano nei luoghi più improbabili e insicuri per incuria delle persone.

Quante volte riceviamo mail con dieci o più destinatari, inclusi fornitori esterni? Quante volte controlliamo che i destinatari siano corretti? Una volta che avranno il dato nelle loro mailbox, come ci assicuriamo che, nel tempo, ne facciano un uso corretto? E se il loro PC, o cellulare, venisse rubato? O semplicemente rivenduto, magari tramite internet, senza cancellare in modo idoneo i dati?

Ancora: si pensi alle reportistiche sul venduto, sui costi alla produzione, ai tariffari, allo storico del venduto ai clienti, destinate alla forza vendite, frequentemente costituita tanto da monomandatari che da plurimandatari, distribuita sul territorio, che “si arrangia” con strumenti aziendali e non per condividere a sua volta i dati con i clienti… è possibile garantire che questi soggetti assicurino, nel tempo, un livello di protezione adeguato? E quando cambieranno lavoro, cosa ne sarà dei documenti aziendali?

Analizzare le reali cause

Se, da un lato, potrebbero essere facilmente biasimate le motivazioni che portano ad aumentare l’entropia aziendale con la diffusione di dati in modalità ritenute non consone, più di frequente tale situazione ha origine da esigenze lavorative che non hanno trovato una risposta strutturata da parte dell’azienda, della sua IT o dai prodotti e dalle soluzioni del mercato. L’assenza di strumenti di collaboration o di workflow che accompagnino una fase di data entry, o di soluzioni efficaci di reporting personalizzato, sono le cause più frequenti di generazione di fogli elettronici che, nel tempo, assumono dimensioni mostruose e costituiscono un rischio di perdita di informazioni estremamente elevato.

Il ricorso stesso a servizi applicativi cloud non autorizzati dall’azienda, come ad esempio sistemi di file sharing, è poi il sintomo di una domanda sempre crescente di flessibilità da parte dell’utenza aziendale, ormai abituata ad una user experience veloce e semplice nella vita privata, che non ritrova per attività analoghe nella vita professionale.

L’insostenibile leggerezza delle soluzioni di sicurezza

Agli occhi dell’esperto di sicurezza delle informazioni, potrebbero facilmente balzare alla mente soluzioni “facili” come la cifratura, la data loss prevention e similari.

Niente di più sbagliato.

Cifrare il dato in un contesto destrutturato, dove i flussi delle informazioni sono disorganizzati e lasciati alla scelta autonoma, occasionale e momentanea, degli utenti, può avere solo due conseguenze:

  • rendere impossibile al collaboratore di svolgere il proprio lavoro, quando la misura di sicurezza si dimostra davvero efficace;
  • più frequentemente, dare adito a tutta una serie di condizioni eccezionali in cui la misura di sicurezza non sarà applicata, vanificandone il beneficio proprio là dove servirebbe.

Serve quindi un nuovo, diverso, approccio alla gestione delle esigenze aziendali, anche dal punto di vista della sicurezza. La risoluzione di problemi radicati da tempo non è solo specialistica (come nell’esempio precedente, valutare se cifrare i dati) in quanto produrrebbe solo una percezione di protezione che potrebbe alimentare, come un circolo vizioso, ulteriori problemi.

Piuttosto, deve aumentare la collaborazione interdisciplinare in azienda, volta all’attenta valutazione delle cause / esigenze che determinano il problema, e per definire un percorso di impegno congiunto di tutte le parti ad una progressiva risoluzione.

Innanzitutto, si evitino o si valutino con motivata perplessità le soluzioni facili e veloci. Se ogni foglio elettronico che circola incontrollato deriva da una esigenza ben precisa, la dimensione del problema è grande quanto il numero di requisiti diversi che dovranno essere recepiti e soddisfatti. Esiste poi un tema culturale e di fiducia tra aree aziendali che deve essere esso stesso rivalutato e riconfermato, prima che determinate soluzioni siano attuate da tutto il personale.

In secondo luogo, si valutino soluzioni, anche tecniche, di lunga prospettiva e che raccolgano il consenso degli utenti finali. Si pensi ad esempio al tema del reporting aziendale: utilizzare strumenti evoluti di analisi, business intelligence, aggregazione e rappresentazione dei dati che evitino di ricorrere al classico foglio elettronico per ottenere il risultato atteso, significa disporre di strumenti flessibili, ma anche facili da utilizzare da coloro ai quali sono rivolti.

Allo stesso modo, soluzioni di workflow management, quality management ecc., non possono essere scelte solo per le funzionalità “out of the box” su cui appiattire (oggi) i processi aziendali, quanto soprattutto per la capacità di personalizzazione facile e veloce che possono offrire nel tempo, anche in relazione alle competenze disponibili in azienda (non è pensabile che una banale modifica ad un workflow debba avvenire facendo venire in casa l’esperto del vendor da una lontana città con un preavviso, e quindi un tempo minimo di intervento, di un certo numero di giornate).

Dov’è la sicurezza in tutto questo?

C’è, e se buona, non si vede.

Deve essere “by design” radicata nelle nuove modalità operative che vengono costruite tramite la collaborazione aziendale.

Se ad esempio si utilizza uno strumento di reporting (reso adeguatamente sicuro e affidabile) anziché un foglio elettronico o una presentazione, l’informazione:

  • sarà sempre presente su un sistema centralizzato, anziché circolare in modo incontrollato sui PC e sulle caselle e-mail;
  • potrà essere condivisa, ma solo gli autorizzati potranno accedervi;
  • sarà mantenuta corretta, aggiornata, verificata;
  • ne potrà essere inibito l’accesso a coloro che perdono la qualità, il ruolo, che li autorizza ad accedervi;
  • sarà sempre disponibile, ai più alti livelli di servizio che l’azienda ritiene opportuni, e non inficiata da malfunzionamenti degli strumenti posti sotto il controllo degli utenti finali.

Inoltre, se si restringono le fonti dei dati ad un numero limitato di strumenti, o gli archivi verso cui le elaborazioni sono destinate, diviene finalmente possibile attuare con efficacia delle misure anche sui dati non strutturati. Sarebbe infatti possibile prevedere che il PDF o il foglio elettronico generato da un sistema di reporting sia cifrato o protetto da tecniche di DRM che ne limitino l’apertura solo a determinati soggetti autorizzati. Allo stesso modo, l’utilizzo di sistemi di workflow o di piattaforme collaborative limiterebbe la circolazione di contenuti nelle caselle e-mail, nelle aree condivise e sui desktop del personale, consentendo di applicare sul dato misure di controllo accessi e di protezione logico/fisica più restrittive.

Sicurezza delle informazioni: le priorità

È un’utopia porsi come obiettivo la completa eliminazione dei dati non strutturati. A tendere, non è neppure detto che in termini quantitativi i documenti elaborati sui PC diminuiranno.

Ciò che è ragionevole porsi come obiettivo è tuttavia limitare i casi in cui degli interi processi siano gestiti esclusivamente mediante tali mezzi.

È quindi importante inquadrare la tematica all’interno della strategia di sviluppo dei sistemi informativi aziendali, per capire in quali modi è possibile creare una discontinuità con il passato con il minimo impatto, e la massima collaborazione, sul personale.

L’azienda che sceglie di usare i “thin client”, ad esempio, ha l’opportunità di ridurre la circolazione di file spostando l’operatività degli utenti su piattaforme di file sharing e collaboration. Anche in questo caso, il dato si troverà sempre in unica copia su archivi centralizzati aziendali, a cui le persone potranno accedere in modo più ordinato che in passato. Il medesimo approccio viene sposato da coloro che avviano iniziative di smart working, o che devono rinnovare il parco di strumenti per una popolazione nomade, e ricorrono a più moderni tablet o dispositivi mobili.

Anche in ambito industriale l’uso di interfacce web di soluzioni di workfow trova un maggior consenso da parte degli operatori degli impianti rispetto al più desueto foglio elettronico, difficilmente utilizzabile sulle interfacce di macchinari e tablet e di cui non è possibile avere certezza dell’aggiornamento.

Lo spostamento verso servizi cloud pubblici, privati o ibridi è, a sua volta, un incentivo a questo cambiamento. Il dato, anche se non in azienda, è comunque in un perimetro logico ben determinato, su cui possono essere definite regole di accesso e utilizzo a livello aziendale. Se ne si tiene conto in fase di product selection, le soluzioni cloud possono disporre di interfacce per comunicare tramite molteplici protocolli diversi, rendendo possibile l’interscambio di dati tra l’azienda e la sua filiera di partner, con modalità che permettono di esercitare (più o meno limitatamente) delle forme di controllo.

E il buon caro, vecchio, foglio elettronico?

Come già detto, ci sarà sempre, ma sarà sempre più relegato alla produzione di contenuti specifici, non il cuore dell’elaborazione.

È molto diverso se il bilancio di un’impresa viene prodotto su un foglio elettronico, rispetto all’elaborazione di quadri di sintesi a partire da dati aggregati, estratti da un sistema centralizzato. Va da sé che il numero delle persone che si troverebbero ad usarlo si riduce talmente tanto nel numero, da rendere possibile l’attuazione di misure di sicurezza anche complesse, come la cifratura o i sistemi di Data Leakage Prevention.

Ci siamo arrivati, ma solo alla fine del percorso…

@RIPRODUZIONE RISERVATA

Articolo 1 di 4