Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta Personal computer. Mostra tutti i post
Visualizzazione post con etichetta Personal computer. Mostra tutti i post

mercoledì 11 gennaio 2017

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware

ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

  • Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
    • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
  • Devi in qualche maniera rispettare eventuali termini di legge
    • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
  • Quello che compri o implementi deve avere un senso
    • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

  • 100 euro … ma sei matto?
  • A che cosa serve tutto quel denaro li?
  • A miei tempi si usava la macchina da scrivere e tutto andava meglio
  • Non ci sono più le mezze stagioni
  • Piove governo ladro
  • Lei non sa chi sono io

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

  • La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
  • Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
  • Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
  • La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

  • Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
  • Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
  • Quanto mi costerà il ripristino alla funzionalità normale?
  • Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
  • Vado incontro a conseguenze legali?

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware

ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

  • Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
    • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
  • Devi in qualche maniera rispettare eventuali termini di legge
    • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
  • Quello che compri o implementi deve avere un senso
    • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

  • 100 euro … ma sei matto?
  • A che cosa serve tutto quel denaro li?
  • A miei tempi si usava la macchina da scrivere e tutto andava meglio
  • Non ci sono più le mezze stagioni
  • Piove governo ladro
  • Lei non sa chi sono io

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

  • La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
  • Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
  • Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
  • La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

  • Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
  • Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
  • Quanto mi costerà il ripristino alla funzionalità normale?
  • Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
  • Vado incontro a conseguenze legali?

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

giovedì 6 ottobre 2011

Good Bye Steve

Image by Getty Images via @daylife

Is a sad moment for every tech fan.

Steve Jobs has design a big part of our world, with his vision and genius gave us tablets, smartphones, computer animation movies and so much things we today consider normal or simply cool.

He was nor a Saint or an Angel, but for sure a genius with an incredible talent to foresee and create the future.

We will miss his arrogance, because was the arrogance of someone who knows how to create the future.

He made us dream with his ideas, his talent and his strength.

Now we can only remember him and learn from his lessons: dare is never wrong.

I’ve never been an Apple fan (but a Pixar one for sure), I have windows and linux laptops at home, but I must say that is because of Steve if I have my android tablet and my blackberry smartphone, he design a path that everyone followed. This is genius, being able to understand people and give an expression to their desires.

He was one of the greatest actor of this comedy we call life, and I thank him.

Rest in Peace Steve, may the gods of Technology take you with them, you owned that seat.

 

Steve Jobs 1955-2011

 

martedì 18 gennaio 2011

Security Blogger Missing

Security Blogger Missing
[Dancho_Danchev_photo_2010.jpg]eSecurity Planet
By eSecurityPlanet Staff ZDNet’s Ryan Naraine reports that security blogger and malware researcher Dancho Danchev has been missing since August of 2010.

Security Blogger Missing

Security Blogger Missing
[Dancho_Danchev_photo_2010.jpg]eSecurity Planet
By eSecurityPlanet Staff ZDNet’s Ryan Naraine reports that security blogger and malware researcher Dancho Danchev has been missing since August of 2010.