Informazioni personali

Cerca nel blog

Translate

Visualizzazione post con etichetta SlideShare. Mostra tutti i post
Visualizzazione post con etichetta SlideShare. Mostra tutti i post

venerdì 19 luglio 2013

FW SPAM: Ultimo sollecito attivazione sistema Sicurezza web Postepay

For my Italian friends, Postepay Spam

—–Original Message—–

From: Servizi finanziari Postepay [mailto:support@update.com]

Sent: Tuesday 16 July 2013 09:06

Subject: Ultimo sollecito attivazione sistema Sicurezza web Postepay

 

Gentile cliente,

 

 

Dal 17° luglio 2013 non potrai utilizzare la tua prepagata PostePay se non hai attivo il nuovo sistema di sicurezza web.

 

 

Il nuovo sistema di Sicurezza Web PostePay e una soluzione innovativa che garantisce maggiore sicurezza e affidabilita per le operazioni dispositive con PostePay effettuate online sui siti de Poste Italiane.

 

 

Il nuovo sistema per l`autorizzazione delle operazioni di pagamento (ricariche PostePay,ricariche telefoniche,pagamento bollettini) effettuate con la PostePay sui siti di Poste Italiane,prevede l`utilizzo di due strumenti:

 

 

1. La Carta PostePay

 

2. Il telefono cellulare “associato alla carta”,sul quale verra inviata via SMS la password dispositiva “usa e getta” denominata OTP(One Time Password) appositamente generata per ogni operazione di pagamento.

 

 

L`attivazione e semplice,gratuita e richiede 1 minuto.

 

Le alleghiamo la documentazione necessaria per attivare la protezione.

 

 

 

Cordiali Saluti,

 

Poste Italiane

giovedì 18 luglio 2013

Bring Your Own Device - parte 4 (dal webminar che ho tenuto per (ISC)2)

Tutto è in evoluzione….

image

Visto che tanto si parla di BYOD ma il supporto numerico spesso latita vediamo cosa è successo in termini di personal computing negli ultimi 10 anni. Risulta evidente come ci si presenti una situazione in cui i paradigmi sw e hw sono profondamente cambiati in termini di uso. Guardando ai sistemi operativi, ad esempio, si vede come una volta il mercato parlasse esclusivamente microsoft e in quota minore linux, mentre gli ultimi anni hanno visto una situazione dove almeno 4 sono i sistemi operativi di riferimento: mac OX iOS Windows e Android, con una presenza marginale di linux.

La inter-comunicabilità applicativa è stata gestita, come vediamo nella evoluzione dei trend software, da uno spostamento verso mobile application e cloud (SaaS) cosi come lo shifting delle interfacce verso multitouch e cosi via.

image

 

risulta estremamente chiaro dalla tabella presente come si siano evolute le interfacce e l’HW. Un tale movimento ha, nei fatti, ribaltato i paradigmi in uso negli anni 90. e form factor, interfacce, HW OS e Software sono estremamente diversi da quello che appariva in uso 20 anni fa, quanto sia cambiata la impostazione del disegno di una rete e dei suoi elementi costitutivi è tuttavia ancora oggi oggetto di dibattito: vi sono IT manager che non ritengono questi cambi tali da giustificare un diverso approccio alla rete mentre altri stanno abbracciando il nuovo ma con la sconsolante evidenza di ancora pochi riferimenti tecnici e culturali.

image

Volenti o nolenti comunque oggi il set standard di riferimento di un utilizzatore aziendale medio è portatile aziendale (circa il 100%) + telefono (50% personale 50% aziendale) + tablet personale (circa il 90/100% personale).

Possiamo fare finta che tutto sia fermo agli anni 90 ma nei fatti il mondo è profondamente diverso, vuoi per adesione alle mode, per necessità operative o finanziarie.

Del resto il mondo della tecnologia, non me ne vogliano i tecnici, è sempre stato guidato più da scelte marketing che da effettivi ed oggettivi riscontri tecnici, e il ritornare di tecnologie ed approcci ciclicamente nei nostri percorsi tecnologici ne è una evidenza.

image

Il punto focale è che lo spostamento che stiamo osservando oggi nei nostri modi di usare la tecnologia è sempre più orientato alla intercambiabilità.

Non importa il device, ma facciamo le stesse cose con tutti….. (insomma più o meno, io fartdroid non lo ho…sul portatile)

Questo uso si riflette, ovviamente, sulle statistiche di accesso ai dati e applicazioni aziendali.

Questi dati possono essere facilmente relazionati alle statistiche di outbreak delle policy aziendali: tanto più queste sono chiuse e costrittive tanto più gli utenti cercano scappatoie che consentano a loro di continuare ad essere produttivi anche in arre NON considerate dalla struttura aziendaleIT

image

si noti come  la presenza di device personali si sia allargata in solo un anno. Paesi più restii ad abbracciare le novità, ed a fornire nuovi devices ai propri utenti, come l’italia, vedono impatti di crescita ancora maggiori: se l’azienda non fornisce device “attuali” l’utente li sostituisce con i propri indipendentemente dai desiderata aziendali.

Questo fatto di per se non è ne positivo ne negativo, soppesare pro e contro e fare una corretta analisi economica è, a tutti gli effetti, il lavoro di un CSO e di un IT manager. L’introduzione, ad esempio, di device non aziendali potrebbe essere fonte di notevoli risparmi in termini di gestione ed acquisto, a patto di avere una struttura che sposti le competenze sulla sicurezza mobile e sulla sicurezza applicative, piuttosto che sul primo livello di supporto HW per il pc con immagine standard.

Che lo si voglia o meno comunque il trend è questo, e occorre reagire alla introduzione di questi oggetti all’interno della nostra vita lavorativa, cosa che ha costretto molti vertical ad adottare politiche di accettazione dei device personali, anche in feudi tradizionalmente restii, si veda il financial.

Non ci si lasci traviare però dai numeri, le statistiche ci dicono si che il financial è stato più reattivo, ma il motivo è semplicemente che gli altri settori sono meno reattivi e più laschi riguardo l’introduzione ufficiale di tali device rispetto un ambito ove la security è sempre stata considerata cardine, si pensi che al giorno d’oggi il 100% delle transazioni finanziarie avviene in forma telematica e si capisce la paranoia.image

Purtroppo la storica mancanza di sviluppo di modelli di gestione ed integrazione della sicurezza dei device mobili ha esasperato l’uso di vecchie piattaforme di sicurezza ed amministrazione portandole a deliranti, quanto attuali, realtà come descritto bene in questo grafico ove si vede che i più attenti hanno introdotto la bellezza di oltre 10000 regole, policy di gestione, per il BYOD.

image

Forse non è noto ai più ma uno dei primi cardini della gestione e della sicurezza è l’approccio Kiss «keep it simple stupid», maggiore è la complessità minore è la capacità della struttura di reagire agli eventi in maniera sia reattiva che proattiva; chiedete poi ai disgraziati che si occupano di forensic analisys cosa gli tocca fare per capire in quale ambiente stanno operando.

Ultimamente vanno di moda un sacco di surveystatistiche inerenti il BYOD, questo è un esempio vi riconoscete?

Si noti come in queste risposte si evinca la mancanza di un quadro generale e coerente, in cui management, sicurezza ed accesso ai flussi informativi non sembrano far parte dello stesso nucleo operativo…

image

Il paradosso è che, come abbiamo visto dall’escursus storico, molte delle problematiche sono presenti sin dagli anni 80, e dopo oltre un trentennio vengono alla luce come se fossero nuove.

image

Per affrontare correttamente la introduzione e gesione del BYOD occore fermarsi un attimo e pensare a come si sta gestendo il piu generale discorso mobile in azienda. Magari organizzandoci con una tabella di raffronto.vantaggisvantaggi:

VantaggiSvantaggi
Piace agli utentiNon piace all’ IT
Aumenta la produttivitàAumenta la complessità gestionale
Espande il perimetro lavorativoAumenta la superfice di rischio
Rende più flessibiliRende più flessibili
È coolNon posso standardizzare
Permette risparmi operativi di gestione ITNon riesco a giustificare porzioni di budget
Permette risparmi in termini di supportoComunque gli utenti mi chiamano

Quando cerchiamo di fare una tabella di vantaggi e svantaggi dovremmo cercare di vedere i diversi punti di vista. Talvolta una maggiore complessità operativa per l’IT significa realmente un vantaggio all’utenza, talvolta il voler porre regole di controllo da come risultato solo la costante violazione di queste ultime. Il vecchio esercizio dei buoni e cattivi è in questo senso estremamente utile e serve, si noti, non a decidere se il BYOD è un fenomeno da arrestare, ma a capire come gestirlo. Ognuno di questi punti di esempio, pro o contro, possono essere l’inizio di un lavoro di design della introduzione di byod che permetta la soddisfazione degli utenti e magari una semplificazione operativa, purtroppo occorre che facciano parte del gioco tutti i player, gli utilizzatori, l’IT ma anche chi decide regole aziendali (management e HR) in quanto l’attenzione ai flussi informativi, alle regole della privacy non sono più secondarie anche dal punto di vista legislativo.

MobileBYOD
Compro il deviceSiNo
Gestisco il deviceSiNo
Location controlNoNo
Network (IP) RulesSiNo
Privilegi AmministrativiNoNo
Controllo IdentitàNoNo
UsernamePasswordSiNo
Network Access ControlNoNo
Application Access ControlNoNo
AntivirusAntimalwareSiNo
Application Store ManagementNoNo

Una altra cosa utile da fare è mettersi a tavolino per fare un elenco di cosa si dovrebbe fare e cosa si fa per gestire sia l’attuale parco mobile che la sua evoluzione BYOD. Ci si rende di solito subito conto che spesso richieste imposte al BYOD non vengono attese neanche nel classico mondo mobile.

Classici esempi sono la gestione dei diritti amministrativi (quasi tutti i laptop sono con diritti amministrativi presenti), la mancanza di Application Access Control e la mancanza di identity management.

MobileBYOD
Data Protection (DLP)NoNo
Data EncryptionSiNo
Data Location controlNoNo
Geo IP RulesNoNo
Policy su furtoSi (parziali)No
IstruzioneNoNo
Segregazione Reti WirelessSiSi

esiste poi una evidente esigenza di inventory ed una analisi da fare eventualmente col vendorprovider per quello che concerne le licenze.

Queste ultime infatti rappresentano una area ancora abbastanza oscura, non esistendo ancora vere e proprie licenze BYOD al momento a parte i cloud services (magari con identità gestite via Saml) , rimane il dubbio di come gestire e registrare a norma applicativi che seppur acquistati da un soggetto vengono installati su un apparato di propietà di soggetti terzi.

da analizzare anche con attenzione sono le possibili implicazioni legali che possono sorgere in caso di infezionehacking o sospetto di uso improprio delle risorse aziendali (ma lo sono?)

in questo caso il consiglio è quello di rivolgersi ad una struttura legale specializzata nelle problematiche IT (interna od esterna all’azienda) per chiedere la stesura di una “liberatoria” che consenta in funzione di regole ben definite di determinare quali sono i limiti di accesso e di uso che l’azienda ha nei confronti del device personale del dipendente e, vicerversa, quali sono vincoli e limiti di accesso che ha l’utente ne portare tale device in rete.

La questione è solo apparentemente accademica, per quanto lasche confuse e talvolta deliranti esistono ovunque, anche in Italia, normative cui fare riferimento. esistono vincoli di responsabilità ad esempio da parte della azienda se dalla sua struttura parte un attaccoinfezione verso un altra, tanto per citare uno degli obblighi da valutare.

image

image

image

Bring Your Own Device - parte 4 (dal webminar che ho tenuto per (ISC)2)

Tutto è in evoluzione….

image

Visto che tanto si parla di BYOD ma il supporto numerico spesso latita vediamo cosa è successo in termini di personal computing negli ultimi 10 anni. Risulta evidente come ci si presenti una situazione in cui i paradigmi sw e hw sono profondamente cambiati in termini di uso. Guardando ai sistemi operativi, ad esempio, si vede come una volta il mercato parlasse esclusivamente microsoft e in quota minore linux, mentre gli ultimi anni hanno visto una situazione dove almeno 4 sono i sistemi operativi di riferimento: mac OX iOS Windows e Android, con una presenza marginale di linux.

La inter-comunicabilità applicativa è stata gestita, come vediamo nella evoluzione dei trend software, da uno spostamento verso mobile application e cloud (SaaS) cosi come lo shifting delle interfacce verso multitouch e cosi via.

image

 

risulta estremamente chiaro dalla tabella presente come si siano evolute le interfacce e l’HW. Un tale movimento ha, nei fatti, ribaltato i paradigmi in uso negli anni 90. e form factor, interfacce, HW OS e Software sono estremamente diversi da quello che appariva in uso 20 anni fa, quanto sia cambiata la impostazione del disegno di una rete e dei suoi elementi costitutivi è tuttavia ancora oggi oggetto di dibattito: vi sono IT manager che non ritengono questi cambi tali da giustificare un diverso approccio alla rete mentre altri stanno abbracciando il nuovo ma con la sconsolante evidenza di ancora pochi riferimenti tecnici e culturali.

image

Volenti o nolenti comunque oggi il set standard di riferimento di un utilizzatore aziendale medio è portatile aziendale (circa il 100%) + telefono (50% personale 50% aziendale) + tablet personale (circa il 90/100% personale).

Possiamo fare finta che tutto sia fermo agli anni 90 ma nei fatti il mondo è profondamente diverso, vuoi per adesione alle mode, per necessità operative o finanziarie.

Del resto il mondo della tecnologia, non me ne vogliano i tecnici, è sempre stato guidato più da scelte marketing che da effettivi ed oggettivi riscontri tecnici, e il ritornare di tecnologie ed approcci ciclicamente nei nostri percorsi tecnologici ne è una evidenza.

image

Il punto focale è che lo spostamento che stiamo osservando oggi nei nostri modi di usare la tecnologia è sempre più orientato alla intercambiabilità.

Non importa il device, ma facciamo le stesse cose con tutti….. (insomma più o meno, io fartdroid non lo ho…sul portatile)

Questo uso si riflette, ovviamente, sulle statistiche di accesso ai dati e applicazioni aziendali.

Questi dati possono essere facilmente relazionati alle statistiche di outbreak delle policy aziendali: tanto più queste sono chiuse e costrittive tanto più gli utenti cercano scappatoie che consentano a loro di continuare ad essere produttivi anche in arre NON considerate dalla struttura aziendaleIT

image

si noti come  la presenza di device personali si sia allargata in solo un anno. Paesi più restii ad abbracciare le novità, ed a fornire nuovi devices ai propri utenti, come l’italia, vedono impatti di crescita ancora maggiori: se l’azienda non fornisce device “attuali” l’utente li sostituisce con i propri indipendentemente dai desiderata aziendali.

Questo fatto di per se non è ne positivo ne negativo, soppesare pro e contro e fare una corretta analisi economica è, a tutti gli effetti, il lavoro di un CSO e di un IT manager. L’introduzione, ad esempio, di device non aziendali potrebbe essere fonte di notevoli risparmi in termini di gestione ed acquisto, a patto di avere una struttura che sposti le competenze sulla sicurezza mobile e sulla sicurezza applicative, piuttosto che sul primo livello di supporto HW per il pc con immagine standard.

Che lo si voglia o meno comunque il trend è questo, e occorre reagire alla introduzione di questi oggetti all’interno della nostra vita lavorativa, cosa che ha costretto molti vertical ad adottare politiche di accettazione dei device personali, anche in feudi tradizionalmente restii, si veda il financial.

Non ci si lasci traviare però dai numeri, le statistiche ci dicono si che il financial è stato più reattivo, ma il motivo è semplicemente che gli altri settori sono meno reattivi e più laschi riguardo l’introduzione ufficiale di tali device rispetto un ambito ove la security è sempre stata considerata cardine, si pensi che al giorno d’oggi il 100% delle transazioni finanziarie avviene in forma telematica e si capisce la paranoia.image

Purtroppo la storica mancanza di sviluppo di modelli di gestione ed integrazione della sicurezza dei device mobili ha esasperato l’uso di vecchie piattaforme di sicurezza ed amministrazione portandole a deliranti, quanto attuali, realtà come descritto bene in questo grafico ove si vede che i più attenti hanno introdotto la bellezza di oltre 10000 regole, policy di gestione, per il BYOD.

image

Forse non è noto ai più ma uno dei primi cardini della gestione e della sicurezza è l’approccio Kiss «keep it simple stupid», maggiore è la complessità minore è la capacità della struttura di reagire agli eventi in maniera sia reattiva che proattiva; chiedete poi ai disgraziati che si occupano di forensic analisys cosa gli tocca fare per capire in quale ambiente stanno operando.

Ultimamente vanno di moda un sacco di surveystatistiche inerenti il BYOD, questo è un esempio vi riconoscete?

Si noti come in queste risposte si evinca la mancanza di un quadro generale e coerente, in cui management, sicurezza ed accesso ai flussi informativi non sembrano far parte dello stesso nucleo operativo…

image

Il paradosso è che, come abbiamo visto dall’escursus storico, molte delle problematiche sono presenti sin dagli anni 80, e dopo oltre un trentennio vengono alla luce come se fossero nuove.

image

Per affrontare correttamente la introduzione e gesione del BYOD occore fermarsi un attimo e pensare a come si sta gestendo il piu generale discorso mobile in azienda. Magari organizzandoci con una tabella di raffronto.vantaggisvantaggi:

VantaggiSvantaggi
Piace agli utentiNon piace all’ IT
Aumenta la produttivitàAumenta la complessità gestionale
Espande il perimetro lavorativoAumenta la superfice di rischio
Rende più flessibiliRende più flessibili
È coolNon posso standardizzare
Permette risparmi operativi di gestione ITNon riesco a giustificare porzioni di budget
Permette risparmi in termini di supportoComunque gli utenti mi chiamano

Quando cerchiamo di fare una tabella di vantaggi e svantaggi dovremmo cercare di vedere i diversi punti di vista. Talvolta una maggiore complessità operativa per l’IT significa realmente un vantaggio all’utenza, talvolta il voler porre regole di controllo da come risultato solo la costante violazione di queste ultime. Il vecchio esercizio dei buoni e cattivi è in questo senso estremamente utile e serve, si noti, non a decidere se il BYOD è un fenomeno da arrestare, ma a capire come gestirlo. Ognuno di questi punti di esempio, pro o contro, possono essere l’inizio di un lavoro di design della introduzione di byod che permetta la soddisfazione degli utenti e magari una semplificazione operativa, purtroppo occorre che facciano parte del gioco tutti i player, gli utilizzatori, l’IT ma anche chi decide regole aziendali (management e HR) in quanto l’attenzione ai flussi informativi, alle regole della privacy non sono più secondarie anche dal punto di vista legislativo.

MobileBYOD
Compro il deviceSiNo
Gestisco il deviceSiNo
Location controlNoNo
Network (IP) RulesSiNo
Privilegi AmministrativiNoNo
Controllo IdentitàNoNo
UsernamePasswordSiNo
Network Access ControlNoNo
Application Access ControlNoNo
AntivirusAntimalwareSiNo
Application Store ManagementNoNo

Una altra cosa utile da fare è mettersi a tavolino per fare un elenco di cosa si dovrebbe fare e cosa si fa per gestire sia l’attuale parco mobile che la sua evoluzione BYOD. Ci si rende di solito subito conto che spesso richieste imposte al BYOD non vengono attese neanche nel classico mondo mobile.

Classici esempi sono la gestione dei diritti amministrativi (quasi tutti i laptop sono con diritti amministrativi presenti), la mancanza di Application Access Control e la mancanza di identity management.

MobileBYOD
Data Protection (DLP)NoNo
Data EncryptionSiNo
Data Location controlNoNo
Geo IP RulesNoNo
Policy su furtoSi (parziali)No
IstruzioneNoNo
Segregazione Reti WirelessSiSi

esiste poi una evidente esigenza di inventory ed una analisi da fare eventualmente col vendorprovider per quello che concerne le licenze.

Queste ultime infatti rappresentano una area ancora abbastanza oscura, non esistendo ancora vere e proprie licenze BYOD al momento a parte i cloud services (magari con identità gestite via Saml) , rimane il dubbio di come gestire e registrare a norma applicativi che seppur acquistati da un soggetto vengono installati su un apparato di propietà di soggetti terzi.

da analizzare anche con attenzione sono le possibili implicazioni legali che possono sorgere in caso di infezionehacking o sospetto di uso improprio delle risorse aziendali (ma lo sono?)

in questo caso il consiglio è quello di rivolgersi ad una struttura legale specializzata nelle problematiche IT (interna od esterna all’azienda) per chiedere la stesura di una “liberatoria” che consenta in funzione di regole ben definite di determinare quali sono i limiti di accesso e di uso che l’azienda ha nei confronti del device personale del dipendente e, vicerversa, quali sono vincoli e limiti di accesso che ha l’utente ne portare tale device in rete.

La questione è solo apparentemente accademica, per quanto lasche confuse e talvolta deliranti esistono ovunque, anche in Italia, normative cui fare riferimento. esistono vincoli di responsabilità ad esempio da parte della azienda se dalla sua struttura parte un attaccoinfezione verso un altra, tanto per citare uno degli obblighi da valutare.

image

image

image

lunedì 29 aprile 2013

Rapporto Clusit

Rapporto Clusit

 
Il Rapporto 2013 inizia con una panoramica degli eventi di cyber-crime e incidenti informatici più significativi del 2012 e con le tendenze per il 2013. Si tratta di un quadro estremamente aggiornato ed esaustivo della situazione globale, con particolare attenzione alla situazione italiana. Abbiamo classificato gli oltre 1600 attacchi noti del 2011 e 2012, suddivisi per tipologia di attaccanti e di vittime e per tipologia di tecniche d’attacco. Per l’Italia, abbiamo esaminato i 129 attacchi rilevati nel corso del 2012, analizzandone distribuzione e tipologia di attacco. Anche quest’anno abbiamo ottenuto un contributo della Polizia Postale e delle Comunicazioni, che traccia un quadro dettagliato dei fenomeni criminosi a cui si trova confrontata, e fornisce dei dati inediti su attività investigative e risultati ottenuti nel corso del 2012.

Il Rapporto contiene i risultati di una survey che ha coinvolto 207 aziende e che ci ha consentito di analizzare le tendenze del mercato italiano dell’ICT Security, individuando le aree in cui si stanno orientando gli investimenti di aziende e Pubbliche Amministrazioni. Riguardo il mercato del lavoro, lo studio ha evidenziato quali sono le figure professionali più richieste, con l’intento di facilitare le scelte di studenti e professionisti.
Si forniscono inoltre importanti approfondimenti su una quantità di temi caldi: la sicurezza nel Mobile, nei Socialmedia, nel Cloud; la sicurezza in Sanità e nell’e-Commerce, due temi centrali dell’Agenda Digitale Italiana; completano i Focus On del Rapporto 2013: il nuovo protocollo IPv6 e una serie di riflessioni utili per un corretto salvataggio delle informazioni e la continuità operativa.
Se desideri ricevere per email il Rapporto Clusit 2013 (o i precedenti), scrivi a rapporti@clusit.it precisando: nome, cognome e azienda di appartenenza (e/o professione).
Il Rapporto 2012 è disponibile online su Rapporto Clusit 2012
Potete scaricare delle brevi presentazioni del Rapporto 2013, dedicate a:

  • Scuole e Genitori
  • Cittadini e Utenti della Rete
  • Università e Centri di Ricerca
  • Pubbliche Amministrazioni e Istituzioni dello Stato
  • Aziende Italiane

giovedì 21 marzo 2013

Security Summit :: Rapporto Clusit 2013

Security Summit :: Rapporto Clusit 2013

Rapporto Clusit 2013
Nel 2012 abbiamo dato vita al primo “Rapporto sulla sicurezza Ict in Italia”, un volume di 148 pagine che, attraverso il lavoro di oltre un centinaio di professionisti, ed il coinvolgimeto di più di 150 aziende, ha tracciato un profilo neutrale e approfondito della situazione sulla sicurezza Ict nel nostro Paese. Ora stiamo lavorando al Rapporto 2013, che sarà presentato il 12 marzo a Milano. Oltre alla consueta analisi dei fatti più significativi (cybercrime e incidenti informatici) del 2012 in Italia e nel mondo, il Rapporto conterrà le tendenze del mercato e degli investimenti in Italia e le tendenze del mercato del lavoro. Tra i Focus On, si farà il punto sulla tematiche di maggior interesse del momento, già affrontati nel Rapporto 2012 : la sicurezza nel Mobile, nei Socialmedia, nel Cloud. Si affronteranno anche due temi centrali per l’Agenda Digitale Europea ed Italiana : la sicurezza ICT in Sanità ; l’e-Commerce. Completeranno i Focus On del Rapporto 2013 :   cosa cambia, col passaggio al nuovo protocollo IPv6 ; Backup e ripristino dei dati.
Il Rapporto 2013 sarà presentato al Security Summit di Milano nel corso di una tavola rotonda al pomeriggio del 12 marzo. Tutti i presenti alla tavola rotonda potranno ritirare un esemplare del Rapporto, che sarà poi disponibile in formato elettronico a partire dal giorno successivo.

Se desideri ricevere per email il Rapporto Clusit 2013 (o i precedenti), scrivi a:

precisando: nome, cognome e azienda di appartenenza (e/o professione).

lunedì 19 dicembre 2011

Sicurezza Informatica: Il mondo e l’Italia

Sicurezza Informatica: Il mondo e l’Italia

 

Pubblicato il 19 dicembre 2011 da Antonio Ierano

Ogni tanto è utile fare il punto su dove siamo in termini di sicurezza informatica e relativa awareness (comodo termine inglese che indica lo stato di conoscenza e coscienza che si ha nei confronti di una certa tematica). Questo esercizio serve principalmente per capire se ci stiamo muovendo nella direzione corretta e se abbiamo, o meno, il polso della situazione anche in termini di evoluzioni future.

Per nostra fortuna, periodicamente vendors ed aziende che si occupano di ricerce o di sicurezza ci offrono dei report che ci aiutano a capire dove siamo e dove stiamo andando. Recentemente sono stati pubblicati dal gigante del networking Cisco, due interessanti documenti che sono l’Annual Security Report 2011 ed il terzo capitolo della survey dell’edizione 2011 del Cisco Connected World Technology Report.

Questo tipo di lettura è interessante per diversi motivi, ed è particolarmente utile in paesi come l’Italia dove non esiste una comunicazione e copertura strutturata della stampa per tenersi aggiornati sugli outbreaks locali.

Conoscere quindi i trend mondiali serve anche a capire quali siano i trend italiani, nonostante in apparenza in Italia “non avviene mai nulla di serio” in ambito di outbreaks e violazioni di sicurezza informatica.

Cosa ci dice Cisco su quello che succede nel mondo?

Iniziamo con una buona notizia, secondo l’indice ARMS Race di Cisco, un indice che ci aiuta a quantificare l’espansione della attività criminale in termini di quantità e qualità, le cose sembrano andare leggermente meglio rispetto all’anno scorso, siamo infatti a 6.5 rispetto al 6.8 dell’anno precedente, un esempio di ciò è il decremento dei volumi di spam.

Va ricordato anche che questo è stato l’anno della lotta ai grandi network di spammer e botnet. Purtroppo questo non deve farci sentire sicuri. Dopo le buone notizie ci rammenta anche chequesto è stato l’anno dell’attivismo informatico e della commistione tra hacking e attivismo, egualmente è stato l’anno dello specializzarsi degli attacchi (target attacks) che hanno usato sorgenti eterogenee per colpire i bersagli.

Sebbene spesso sembri che l’attivismo di gruppi come Lulzsec o Anonymous siano problematiche solo straniere va ricordato che anche l’Italia è stato terreno di battaglia in questo ambito, come non ricordare gli attacchi portati con successo proprio durante la campagna “Antisec” contro alcune università italiane, o quelli ben più inquietanti portati contro Vitrociset, del Cnaipic, gli 007 del Viminale che indagano proprio sugli hacker.

Un approccio coerente e completo alla sicurezza è quindi necessario anche nel nostro paese, del resto le statistiche parlano chiaro: Eurostat ci dice che il 67% degli italiani non usa nemmeno antivirus, percentuale che, purtroppo, sale vertiginosamente se si considerano i nuovi device quali tablet e smartphone (Android o Apple non fa differenza).

Proprio dal report Cisco viene una interessante chiave di lettura che rispecchia perfettamente la realtà italiana. Il crescente uso dei social media (L’Italia è il maggior utilizzatore di Facebook in rapporto alla popolazione) e l’introduzione di nuovi device portano a comportamenti spesso pericolosi che necessitano di un’accorta valutazione in termini di sicurezza.

Questi due elementi portano, infatti, ad una maggiore propensione degli utenti ad aggirare le regole aziendali, regole IT spesso disegnate per ambienti profondamente diversi dalla realtà degli utilizzatori, accompagnata da un chiaro disinteresse o deresponsabilizzazione di questi ultimi sulla natura “a rischio” di certi loro comportamenti: portare un device non protetto che si collega a risorse aziendali è spesso causa di problemi, ma la colpa va equamente divisa tra chi, come utente, non si preoccupa delle possibili conseguenze e chi, come IT manager, non adegua le sue strutture alla nuova realtà ove il BYOD (Bring Your Own Device) è oramai un elemento ineluttabile.

Basta leggere le statistiche riportate nel report per farsi una chiara idea di quale sia l’approccio degli utenti alle nuove tecnologie ed alle esigenze di sicurezza. Del resto quanti di voi (noi) hanno installato sistemi di sicurezza sui propri tablet e smarthphone?

Eppure, basandomi sulla mia esperienza personale, questi device stanno entrando prepotentemente nella realtà IT italiana portando con sè, ad esempio, l’obbligo di implementare reti wireless e la necessità di implementare politiche di controllo di accesso; persino l’ambiente bancario, notoriamente refrattario alle novità, si sta muovendo su questo fronte, mosso dalle richieste pressanti della dirigenza che trova nell’uso di queste nuove tecnologie sia una forma di “distinzione” che un effettivo vantaggio in termini di produttività.

Se aggiungiamo a questo il progressivo muoversi verso soluzioni di tipo cloud (public o private) magari sviluppate in termini SOA appare chiaro come una ridiscussione di come fare sicurezza diventa imperativa.

Sicurezza Informatica: Il mondo e l’Italia

Sicurezza Informatica: Il mondo e l’Italia

 

Pubblicato il 19 dicembre 2011 da Antonio Ierano

Ogni tanto è utile fare il punto su dove siamo in termini di sicurezza informatica e relativa awareness (comodo termine inglese che indica lo stato di conoscenza e coscienza che si ha nei confronti di una certa tematica). Questo esercizio serve principalmente per capire se ci stiamo muovendo nella direzione corretta e se abbiamo, o meno, il polso della situazione anche in termini di evoluzioni future.

Per nostra fortuna, periodicamente vendors ed aziende che si occupano di ricerce o di sicurezza ci offrono dei report che ci aiutano a capire dove siamo e dove stiamo andando. Recentemente sono stati pubblicati dal gigante del networking Cisco, due interessanti documenti che sono l’Annual Security Report 2011 ed il terzo capitolo della survey dell’edizione 2011 del Cisco Connected World Technology Report.

Questo tipo di lettura è interessante per diversi motivi, ed è particolarmente utile in paesi come l’Italia dove non esiste una comunicazione e copertura strutturata della stampa per tenersi aggiornati sugli outbreaks locali.

Conoscere quindi i trend mondiali serve anche a capire quali siano i trend italiani, nonostante in apparenza in Italia “non avviene mai nulla di serio” in ambito di outbreaks e violazioni di sicurezza informatica.

Cosa ci dice Cisco su quello che succede nel mondo?

Iniziamo con una buona notizia, secondo l’indice ARMS Race di Cisco, un indice che ci aiuta a quantificare l’espansione della attività criminale in termini di quantità e qualità, le cose sembrano andare leggermente meglio rispetto all’anno scorso, siamo infatti a 6.5 rispetto al 6.8 dell’anno precedente, un esempio di ciò è il decremento dei volumi di spam.

Va ricordato anche che questo è stato l’anno della lotta ai grandi network di spammer e botnet. Purtroppo questo non deve farci sentire sicuri. Dopo le buone notizie ci rammenta anche chequesto è stato l’anno dell’attivismo informatico e della commistione tra hacking e attivismo, egualmente è stato l’anno dello specializzarsi degli attacchi (target attacks) che hanno usato sorgenti eterogenee per colpire i bersagli.

Sebbene spesso sembri che l’attivismo di gruppi come Lulzsec o Anonymous siano problematiche solo straniere va ricordato che anche l’Italia è stato terreno di battaglia in questo ambito, come non ricordare gli attacchi portati con successo proprio durante la campagna “Antisec” contro alcune università italiane, o quelli ben più inquietanti portati contro Vitrociset, del Cnaipic, gli 007 del Viminale che indagano proprio sugli hacker.

Un approccio coerente e completo alla sicurezza è quindi necessario anche nel nostro paese, del resto le statistiche parlano chiaro: Eurostat ci dice che il 67% degli italiani non usa nemmeno antivirus, percentuale che, purtroppo, sale vertiginosamente se si considerano i nuovi device quali tablet e smartphone (Android o Apple non fa differenza).

Proprio dal report Cisco viene una interessante chiave di lettura che rispecchia perfettamente la realtà italiana. Il crescente uso dei social media (L’Italia è il maggior utilizzatore di Facebook in rapporto alla popolazione) e l’introduzione di nuovi device portano a comportamenti spesso pericolosi che necessitano di un’accorta valutazione in termini di sicurezza.

Questi due elementi portano, infatti, ad una maggiore propensione degli utenti ad aggirare le regole aziendali, regole IT spesso disegnate per ambienti profondamente diversi dalla realtà degli utilizzatori, accompagnata da un chiaro disinteresse o deresponsabilizzazione di questi ultimi sulla natura “a rischio” di certi loro comportamenti: portare un device non protetto che si collega a risorse aziendali è spesso causa di problemi, ma la colpa va equamente divisa tra chi, come utente, non si preoccupa delle possibili conseguenze e chi, come IT manager, non adegua le sue strutture alla nuova realtà ove il BYOD (Bring Your Own Device) è oramai un elemento ineluttabile.

Basta leggere le statistiche riportate nel report per farsi una chiara idea di quale sia l’approccio degli utenti alle nuove tecnologie ed alle esigenze di sicurezza. Del resto quanti di voi (noi) hanno installato sistemi di sicurezza sui propri tablet e smarthphone?

Eppure, basandomi sulla mia esperienza personale, questi device stanno entrando prepotentemente nella realtà IT italiana portando con sè, ad esempio, l’obbligo di implementare reti wireless e la necessità di implementare politiche di controllo di accesso; persino l’ambiente bancario, notoriamente refrattario alle novità, si sta muovendo su questo fronte, mosso dalle richieste pressanti della dirigenza che trova nell’uso di queste nuove tecnologie sia una forma di “distinzione” che un effettivo vantaggio in termini di produttività.

Se aggiungiamo a questo il progressivo muoversi verso soluzioni di tipo cloud (public o private) magari sviluppate in termini SOA appare chiaro come una ridiscussione di come fare sicurezza diventa imperativa.