riprendiamo i discorso sulla sicurezza nella navigazione web vista al post precedente Web Security: rudimenti 1.
Ogni analisi di sicurezza deve partire da alcune considerazioni che riguardano l’ambiente operativo cui facciamo riferimento. Le più elementari domande che ci dobbiamo porre sono:
che valore ha per il business l’attività che andiamo a controllare?
quali sono i criteri di valutazione di rischio e beneficio che intendo usare?
quali sono i rischi cui incorro?
perché mi dovrebbero attaccare?
quale è la configurazione esterna del mondo cui mi devo interfacciare?
quale è la configurazione interna?
quali sono le policy di riferimenti di sicurezza interne?
queste domande servono ad inquadrare il problema e dare delle risultanze numeriche ed economiche alla nostra attività di analisi, tradotto ci permette di capire i livelli di security necessari o consigliati, quanto mi costa il livello di sicurezza massimo raggiungibile in funzione del mio costo di business.
In teoria una soluzione di sicurezza non dovrebbe costare più del valore che si va a proteggere, diventa quindi necessario fare delle valutazioni economiche di merito.
Semplificando molto la questione potremmo dire che:
(costo security) * (%rischio incidente*valore di blocco asset protetto) = (perdita economica accettabile per valore blocco asset protetto)
Il costo della soluzione di security può essere equiparato, a grandi linee, a:
costo della soluzione + il costo della manutenzione ordinaria operativa + (il costo della manutenzione straordinaria * %rischio fault) +/- (%perdita produttività * valore di asset protetto)
la componente inerente la perdita di produttività può assumere in realtà anche segno negativo, il che significa che non è detto che la inserzione di un modulo di sicurezza diminuisca la efficienza del sistema business, può anche migliorarla, ovviamente un valore negativo di perdita di produttività equivale ad un aumento di produttività e quindi, direttamente, a un abbassamento dei costi della soluzione di sicurezza.
La unica domanda che mi pongo è: “quanti fanno queste considerazioni in merito alla introduzione di una soluzione di sicurezza ?…. “
Vediamo quindi di dare delle indicazioni generali inerenti i punti espressi in precedenza.
Che valore ha per il business l’attività che andiamo a controllare?
Questa domanda è fondamentale per capire se ha senso o meno offrire un servizio o se bloccarlo.
Visto che non stiamo parlando di security in generale, ma di un ambito specifico la domanda può essere espressa come: serve realmente offrire browsing internet agli utenti?
La risposta, ovviamente, dipende da scelte aziendali legate ad elementi culturali, di tipologia di business e di costi.
Oggi come oggi Internet rappresenta il principale canale di approvvigionamento di informazioni business related. Come la mail è diventata, de facto, il gestore della proprietà intellettuale aziendale, internet è diventato il veicolo da cui gli operatori di business traggono le loro informazioni. La crescita di importanza di aziende come Google, che nasce come motore di ricerca, ne è l’esemplificazione.
Dati sulla concorrenza, documentazione, web services, e-commerce, B2B…tutto questo ed altro ancora sono forniti attraverso il canale internet. Internet diventa quindi uno strumento di produttività che amplia l’orizzonte di conoscenze e le risorse di chi lavora.
Ovviamente internet rappresenta anche un canale di raccolta e scambio di informazioni ad uso personale. Diventa difficile distinguere cosa sia “Personale” o di “business” quando si parla di internet, esempio ne sia questo blog. La “categoria” blog è solitamente associata ad un consumo “personale”, ma è anche vero che oggi come oggi la blogosfera, come molte altre espressioni del cosiddetto Web 2.0 –si pensi a WikiPedia- rappresenta un formidabile canale di comunicazione e condivisione di risorse e conoscenze tecniche nei campi più disparati.
Se è vero che internet rappresenta un veicolo di scambio informativo di questa importanza è anche vero che non tutte le risorse internet rappresentano veicoli che danno valore aggiunto, come analogamente possono essere soggetti a valutazioni di tipo diverso i vari protocolli ad internet associati. Esempio ne sia il protocollo FTP. L’uso di questo protocollo, nato per scambiare file, è diminuito drasticamente a seguito della introduzione di metodi di downloadupload tramite protocollo HTTP
Il protocollo FTP in Italia è pero ancora usato per scambio di informazioni e dati in ambito bancario e B2B nonostante abbia caratteristiche di sicurezza estremamente povere (si consideri, ad esempio, il fatto che le password vengono trasmesse in chiaro).
Determinare quindi cosa sia Business o meno non è compito facile. Paradossalmente i due meccanismi più utili per determinare cosa abbia senso o meno partono da due approcci profondamente diversi:
da un lato si parte dalla teoria: tolgo tutto ed aggiungo quello che mi serve
dall’altro si ha lascio tutto e poi tolgo quello che no mi serve
Entrambi i metodi hanno pro e contro, in particolare nel primo caso risulta difficile capire quali realmente siano gli strumenti di produttività: l’uso di Istant Messeging può servire? ha senso dare accesso alle caselle di posta esterne? e cosi via
il secondo approccio è più esposto a considerazioni di tipo produttivo e di consumo di risorse: facebook va tenuto aperto? e quanta banda mi consuma? e via dicendo
Per esperienza sono più consono a suggerire il secondo approccio, in quanto il primo si esplica, solitamente, in un eccesso di restrizioni che rendono la fruizione dello strumento web estremamente limitativa, togliendo, nei fatti, la possibilità di utilizzare strumenti utili o costringendo, dal lato amministrativo, alla gestione di un numero elevato di eccezioni che rendono la struttura piu complessa e difficile da manutenere.
to be continued
