Posta elettronica e sicurezza

Aziende

Virus, worm, spamming: tutti problemi che affliggono, in maniera sempre più sensibile, le caselledi milioni di utenti di posta elettronica al mondo.

I danni derivanti da questi agenti esterni possono essere limitati grazie a un migliore utilizzo degli strumenti a disposizione e a una maggiore cultura in seno all’azienda, a partire dal top management sino ad arrivare ai consulenti temporanei Approfondire questo genere di tematiche è un’operazione complessa e il rischio è sempre quello di dare troppo spazio ad alcune soluzioni rispetto ad altre, dare voce alle sole aziende che si occupano di sicurezza senza considerare problematiche afferenti la posta elettronica come storage e networking. Il quadro che emerge dagli interventi ospitati in questo dossier pone l’accento su alcuni degli aspetti più ovvi della problematica: cultura, policy aziendali, sicurezza perimetrale, outsourcing e via discorrendo. Tutto questo testimonia, ancora una volta, quanto stia crescendo, e in maniera vertigionosa, l’importanza della posta elettronica.

“La posta elettronica è stata l’applicazione che ha decretato il successo di Internet. Usando un termine americano l’e-mail è si è rivelata la vera killer application della Rete”. Questa è l’opinione di Claude H. Ostfeld, amministratore delegato di C.H. Ostfeld, che prosegue sostenendo che “mai definizione fu più azzeccata, perché la posta elettronica ci sta letteralmente seppellendo di messaggi, nella maggior parte dei casi inutili. Il problema c’è, ed è inutile nasconderlo.” Sulla stessa lunghezza d’onda è Kroll Ontrack che, addirittura, estende il discorso all’intero set di dati indispensabili per le aziende sottolineando quanto “oggi più che mai il business di un’azienda dipende dai dati presenti nei propri computer e la perdita può determinare danni gravi in ogni attività e in qualsiasi settore”. In un crescendo di toni, Kroll Ontrack spiega anche che “nessuno è immune dalla perdita dei dati, può accadere a chiunque, ovunque, in ogni momento e per le cause più disparate.” Il discorso, quindi, si sposta dalla semplice sicurezza per andare a interessare un altro ambito fondamentale per le aziende: quello dello storage. Si pensa poco al fatto che le email da qualche parte devono pur essere salvate e che, a tal proposito esistono anche delle normative europee. Ed è proprio un’azienda dello storage a sollevare il problema. Rosy Auricchio, direttore marketing e comunicazione di StorageTek Italia, spiega che oggi la posta elettronica influisce in modo sempre più pesante sulle risorse di storage aziendali. “Ogni giorno vengono scambiati milioni di messaggi e, ad aggravare la situazione, c’è l’obbligo di legge per molte aziende di conservare le e-mail per lunghi periodi”. A testimonianza di ciò interviene una ricerca condotta da Hitachi Data System, che rivela come “i tre quarti dei responsabili dei sistemi informativi sostengono che la posta elettronica consumi oltre il 5% della capacità di archiviazione, un quarto afferma che più del 20% dei dati archiviati è composto da e-mail, mentre un responsabile su dieci (anche in Italia) parla del 40%”. Anche Chris Stuart, country manager Italia di IronPort System, parla di situazione critica e spiega che “Le organizzazioni devono ripensare il proprio modo di gestire l’infrastruttura email o non sopravviveranno alle minacce della rete, mettendo in serio pericolo il proprio business”. Le premesse, come si vede, sono molto chiare e sullo stesso tono sono stati anche gli interventi degli altri intervistati. Le vere divergenze d’opinione sono state riscontrate, anche se non sempre nella sostanza, per quanto riguarda le soluzioni da adottare. A prescindere da quanto ognuno possa essere legato ai prodotti venduti o distribuiti dalla propria azienda, è possibile tracciare un denominatore comune dato dalla somma di cultura, policy e quant’altro già menzionato in precedenza.

L’importanza della posta elettronica, è oramai assodato, è condivisa da tutte le aziende, sia dal lato vendor, sia dal lato utenti. Tutti, chi più chi meno, si scontrano quotidianamente con le problematiche citate e, se non si tratta di attualità, si tratta comunque di un futuro prossimo che sarà sempre più chiaro man mano che la posta elettronica acquisirà quel ruolo che pian piano gli si sta attribuendo. Si pensi, per esempio, a quanto potrà aumentare il volume di scambi man mano che verranno introdotti i certificati digitali in grado di assegnare a ogni email il valore di documento ufficiale (ancor più di quanto ne abbia adesso). Dopo aver identificato quali siano i problemi, l’attenzione adesso va rivolta al trovare le giuste soluzioni tecnologiche e non solo. E’ Fabio Panada, technical manager di Internet Security Systems Italia, a guardare immediatamente alle carenze delle soluzioni attualmente in uso: “Negli ultimi anni, la diffusione di Worm cosiddetti ibridi ha evidenziato come firewall e anti-virus non siano più sufficienti per una buona protezione di sistemi e reti. Per avere una difesa accettabile è quindi fondamentale aggiungere le tecnologie di IDS/IPS alle suddette e introdotte tecnologie.” Ma non si limita al solo problema della sicurezza fornendo anche un’analisi dello spam, che porta a una critica ben precisa dei sistemi di posta. “Il protocollo SMTP, usato per la spedizione della posta elettronica, al tempo della sua creazione è stato pensato per essere semplice e flessibile e non per risolvere problematiche di abuso dello stesso.” Va da sé, quindi, che una soluzione va ricercata anche in questi aspetti magari, come sostiene sempre lo stesso Panada, con “il ridisegno degli standard di comunicazione della posta elettronica” anche se “una possibile soluzione al problema dello spam potrebbe richiedere del tempo”. A rincarare la dose sui problemi delle attuali tecnologie e, soprattutto, su altri possibili aspetti dannosi dello spamming, è Atchison Frazer, vice president marketing ServGate Technologies, il quale spiega che “lo spam rappresenta per le imprese un’enorme perdita in termini di prestazioni, in quanto occupa grandi quantità di banda e obbliga le aziende a investimenti massicci in ampiezza di banda, che si aggiungono ai costi sostenuti per la perdita di produttività da parte dei dipendenti e al relativo rischio di downtime determinato dagli agenti worm introdotti dallo spam. Bloccare lo spam su un server separato a livello del gateway di posta elettronica rappresenta una soluzione per impedire che i messaggi arrivino alle singole caselle di posta.” Pare quindi affacciarsi sulla scena un problema ben più grande, quanto a possibilità di gestione, che è quello del non delegare troppe responsabilità all’utente finale. Questo, sia per motivi di banda, come si è appena visto, sia per problemi di conoscenza e capacità di discernimento dei pericoli da parte di molti utenti, che ignorano le sembianze di spamming e virus. Questo approccio è testimoniato anche da altri professionisti della sicurezza come Fabrizio Cassoni, content security manager di Symbolic, il quale sottolinea che “un approccio decentralizzato alla Content Security, per quanto preferibile alla sua totale assenza, fa ricadere sulle spalle degli utenti un fardello che non tutti sono in grado di accollarsi, per la specificità di alcune problematiche. Le soluzioni centralizzate, implementate in accordo a policy correttamente formulate e notificate agli utenti, appaiono come una metodologia migliore per la gestione del rischio.”.

Molti degli specialisti intervistati rivolgono un’attenzione particolare alle tecnologie implementate e implementabili, sottolineando le problematiche relative al ruolo specifico del singolo impiegato dell’azienda. È questo l’ultimo e più delicato dei problemi affrontati, quello della cultura e delle policy, aspetto che deve essere preso in esame soprattutto in considerazione dei problemi tipici delle tecnologie stesse. È Giacomo Segalli, amministratore delegato di Spike Reply, che sottolinea queste problematiche spiegando che “in ambienti di laboratorio è semplice dotarsi di contromisure tecnologiche efficaci. Queste soluzioni devono però essere verificate e validate, contestualizzandole in un ambiente reale, con l’obiettivo di capire se la specifica contromisura è efficace per l’ambiente di riferimento. Parallelamente si deve operare per promuovere la cultura dell’utente finale e degli amministratori di sistema: il più efficace degli strumenti diviene inutile nel momento in cui è utilizzato male. Chiedere a chi propone una soluzione di documentarla e scriverne le procedure di utilizzo può essere un buon inizio che può continuare creando competenza tramite utilizzo quotidiano, training-on-the-job, sensibilizzazione al tema sicurezza o corsi.” Dello stesso avviso è anche Francesca Giudice, vice president se la risposta tecnologica da sola non basta ad arginare il fenomeno, giocano un ruolo fondamentale anche la consapevolezza degli utenti di doversi dotare di misure di sicurezza e, non ultimo, l’intervento legislativo.” La stessa Microsoft sottolinea come sia “fondamentale sensibilizzare l’utenza rispetto ai reali rischi legati a comportamenti poco prudenti di fronte alla ricezione di messaggi di dubbia natura”. La mancanza di cultura o la necessità di ampliarla, sembrano essere le tematiche più ricorrenti. Quale la soluzione? Escludendo, per ovvie ragioni, ogni possibile riferimento a prodotti specifici, pare evidente che il singolo prodotto installato non sia più (sempre che lo sia mai stato) sufficiente. Il punto di partenza non può essere solo la sicurezza del desktop che, per definizione, è il punto di arrivo di mail virate e spamming, ma bisogna prestare attenzione a un livello superiore nell’interesse di crescita dell’azienda stessa. Sergio Vantusso, marketing manager Smea di Network Associates, spiega che la propria azienda “ritiene che la sicurezza online sia un fattore abilitante per la crescita aziendale, e non solo una misura difensiva necessaria, semplificando al massimo le attività necessarie per proteggere l’azienda dalle minacce informatiche.” Queste perché purtroppo, “c’è ancora una scarsa conoscenza delle nuove minacce Internet”.

Il vantaggio dell’outsourcing è quello di delegare i compiti di controllo a chi ne ha realmente le competenze, ma permane il marginale svantaggio di un più scarso controllo della situazione da parte dell’azienda. È proprio in quest’ottica che sono orientate le proposte di soluzione degli intervistati. Roberto Garavaglia, direttore commerciale di Easynet Italia, sostiene che “la gestione della sicurezza in outsourcing è una delle migliori opportunità per proteggere la propria azienda con un minimo livello di investimento e in modo dinamico, adattando i servizi alle modifiche dimensionali e organizzative dell’azienda”. A lui fa eco Antonio Baldassarra, amministratore delegato di SeeWeb, il quale, spiegando l’orientamento di business della propria azienda, testimonia la bontà delle soluzioni in outsourcing: “riteniamo che la soluzione migliore sia quella che consente di bloccare le email indesiderate, siano esse di spam o di virus, prima che raggiungano l’azienda, i suoi server, i suoi pc e i suoi utenti. Tenere lontano dall’azienda virus e spam significa sicuramente ottimizzare ed economizzare sulle risorse di rete e sistemistiche. Sempre sull’onda della gestione effettuata da chi ha le competenze per farlo, è anche il pensiero di Stefano Chiccarelli, chief security officer di Tenovis, che sostiene che “l’unico modo per avere un livello di protezione elevato sia avere a disposizione dei professionisti It, capaci di scegliere in maniera oculata i prodotti più adatti alla propria rete, con costi di gestione ammortizzabili nel lungo periodo”. Mehdi Bouzoubaa, territory manager per l’Italia di Websense, sostiene che, essendo i desktop degli utenti la parte più vulnerabile della rete, a causa, soprattutto, della sempre maggior presenza di spyware, “è più che mai importante dotarsi di soluzioni di filtering – a livello desktop – da utilizzare insieme ad antivirus e firewall: si tratta di software che, grazie a un database aggiornato quotidianamente, è in grado di identificare le nuove minacce – codici maliziosi, spyware, malware, warm, hacking – e bloccarne in tempo il lancio sulla postazione dell’utente”. Naturalmente quello che è stato presentato è solo un breve riassunto del pensiero di alcune tra le tante aziende che la sicurezza la fanno per mestiere, sia essa la protezione dei dati con programmi specifici, sia essa la salvaguardia dei dati tramite soluzioni hardware appositamente studiate. Quello che emerge molto chiaramente è il problema culturale: le conoscenze tecniche ci sono, i prodotti pure. Quello su cui bisogna puntare è, quindi, far capire l’importanza della sicurezza a tutto il personale, dal top management ai consulenti e spiegare che il mancato rispetto delle policy, se danneggia l’azienda, danneggia anche sé stessi. Però, perché ciò sia fatto in maniera corretta, è necessario che questa sensibilità venga trasmessa su tutto l’organico aziendale in maniera top down. E’ di questa opinione Elio Molteni di Computer Associates .”Da parte nostra il problema della security è stato sempre afforntato con un approccio olistico, perchè la sicurezza permea tutta l’infrastruttura aziendale.” “Questo tipo di approccio – prosegue Molteni – è dovuto al fatto che la sicurezza non è solo tecnologia ma, soprattutto, scarsa consapevolezza del problema della non sicurezza.”. “La cultura della sicurezza è importante e deve pervadere l’azienda dal top management fino a tutti i livelli impiegatizi – sottolinea Molteni – che prosegue sottolineando come un altro aspetto importante della sicurezza risieda nell’affrontare ogni singolo tema in modo puntuale, ma stando attenti a far convergere tutti gli aspetti per poi intraprendere le azioni più corrette. Si passa, quindi, da security monitoring a security management”.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore