UK cybersecurity strategy (ITA + ENG)

UK Cybersecurity Strategy

Great news! entro il 2015 il Regno Unito diventerà un Paese in cui le imprese ed i cittadini potranno fare uso dei servizi e degli asset presenti nel cyberspazio, con la confidenza che sono state introdotte adeguate misure di protezione contro le innumerevoli minacce presenti in questo ambito.

Il governo britannico ha infatti recentemente comunicato di aver definito una strategia avente l’obiettivo di assicurare che le aziende ed i cittadini britannici possano operare in un ambiente digitale sicuro. Due sono infatti i pilastri alla base di questa strategia:

1. Assicurare alle aziende che troveranno supporto nell’implementazione delle misure di protezione della propria azienda e un contesto sicuro per fare business online

2. Assicurare ai cittadini che il governo ha introdotto le misure necessarie per contrastare i crimini, le frodi ed i furti di identità perpetrabili nel mondo digitale, e che possono ricevere il supporto necessario a proteggersi efficacemente

A dimostrazione della concretezza dell’iniziativa il Governo ha dichiarato che intende investire 650 milioni di Sterline nell’arco di 4 anni per implementare questa strategia.

Pensate forse che gli inglesi siano poco accorti o del tutto estranei rispetto alla crisi finanziaria che attraversa il nostro Paese ?

Ne l’una ne l’altra cosa.

Gli inglesi stanno semplicemente mettendo in pratica quella stessa linea guida che tanto spesso noi stessi abbiamo sentito acclamare come l’unica vera soluzione per l’uscita dalla crisi, ovvero di focalizzare gli interventi del governo anche nell’ottica di garantire lo sviluppo economico e non solo una riduzione della spesa.

In questa ottica, in che misura possono risultare determinanti degli investimenti indirizzati a “rendere sicuro il cyberspazio” ?

E’ abbastanza ovvio affermare che a tal riguardo è molto evidente l’opinione del governo britannico. In questo periodo non si definisce un piano di questa portata se non si è convinti che esso possa rappresentare un volano molto importante per l’economia del Paese.

Ho sentito recentemente parlare della gestione della sicurezza informatica come un bene pubblico, e in tal senso è stata accostata alla gestione della salute pubblica. Mi trovo del tutto d'accordo con questa analogia.

Così come un sistema sanitario nazionale è indirizzato a garantire la tutela della salute come diritto fondamentale dell'individuo ed interesse della collettività, allo stesso modo un sistema per la sicurezza nazionale deve garantire la tutela della sicurezza (nel rispetto della privacy) come diritto fondamentale dei cittadini e delle imprese.

Quanti sono davvero consapevoli che oggigiorno quasi tutto quello che noi facciamo abitualmente, dai pagamenti elettronici, all’utilizzo degli smartphone, etc, dipende dalla sicurezza di sistemi informativi ?

Non è allora del tutto naturale immaginare che analogamente a quanto avviene sull’ambito sanitario sia reso disponibile un piano di sicurezza nazionale che rappresenti il piano strategico degli interventi per gli obiettivi di sicurezza e il funzionamento dei servizi internet (in senso lato) per soddisfare le esigenze specifiche delle aziende e dei cittadini ?

Il Regno Unito lo ha appena fatto e io spero vivamente per il bene e la prosperità del nostro Paese che anche il nuovo governo italiano segua presto la stessa strada

English version

Great news! by 2015 the UK will become a country where businesses and citizens can make use of services and assets in cyberspace, with the confidence that adequate measures have been introduced to protect against the many threats in this area.

The British government has in fact recently announced that he had set out a strategy which aims to ensure that British citizens and companies can operate in a secure digital environment. Two are in fact the pillars behind this strategy:

1. Ensuring that companies will find support for the implementation of measures to protect themselves and a safe environment for doing business online

2. Reassure our citizens that the government has introduced measures to combat crime, fraud and identity theft perpetrated in the digital world, and which may receive the support necessary to effectively protect themselves

A concrete demonstration of the initiative, the Government stated that it intends to invest 650 million pounds over 4 years to implement this strategy.

Do you think the British are not noticed or completely alien to the financial crisis across our country?Neither of the other. 

The British are simply putting into practice the same guideline that everyone has heard so often as the only real solution to the crisis, that is, to focus government actions also to ensure economic development and not only for a cost reduction.

With this in mind, how much can be determinant an investment directed to "secure cyberspace"?

It is pretty obvious to say that it is very clear the opinion of the British government. During this time you do not define a plan of this magnitude if you are not convinced that it could be very important for the whole country's economy.

I recently heard about the management of information security as a public good, and for this reason it has been compared to the management of public health. As a national health system is aimed at ensuring the protection of health as a fundamental right of the individual and collective interest, in the same way a system for national security should ensure the protection of safety (with respect of privacy) as a fundamental right of citizens and businesses.

How many are really aware that nowadays almost everything that we do routinely, by electronic payments, the use of smartphones, etc., depend on the security of information systems?

It is then quite natural to imagine that the same way as the scope of health care be made available a national security plan that represents the strategic plan of action to the objectives of safety and operation of Internet services (broadly defined) to meet the specific needs of companies and citizens?

The United Kingdom has just made and I hope very much for the good and prosperity of my country that the new Italian government will follow soon the same path

Mobile: rischi ed opportunità. Riflessioni su Mobile Device Management

Mobile Device Management  (MDM)

Un commento personale in merito all’articolo pubblicato on line qualche giorno fa da “Il Sole 24 Ore” riguardante la diffusione degli smartphone in azienda.  L’articolo riporta i risultati di un’analisi condotta da Ipass (azienda specializzata in servizi di mobilità) che evidenziano in modo analitico il sorpasso dell’iphone sul blackberry tra l’utenza di tipo business, e anche la significativa crescita dei modelli Android nell’ambito aziendale.

Questi dati sono lo specchio nudo e crudo dell’impatto dell’IT Consumerization, di tipo diretto e indiretto. 

Con questa personale distinzione faccio riferimento in primo luogo ai terminali di tipo Iphone/Android acquistati per uso personale e poi portati in ambito aziendale per un impiego anche nelle attività lavorative. In secondo luogo mi riferisco alla pressione emotiva sviluppatasi all’interno delle aziende, tale per cui l’adozione di un terminale in assoluto meno business oriented risulta comunque di maggior valore anche solo per l’apprezzamento che i dipendenti possono dimostrare a tal riguardo.

Comunque in generale dal punto di vista dell’IT manager questi cambiamenti presentano rischi ed opportunità. 

Le opportunità derivano innanzittutto dalla possibilità che tali ambienti offrono di sviluppare nuove applicazioni (o migrare le applicazioni esistenti) che permettono di utilizzare la leva della mobilità come ulteriore mezzo per un aumento della produttività aziendale. Mobile va a braccetto con collaboration e social network, e l’adozione integrata di questi modelli può consentire ad un’azienda di raggiungere nuovi livelli di efficienza.

Analogamente un’azienda può decidere di muoversi lungo questa direzione alla ricerca di nuove fonti di ricavi. L’introduzione di modelli di business innovativi, che modificano ad esempio il tradizionale rapporto esistente con i partner e i clienti grazie all’impiego di applicazioni di collaboration e social in mobilità, è molto spesso alla base dello sviluppo di nuovi servizi o comunque di ricavi incrementali anche nei servizi già erogati.

C’è però l’altra faccia della medaglia, come anticipato in precedenza. Come spesso succede accanto a delle opportunità si presentano dei rischi, ma la cosa importante è averne una chiara comprensione, e la capacità di elaborare una strategia per la gestione consapevole degli stessi.

Nel contesto appena illustrato, limitandoci al solo aspetto della mobilità, e trascurando per ora le minacce relative ai modelli/tecnologie in ambito social e collaboration, i rischi principali sono quelli richiamati da ENISA  (the European Network and Information Security Agency) e che io già illustravo in un precedente post:

·         data leakage, ovvero il furto dei dati presenti sul dispositivo

·         spyware, l’introduzione di codice malevole tramite il download di applicazioni considerate legittime dall’utente

·         Unintentional data disclosure, trasmissione di dati personali da parte di applicazioni installate

·         Improper decommissioning: rimozione inefficace dei dati personali a seugito di riassegnazione del dispositivo ad altro utente

Ci sono molti player che stanno posizionando sul mercato soluzioni di Mobile Device Management (MDM), e allora la domanda d’obbligo è se sia l’adozione di questo tipo di soluzioni a garantire ad un’azienda la gestione efficace ed efficiente dei rischi precedentemente elencati

La risposta è che di norma non è affatto questa la soluzione.

L’implementazione di un modello di governance in questo ambito dovrebbe essere supportata da soluzioni tecnologiche che consentano all’IT Manager una gestione a 360 gradi dei problemi connessi con la gestione e la sicurezza dei dispositivi. I cosiddetti pure player MDM sono molto bravi a garantire una gestione ottimale dei dispositivi mobili all’interno dei processi aziendali, ma non offrono le funzionalità di sicurezza base (es. antimalware, encryption) ed evolute (es. Data Loss Prevention, PKI, etc.), per gestire in un contesto multipiattaforma tutte le problematiche connesse con la necessità di proteggere le informazioni sensibili per l’azienda.

Il partner tecnologico ideale è quindi quello chè in grado di fornire all’azienda una soluzione che consente di implementare processi integrati degli aspetti di gestione e sicurezza, del tutto indipendenti dal tipo di terminale impiegato. Gli aspetti chiave risultano quindi essere quelli del controllo delle applicazioni, della configurazione degli asset, della protezione delle informazioni

Il link all’articolo completo a cui faccio riferimento è il seguente

http://www.ilsole24ore.com/art/tecnologie/2011-11-18/smartphone-business-iphone-superato-131608.shtml#comments

Lettera ad un amico molto scettico (o incapace?)

Quando facevo la terza media la professoressa di Italiano ci diede il compito di scrivere una lettera ad un personaggio storico, facendo finta che fosse un nostro caro amico. Io scelsi di scrivere a Napoleone e ricordo ancora ora che mi divertii un sacco. Dai giorni della scuola media sono passati secoli, ahime, e non so davvero come mai quest’oggi mi sia venuta voglia di fare qualcosa di simile a quella lettera. Beh, l’importante per me, è che posso dire che, come allora, anche oggi mi sono divertito a farlo !!

Ecco, ci siamo. Non te l’aspettavi proprio, vero ? Invece continuano ad arrivare notizie di casi sempre più clamorosi ...

Come..a cosa mi riferisco ? Mi chiedo come fai a fare il tuo mestiere senza preoccuparti di ricevere questo tipo di informazioni. Sto parlando degli attacchi informatici

Dovrebbero fare anche qui come hanno fatto in Norvegia. Un loro ente governativo denominato National Security Agency ha diffuso sulla stampa la notizia che oltre 10 aziende norvegesi operanti nell’ambito dell’energia e della difesa sono state vittime di attacchi informatici molto sofisticati che hanno comportato la sottrazione di segreti industriali. Niente di vero, per fortuna, ma solo un’iniziativa per aumentare la consapevolezza delle persone come te.

Ok...., la Norvegia ti sembra un esempio non sufficiente per dare credito all’importanza del tema....allora è possibile che non hai sentito da nessuna parte parlare del fatto che lo scorso mese di Ottobre è stato battezzato il mese della cybersecurity awareness in tutti gli Stati Uniti d’America ? Se mettiamo insieme tutte le iniziative promosse dal Goveno, aziende, istituzioni accademiche, etc...arriviamo a contare più di 100 milioni di persone coinvolte.

Che cosa dici .. ? davvero, avevi sempre pensato che le persone che lavorano in ambito sicurezza stessero giocando a gridare “al lupo, al lupo”, a fare un poco di terrorismo tanto per guadagnarsi la pagnotta ?

.... e quindi, adesso, sei sorpreso che invece viene fuori che un atto di sabotaggio ad una rete idrica può davvero accadere ?

Ma allora te la stai proprio cercando...non posso fare finta di niente. Quante volte ti ho parlato di Stuxnet ? Avevi capito che si trattava della manomissione di un impianto di arricchimento dell’uranio al fine di danneggiare i progetti dell’Iran di realizzazione di un armamento nucleare ? Non dire che non avevi capito che si trattava di una rete chiusa e che nonostante questo gli attaccanti sono stati in grado di diffondere un malware.

Ok, lo avevi capito...ma nonostante questo non ti si è mai accesa neppure una piccola lampadina in testa.... ?!?... Bah! Mi viene il dubbio che in realtà ti nascondi dietro la falsa convinzione che si tratta solo di “bufale”. Si, perchè in realtà non hai la visione sistemica necessaria per definire un modello di information security governance & risk management.

Ah,... ecco...buona questa ! Secondo te il caso di Stuxnet è un caso eccezionale che dovrebbe servire da esempio ai governi, ma tu ti devi occupare di business. Eggià...., perchè sei proprio convinto che i potenziali impatti di questo genere di minacce non possano incidere sul raggiungimento degli obiettivi di business della tua azienda ? Ti devo sempre ripetere le stesse cose...davvero non ne posso più. Allora...Sony...ti dice qualcosa ? A seguito della sottrazione dei dati personali di milioni di clienti il titolo ha perso un capitale a causa della discesa in borsa, delle spese legali, del supporto ai clienti etc. etc

Caro amico, spero che finalmente avrai capito che questo non è un gioco....e  al timone delle aziende dovrebbero esserci delle persone con capacità adeguate !!! 

National Cyber Security Awareness Month

http://www.dhs.gov/files/programs/gc_1158611596104.shtm

Water system attack 

http://community.controlglobal.com/content/water-system-hack-%E2%80%93-system-broken

Norway

http://www.information-age.com/channels/security-and-continuity/news/1674498/hackers-target-norways-energy-and-defence-industry.thtml

Sony

http://www.dailymail.co.uk/sciencetech/article-1390689/Sony-hacked-latest-breach-sees-2-000-customer-records-taken-shopping-site.html