Tipicamente il rischio viene associato alla probabilità che un evento, in genere avverso, produca dei danni. Questo concetto abbastanza vago può essere calato nella terminologia informatica: il rischio informatico è la probabilità che una minaccia possa colpire i sistemi informativi. Mentre per i nostri sistemi il danno può essere dato dal malfunzionamento del computer, dalla parziale perdita di dati, da un utilizzo non autorizzato delle nostre utenze, per un’azienda il danno si traduce in molteplici variabili: un danno reputazionale, danni fisici ai sistemi e perdite economiche. Pertanto, è chiaro quanto tentare di contenere il rischio informatico sia fondamentale per ogni impresa, poiché non è possibile avere un rischio pari a zero.
In questo contesto si colloca il recente studio a cura di Trend Micro, nota azienda di sicurezza informatica, in collaborazione con il Ponemon Institute. L’obiettivo è quello di mettere in luce la capacità di gestione del rischio nelle aziende. L’analisi si concentra in tre macroaree geografiche: l’America, l’Europa e l’Asia. Il quadro che ne emerge non è dei più rosei poiché globalmente persiste un rischio definito alto (in una scala di valori da -10 a 10, dove -10 è il massimo rischio per un’azienda).
Tuttavia, è bene anche precisare che la ricerca si basa su interviste fatte ai clienti di Trend Micro e quindi su valutazioni soggettive del personale delle aziende intervistate. L’indice di rischio è calcolato su due componenti: da un lato la capacità di individuare una minaccia (ovvero essere pronti a reagire), dall’altro la capacità di rispondere a un attacco quando questo è in corso. Queste due misure sono infatti indicatori di quanto un’azienda sia preparata nei confronti del rischio informatico.
Un fattore determinante nella gestione dei rischi informatici è la proattività con la quale si cercano le vulnerabilità dei propri sistemi, per ridurre la superficie d’attacco e minimizzare l’impatto che una minaccia potrebbe avere colpendo l’azienda. Infatti, maggiore sarà la superficie d’attacco, maggiori saranno le probabilità che un attaccante riesca a far breccia nei nostri sistemi e perciò a recarci danno.
Come possiamo ridurre la superficie d’attacco? La cosa più semplice sarebbe tenere il software sempre aggiornato così che eventuali patch di sicurezza, contenenti ad esempio, la risoluzione di bug relativi a minacce cosiddette zero-day (cioè vulnerabilità non note per le quali però esiste un attacco) possano essere installati sui sistemi e ridurre la probabilità che un attacco abbia successo. Questo è uno dei punti carenti nella maggior parte delle aziende: spesso si preferisce continuare ad utilizzare sistemi detti legacy perché funzionano piuttosto che aggiornarli. Nelle aziende produttive, infatti, molti sistemi di controllo dei robot si basano ancora su Windows XP, il cui supporto è terminato diversi anni fa.
Qualcuno potrebbe obiettare che il rischio si può ridurre scollegandosi da Internet, dove circolano la maggior parte delle minacce, ma resta il fatto che non è possibile avere un sistema completamente isolato, quindi è sempre possibile trovare un punto d’accesso. Nascondendoci dai pericoli non siamo effettivamente più forti, anzi il nostro livello di sicurezza potrebbe peggiorare. Trend Micro, addirittura, evidenzia la necessità di snellire la complessità dei sistemi e ancora migliorare l’allineamento (di versioni, software…) fra sistemi eterogenei. Il primo assioma dell’ingegneria dice, infatti, che più un sistema è complesso, maggiore è la complessità per verificarne la correttezza. Analogamente uno dei principi cardine della sicurezza si chiama KISS: “Keep it simple, stupid” ovvero “Rendilo semplice, quasi elementare”!
L’altro aspetto della ricerca, come abbiamo già introdotto, è la capacità di rispondere qualora un attacco sia in corso o sia avvenuto. Anche se l’indicatore sembra banale è bene riflettere che le aziende non riescono a comportarsi come gli hacker che vediamo nei film: non c’è una persona dietro a uno schermo che ha in mano tutta l’infrastruttura. Reagire a un attacco comporta l’utilizzo di procedure snelle e rapide, che consentano di tenere traccia di ciò che succede, ma che diano anche ampia possibilità di manovra in caso di compromissione dei sistemi.
Purtroppo, questi due concetti sono difficili da realizzare perché le strutture aziendali sono spesso complesse, articolate e gerarchiche. Ciò si traduce in una difficoltà di reazione che vanifica la capacità di risposta causata dalla lentezza tra l’individuazione dell’attacco e l’apportare modifiche ai sistemi per aumentarne la sicurezza.
La ricerca di Trend Micro evidenzia effettivamente cinque aree d’intervento su cui concentrare gli sforzi per ridurre i rischi aziendali:
L’Europa (e l’Italia) si colloca in un fattore di rischio pari a – 0,13: un valore elevato ma pur sempre migliore rispetto all’America che ottiene – 1,07. Meglio di noi soltanto il continente asiatico capace di totalizzare – 0,03.
Abbiamo detto che il rischio non può essere nullo ma possiamo soltanto minimizzarlo. È necessario adottare una strategia che ci consenta di convivere al meglio che possiamo, cercando di essere sufficientemente tranquilli. Come?
Il lavoro di Trend Micro è sicuramente un’indagine importante da cui partire per migliorare la gestione del rischio, il resto poi tocca a noi farlo!
Articolo a cura di Nicola Fioranelli