La centralità dei Sistemi Informativi nella gestione aziendale: la visione di Vodafone Italia
La sicurezza informatica è diventata una tematica centrale, non solo per gli addetti ai lavori all’interno dei dipartimenti di Sicurezza e Information Technology delle aziende, ma anche per l’intero Top Management.
La crescita di importanza degli assets immateriali nelle aziende, i processi sempre più spinti di informatizzazione e digitalizzazione e la necessità di proteggere il brand, hanno fatto sì che sia diventata centrale per amministratori delegati e direttori della security la tematica della protezione delle informazioni aziendali (ed in primis dei dati dei clienti) e la protezione delle infrastrutture informatiche al fine di garantire la continuità del business.
La protezione delle informazioni aziendali richiede competenze nuove e visione diverse delle minacce, che nel contempo si sono fatte mondiali e basate su attacchi sempre più sofisticati e veloci.
Mio compito sarà quindi quello di provare a descrivervi la sfida che giornalmente affronto con il mio team, nel quadro di un azienda che è infrastruttura critica del Paese, oltre che un’azienda di telecomunicazioni.
LO SVILUPPO DI UNA POLITICA DI SICUREZZA AZIENDALE: L’ESPERIENZA DI VODAFONE ITALIA
Le informazioni, i sistemi di supporto e le reti sono assets fondamentali per Vodafone Italia.
La disponibilità, l’integrità e la riservatezza sono essenziali per garantire un margine concorrenziale, il cash-flow, la redditività, la conformità alle disposizioni legislative e un’immagine di Società di tutto rispetto.
Si rende quindi necessario proteggere questi beni da eventuali minacce, che potrebbero derivare dalle fonti più disparate.
Il patrimonio aziendale oggi coincide sempre più con le informazioni custodite all'interno del sistema informativo ed è quindi di fondamentale importanza proteggere adeguatamente queste informazioni, alla luce anche del fatto che lo sviluppo tecnologico ha incrementato considerevolmente il flusso di dati, che quotidianamente vengono prodotti, memorizzati e scambiati.
Per questo motivo ogni organizzazione deve essere in grado di garantire la sicurezza degli stessi, in un contesto in cui i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento.
In particolare la protezione dei dati dei nostri clienti è fondamentale e rappresenta un fattore di differenziazione; gli operatori telefonici gestiscono una grande quantità dei dati dei clienti (rete sociale di chiamato chiamante, localizzazione, metodi di pagamento, dalla carta di credito alle coordinate bancarie, indirizzo di residenza, etc.) ed è nostra responsabilità gestirli con cura ed evitare qualsiasi uso non legato esclusivamente alla gestione del servizio e consenso della clientela.
Mentre da una parte la mole dei dati dei clienti è cresciuta (anche grazie al Cloud ed all’utilizzo degli smartphone al posto dei cellulari basici), il numero degli attaccanti, la sofisticazione degli attacchi e la velocità con cui un attacco è perpetrato sono aumentati notevolmente.
Mentre in passato, infatti, gli attacchi alla sicurezza dei sistemi informativi di un’azienda erano per lo più atti sporadici di vandalismo da parte di hackers, oggi il numero di intrusioni dannose si è moltiplicato grazie alla disponibilità su internet di strumenti di offesa (virus, sypware, botnet) che vengono venduti a buon mercato come “malware as a service”
Ad hackers ed attivisti negli ultimi anni si sono aggiunti “professionisti” del crimine informatico, spesso assoldati da aziende per effettuare spionaggio industriale, o militari che nella nuova “cyber war” provano a penetrare le linee di difesa digitali delle infrastrutture critiche delle altre nazioni.
In tale contesto, diventa indispensabile dotarsi di un piano di protezione, ovvero:
• adottare misure necessarie a bloccare i tentativi di intrusione da parte di soggetti, siano essi esterni o interni, non autorizzati nei propri sistemi
• proteggere i dati in modo che le informazioni siano ben custodite e non corrano il rischio di andare perdute
• evitare possibili danneggiamenti causati da una scarsa consapevolezza e una scarsa sensibilità e formazione sul tema della sicurezza aziendale da parte del personale interno.
• disporre di un livello di sicurezza molto basso, mette in pericolo la continuità del business aziendale e si rischia di far sostenere all’azienda costi futuri molto più elevati di quelli che la stessa avrebbe sostenuto installando software originali.
L’IMPORTANZA DI UN EFFICACE SISTEMA DI SICUREZZA DELLE INFORMAZIONI IN VODAFONE COME PARTE INTEGRANTE DEL BUSINESS.
Oggi parlare di sicurezza dei dati, protezione e tutela delle informazioni dei nostri clienti è diventato sinonimo di serietà aziendale.
Una violazione alla sicurezza può costare ad un'azienda non solo una perdita in produttività e dati, ma causare anche danni irreparabili alla propria immagine, anche perché nel sistema di relazioni in cui un’impresa opera, si trova a trattare dati non solo propri ma anche dei clienti e dei fornitori.
Mettere a rischio la riservatezza di questi dati può compromettere la continuità delle relazioni con l’esterno. L’innalzamento del livello del trust dei nostri clienti, e più in generale degli stakeholders, dipende da quanto siamo in grado di preservare la ‘’digital confidence’’.
Le conseguenze di attacchi informatici sono quindi sia interne sia esterne e possono avere impatti notevoli sul business. Più dei costi connessi alle violazioni di sicurezza sono però i benefici che porta all’azienda un approccio proattivo alla sicurezza.
I vantaggi che l’azienda ottiene predisponendo un piano di sicurezza informatica sono:
• una maggiore protezione dei sistemi IT da attacchi esterni
• un incremento della capacità di monitoraggio degli accessi alla rete aziendale
• una maggiore sicurezza nell’accesso remoto da parte degli utenti
• la garanzia di continuità del business
• una maggiore affidabilità infrastrutturale complessiva
• una protezione continua da virus, spyware e phishing e un ambiente di posta elettronica più protetto
una riduzione al minimo dei rischi legati alla protezione e alle vulnerabilità del sistema.
I PRINCIPALI RISCHI E LE CONTROMISURE ATTUATE DA VODAFONE
I principali rischi informatici sono:
Cyberwarfare o guerra cibernetica (attraverso l'uso di tecnologie elettroniche, informatiche e dei sistemi di telecomunicazione si alterano o distruggono le informazioni e i sistemi di comunicazioni nemici).
Cyber spionaggio (è la pratica di carpire informazioni riguardanti individui, concorrenti, rivali, gruppi, governi senza l'autorizzazione del titolare dei dati (personali, sensibili, di proprietà o di natura classificata) a scopo di ottenere un vantaggio personale, economico, politico o militare attraverso l'uso di virus e malware .
Denial of services (Negazione del servizio. Per es. l’oscuramento di un sito) : è un attacco che ha l’obiettivo di ridurre o annullare la capacità di servizio di una risorsa (per esempio un sito web) attraverso un sovraccarico di richieste tale da determinare un crollo nelle prestazioni o un malfunzionamento del sistema impegnato a soddisfarle, Computer crime, or cybercrime.( ossia un crimine commesso utilizzando un computer, una rete o un dispositivo hardware).
A fronte delle crescenti minacce informatiche è necessario passare da un modello di sicurezza concentrato su prevenzione e controllo, ad un approccio basato sulla gestione del rischio, per riuscire a valutare in tempo le minacce incombenti.
Tra le principali protezioni possiamo annoverare:
• Protezione “by design” dei Dati/Privacy Clienti (focus su dati di traffico, carte di credito e pagamenti)
• Misure di sicurezza informatica su Online (furto di identità digitale e frodi on line)
• Audit Terze Parti (da Due Diligence a Security Assessment)
• Stretta collaborazione con Technology Security ( il Dipartimento che si occupa dello sviluppo , implementazione ed esercizio della RETE) per garantire la sicurezza di tutti i nuovi prodotti e servizi
• Cooperazione con Polizia Postale (CNAPIC) e il CERT nazionali (ci torneremo nella seconda parte della pubblicazione su questo punto, parlando di sinergie pubblico-privato)
• Monitoraggio e gestione di tutti gli allarmi di sicurezza informatica mediante GSOC (Global Security Operation Center). Il GSOC è una struttura sovranazionale, rispetto a Vodafone Italia, che ha il compito di monitorare, gestire e segnalare tutti gli incidenti di sicurezza che costituiscono una minaccia per le Operations Companies del Gruppo Vodafone.
Un’ altra importantissima contromisura “non tecnologica”, nella quale in Vodafone crediamo moltissimo, è costituita dalla diffusione della cultura della sicurezza a 360 gradi, non solo sui dipendenti, ma anche sui fornitori, e sui partners.
Un'organizzazione, infatti, può essere danneggiata non soltanto tramite attacchi dolosi.
La minaccia principale all'integrità dei dati proviene da utenti autorizzati, che non si rendono conto delle operazioni che effettuano. Errori ed omissioni possono causare la perdita, il danneggiamento o l'alterazione di dati importanti.
Le minacce involontarie provengono in genere dai dipendenti non esperti e non consapevoli delle vulnerabilità e delle minacce alla sicurezza.
di Stefano Bargellini, Direttore Affari Generali e Sicurezza, Vodafone Italia.
ndr. la seconda parte dell’articolo di Stefano Bargellini sarà pubblicata nei prossimi giorni.