Intervista a cura di

Il tema della sicurezza delle reti informatiche, è un tema centrale e importante per tutte quelle aziende che oggi si trovano sempre più spesso nel mirino dei pirati del Web.

Le minacce potenziali da cui proteggersi sono innumerevoli: dai virus che funestano periodicamente singoli computer e reti aziendali in tutto il mondo, alle incursioni mirate a carpire informazioni riservate, allo spamming che intasa sempre più frequentemente la posta elettronica di tutti.

Per questo Key4biz.it ha deciso di approfondire l'argomento con \Michele Guglielmo¤, Country Manager di NetIQ Italia e Sales Manager South Europe.

NetIQ è un produttore di soluzioni per il System & Security Management e l'analisi Web.

 
D. Cos¿è e come nasce NetIQ?

R. NetIQ sta un po" come quoziente d'intelligenza, "IQ della Rete", infatti il nostro pay off si chiama "work smarter". È una sorta di gioco di parole.

NetIQ nasce nel 1995 da un'idea prettamente basata su un applicativo Microsoft che, in quel momento costituì il generatore del business di NetIQ e che era all'epoca una delle cosiddette killer application emergenti, stiamo parlando di Exchange. Quindi NetIQ nasce come software house che produce una soluzione dedicata alla gestione e all'interpretazione a livello del sistema Exchange, e quindi della posta elettronica. Questo è stato il primo step, il primo mattone che ha fatto poi diventare NetIQ quella che è oggi.

D. La dichiarazione di NetIQ, sulla insufficienza dei patch nella protezione delle aziende dagli attacchi hacker, è altamente preoccupante, specie perché arriva proprio nel momento in cui Microsoft ha confermato l'esistenza di numerose falle nel sistema operativo Windows. Conferma l'allarme?

Assolutamente sì. Tant¿è che, come abbiamo più volte dichiarato in passato, non è sufficiente disporre di una patch; è tutto l'insieme della sicurezza che deve essere tenuto sotto controllo. E quindi, il fatto che un sistema operativo dichiari di avere delle back door, in fondo non comunica nulla di nuovo perché si tratta di cose piuttosto scontate visto che tutti i sistemi operativi hanno delle opzioni di questo genere, e tutto sommato resta molto più difficile soprattutto per gli ambienti di classe enterprise riuscire a gestire non solo le patch di per sé ma la sicurezza e la vulnerabilità a qualsiasi tipo di attacco.

D. Cosa consiglia allora alle aziende per salvaguardarsi dagli attacchi hacker?

La prima cosa in assoluto è di seguire giorno per giorno la sicurezza, prima di tutto a livello interno e poi a livello esterno. Per farle un esempio, secondo le statistiche Gartner per il 2002, e confermate per il 2003, oltre l'85% degli attacchi sono non dolosi, dovuti all'attività interna dell'azienda stessa.

D. Le cosiddette "talpe interne'?

Se non sono "talpe interne", si tratta di errori umani che gli utenti compiono a propria insaputa, un po" per ignoranza un po" perché sistemi come Windows si prestano ai cosiddetti "smanettoni" che pensando di fare del bene all'azienda mettono invece spesso nella condizione di non poter più lavorare.

Quindi non si tratta solo di scoprire le vulnerabilità e di gestirne le patch, ma si tratta di controllarne costantemente l'effettività validità. Un processo continuativo vero  e proprio, quindi, che si basi su delle linee guida specifiche per ogni azienda e che i manager devono costantemente verificare che si seguano.

D. Quanto pesa oggi il rischio hacker sulle aziende?

Sinceramente, io credo che in questo momento il rischio sia abbastanza forte. È un mio pensiero personale, certo, ma penso davvero che le aziende si siano molto sforzate di creare una serie di barriere attraverso gli strumenti classici (antivirus, firewall, intrusion detection, ecc), sistemi di gestione della sicurezza in modo periferico, creando una sorta di perimetro di sicurezza per l'azienda.

Ma mancano dei sistemi che siano in grado di correlare eventi diversi che arrivano da strumenti di analisi diversi, e quindi molto spesso chi si occupa dei firewall non è colui che si occupa della parte antivirus o di intrusion detection, e quindi non è in grado di ottimizzare il proprio sistema nei confronti dell'altro e viceversa.

Questo se vogliamo, è un po" una limitazione che, oltre di quel famoso 85% di cui si parlava prima, fa sì che le aziende non abbiano ancora investito abbastanza in sicurezza, o meglio nel creare quella sicurezza che superi quel primo step a cui oggi sono ancora ferme.

È importante garantire non solo la sicurezza in entrata e in uscita, ma anche a livello di content interno all'azienda.

D. Sono quindi questi i comuni errori che le aziende commettono nel predisporre i loro sistemi di sicurezza informatica?

Certo. Pensi che il reset di una sola password, per singolo utente non costa meno di 20-24 euro.

Se pensiamo al caso di un'azienda di un migliaio di dipendenti, dei quali almeno il 30-35% richiede almeno una volta al mese un reset di password, possiamo ben capire quanto siano alti i costi che gravano sull'amministrazione, e tutto per un problema di sicurezza.

E poi, si tratta di un concetto di base che parte innanzitutto dall'interno. Non si può parlare seriamente di sicurezza se non si conosce perfettamente la struttura aziendale. Essere in grado di sapere chi fa cosa, quando e perché, riuscendo a delineare chiaramente le aree di competenza. Ripeto, l'85% dei problemi di sicurezza aziendale parte dall'interno dell'azienda stessa.

D. Possiamo dire che l'atteggiamento culturale delle imprese italiane nei confronti della sicurezza di rete non è poi così attento?

R. Purtroppo nella sicurezza c'è stata una ventata di novità negli scorsi anni, con un proliferare di società che si sono lanciate in questo mercato. Io non credo che sia un problema delle aziende italiane, ma di immaturità del mercato stesso. Tante volte le aziende fanno fatica a scegliere fra un'offerta piuttosto che un'altra semplicemente perché la difficoltà è dettata dall'offerta. Molto spesso le aziende sanno perfettamente cosa vogliono ma è anche vero che siamo un po" in ritardo rispetto al resto dell'Europa e quindi del mondo.

D. Ma quanto siamo in ritardo rispetto ai Paesi più avanzati?

R. Diciamo c'è chi sta facendo meglio. Personalmente, seguo il mercato Sud Europeo e vedo che ad esempio Israele parlando di eSecurity in generale ha un approccio alla sicurezza notevole. Loro hanno strumenti di enforcement e hardening che non sono certo soltanto il rilascio di una patch ma il controllo costante e giornaliero dei valori di registry di ogni singolo server che differisce da qualunque altro server. Quindi un controllo capillare.

D. Allora l'Europa dietro gli Usa e l'Italia dietro chi in Europa?

R. Probabilmente dietro a Inghilterra e Germania ma un po" più avanti della Francia.

D. Quindi, secondo lei, in Italia non c'è poi tutta questa consapevolezza dei rischi che si corrono?

R. È un po", se vogliamo, come quando si deve fare il back up. Io mi accorgo di avere bisogno di fare una copia di salvataggio dei miei dati solo quando ho la necessità di fare il restore. Solo che fare il back up è una cosa, fare il restore è tutta un'altra cosa.

D. In termini pratici, a quali danni va incontro una società nel momento in cui la propria rete è attaccata da uno dei virus che sono oggi ancora in circolazione, come Mydoom per esempio?

R. Dipende dal livello di sicurezza dell'azienda in questione. Se ci sono poche macchine che non sono protette il rischio è limitato, ma se non c'è una protezione interna dell'azienda, una volta che qualcuno riesce a penetrare nel sistema i danni possono essere fatali. Le aziende che hanno subito dei crash dovuti ad attacchi informatici, nel 75% dei casi sono andate a finire in bancarotta.

D. Come commenta la recente sottrazione del codice sorgente di Windows, che sarebbe stato messo in Rete su alcuni siti P2P, e che potrebbe consentire agli hacker di accedere a tutti i Pc dotati del software Windows, quindi, quasi tutti i computer del mondo?

R. Preferirei un no comment. Io credo che ogni tanto si creino delle leggende metropolitane.

Se qualcuno avesse voluto davvero sottrarre il codice sorgente di Windows non credo certo che la cosa sarebbe stata sbandierata così.

Un hacker vero non avrebbe mai detto nulla ma si sarebbe divertito a fare le sue scorribande.

Questo discorso si lega a una domanda chiave: qual è il sistema operativo più sicuro? Si parla sempre dei difetti di Windows, ma anche Linux, che rende disponibili i propri sorgenti per creare applicazioni dovrebbe essere meno al sicuro. Così come potrebbe esserlo qualsiasi altro sistema operativo, dipende dal momento.

D. Potrebbe esserci dietro una campagna di screditamento da parte dei suoi competitor?

R. Forse sì, ma non necessariamente ai danni di Microsoft. Si tratta di un'azienda talmente grossa che cercare di denigrarla, non mi sembra una mossa molto prudente!