Nel mondo dell’Information Security esistono miti che influenzano alti dirigenti, business manager e a volte gli stessi professionisti di settore, causando equivoci ed esagerazioni circa le minacce ai sistemi informatici e le tecnologie utilizzate per combatterle. Molti di questi miti esistono perché le persone tendono a reagire in modo eccessivo ed emotivo in situazioni non familiari, invece che operare un’analisi oggettiva. Il risultato è sovrastimare il problema affidandosi alla prima soluzione che ci viene proposta o peggio sottovalutare i rischi, pensando così di evitare spese aggiuntive.

Mito #1 – Non succederà a me

Credere che la propria azienda non sarà mai soggetta a problemi di sicurezza informatica. Molte volte questa affermazione è detta da qualcuno che non vuole spendere (o meglio, investire), sperando che il rischio non si concretizzi. Invece è bene che quando un problema viene riconosciuto, o anche solo ipotizzato, ci sia una fase di analisi del rischio e che se opportuno vengano investite le risorse necessarie a mitigarlo o risolverlo completamente.

Altre volte avviene il contrario: si esagera nella valutazione dell’impatto delle vulnerabilità. La cosa migliore è usare un framework di metriche per dare un valore oggettivo al rischio delle vulnerabilità.

Mito #2 – Tutti i rischi possono essere quantificati

Nelle aziende c’è la concezione sbagliata che ogni cosa possa avere un numero collegato ad essa. C’è l’illusione che i security manager manager possano ottenere il budget di cui hanno bisogno solo se giustificato da un foglio di calcolo Excel. Bisogna invece aiutare le alte sfere a capire ciò che può e non può essere quantificato, ed ottenere il budget necessario ad implementare una robustra architettura di controlli base di sicurezza.

Mito #3 – Abbiamo la sicurezza fisica o SSL quindi i dati sono al sicuro

Più semplicemente: abbiamo l’antivirus e il firewall, siamo al sicuro! Questo non è vero. Spesso questa concezione viene inculcata da fornitori esterni che cercano di vendere i loro prodotti e puntano tutto sulle loro peculiarità. Per favore, basta comprare prodotti ed appliance, non vi renderanno magicamente sicuri! E anche nel caso in cui il prodotto sia “buono” vogliamo far si che venga configurato correttamente e lavori al massimo delle sue potenzialità?

In realtà la sicurezza va sviluppata come architettura partendo dalla valutazione dei rischi, tenendo conto di cosa si sta proteggendo, così da implementare i controlli corretti. Questo permette di non essere distratti da elementi non essenziali alla sicurezza.

Mito #4 – Utilizzare password complesse con scadenza riduce i rischi

Non è vero. Le password non sono effettive e l’intero schema ha delle grosse lacune. E’ solo un obsoleto precedente storico a cui le aziende si appigliano.

Le password non sono sufficienti, visto che il cracking non è l’unico modo di saltare l’ostacolo: c’è anche lo sniffing e il riutilizzo delle credenziali tra sistemi con livelli di sicurezza differente. Trovare una valida alternativa alle password è difficile, e non sempre l’autenticazione a due o più fattori può essere facilmente implementata. Intanto le aziende possono consigliare ai dipendenti di non utilizzare password personali a lavoro, ed eseguire dei controlli periodici sulla forza delle password.

Mito #5 – Comprare uno dispositivo di sicurezza informatica, risolverà tutti i problemi

Ci hanno appena informati di un nuovo prodotto, risolve il 95% dei problemi, di facile installazione e costa come uno dei tanti server che abbiamo in azienda. Magari.. Come abbiamo detto prima: smettiamo di comprare software e “ferro” sperando che risolva magicamente i nostri problemi. Senza un’analisi seria e un lavoro di auditing di quelle che sono le reali criticità a cui è esposto il nostro business spenderemo inutilmente denaro aumentando la complessità della nostra infrastruttura. Questo mito rappresenta una comprensione comune ed errata del problema “sicurezza” nel suo insieme.

Affidarsi ai miti è sbagliato. Per questo esiste EasyAudit, uno strumento professionale ed economico per avere una seconda opinione sulla sicurezza informatica della tua impresa!

Related posts