È scienza: un sistema immunitario debole, un batterio malevolo o un virus possono scatenare malattie che debilitano il corpo umano. Così cerchiamo di sostenere una corretta alimentazione e facciamo analisi periodiche per controllare che tutto sia nella norma. Un sistema informatico non è molto diverso da tutto ciò. Test delle vulnerabilità Gli attacchi informatici sono sempre più frequenti, quindi è bene effettuare periodicamente test delle vulnerabilità e test di penetrazione. Per quale motivo? Le risposte sono varie: Trovare debolezze nelle infrastrutture, nelle applicazioni e tra le persone al fine di sviluppare adeguati controlli. Assicurarsi che siano state implementate misure di sicurezza che funzionino correttamente. Questo fornisce una garanzia al senior management. Testare le applicazioni più a rischio. Bisogna tener conto che chi sviluppa i software può commettere errori e creare programmi insicuri. Scoprire nuovi bug nei software esistenti e creare patch e aggiornamenti per correggerli. E’ bene sapere che anche questi ultimi possono essere causa di nuovi bug. Il test di penetrazione cerca le vulnerabilità, le testa e le sfrutta per accedere al sistema. Molte volte il test viene bloccato quando viene raggiunto questo obbiettivo. Un gesto pericoloso, visto che ci potrebbero essere altre vulnerabilità non testate. I test di vulnerabilità potrebbero anche far risultare falsi positivi, sintomo che...
Learn MoreNel mondo dell’Information Security esistono miti che influenzano alti dirigenti, business manager e a volte gli stessi professionisti di settore, causando equivoci ed esagerazioni circa le minacce ai sistemi informatici e le tecnologie utilizzate per combatterle. Molti di questi miti esistono perché le persone tendono a reagire in modo eccessivo ed emotivo in situazioni non familiari, invece che operare un’analisi oggettiva. Il risultato è sovrastimare il problema affidandosi alla prima soluzione che ci viene proposta o peggio sottovalutare i rischi, pensando così di evitare spese aggiuntive. Mito #1 – Non succederà a me Credere che la propria azienda non sarà mai soggetta a problemi di sicurezza informatica. Molte volte questa affermazione è detta da qualcuno che non vuole spendere (o meglio, investire), sperando che il rischio non si concretizzi. Invece è bene che quando un problema viene riconosciuto, o anche solo ipotizzato, ci sia una fase di analisi del rischio e che se opportuno vengano investite le risorse necessarie a mitigarlo o risolverlo completamente. Altre volte avviene il contrario: si esagera nella valutazione dell’impatto delle vulnerabilità. La cosa migliore è usare un framework di metriche per dare un valore oggettivo al rischio delle vulnerabilità. Mito #2 – Tutti i rischi possono essere quantificati Nelle aziende c’è la concezione sbagliata che ogni cosa...
Learn MoreClickjacking: quando un click nasconde la truffa Marco è un gran appassionato di calcio. Ogni giorno segue le notizie della sua squadra preferita su siti diversi, da quelli ufficiali a quelli di nicchia. Probabilmente è il momento della giornata che ama di più, ma lo sarà per sempre? Durante una delle sue navigazioni nel web, Marco è attratto da un link che riporta una notizia strepitosa che riguarda la sua squadra. Preso dall’euforia ci clicca e non succede nulla. “Sarà un problema del sito” pensa. Invece no. Pochi giorni dopo Marco riceve una mail con una sua foto in pigiama e con un messaggio: “Ho tante foto come questa, posso spiarti, ma se mi paghi finirò di farlo”. (Gli attacchi di Clickjacking possono permettere di accedere alla web cam ed al microfono modificando le impostazioni del software Adobe Flash) Wikipedia dice: Durante una normale navigazione web, l’utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilità sfrutta Javascript o Iframe. Pharming: sito originale o pagina web creata ad hoc? Giuseppe passa molte ore davanti al pc, soprattutto sui social-network. Gli piace condividere link, guardare le...
Learn MoreInvestire nella sicurezza informatica, e farlo in modo consapevole. E’ questo quello che ogni CFO, Chief Financial Officer, ovvero chi ha il controllo sul budget, dovrebbe fare per la propria impresa. L’elemento fondamentale di ogni azienda è il marchio. Ciò che la contraddistingue e ne mantiene viva la reputazione. Ciò di cui i clienti si fidano. Ma cosa succederebbe se i sistemi informatici fossero attaccati da hacker esperti e malintenzionati? In media, i costi dei danni causati da attacchi a sistemi informatici di grosse aziende Americane è di circa 5 milioni di dollari. Una dato fornito dal The Ponemon Institute, ente di ricerca indipendente in materia di privacy, protezione dei dati e la politica di sicurezza delle informazioni. In Italia le aziende hanno una dimensione media minore ma non per questo sono meno esposte. Un costo del genere potrebbe essere esiguo per grandi aziende ma è fatale per quelle medie e piccole, che si vedrebbero tagliate fuori dal mercato. Come evitare che questo accada? I CFO dovrebbero essere disponibili nell’investire nella sicurezza, e farlo con un occhio di riguardo. Le scelte si dovranno prendere con consapevolezza, per questo i CFO dovrebbero essere preparati e informati su cosa si stia investendo risorse. Acquistare sistemi di protezione costosi e d’avanguardia, senza analizzare...
Learn More