La sicurezza nel Web 2.0

I siti di social networking e le applicazioni Web 2.0 hanno ormai pervaso le aziende. Gli strumenti web-based eliminano le differenze tra comunità e cancellano le barriere fisiche, consentendo a persone e aziende di comunicare in tempo reale. E, anche se instant-messaging (IM), web conferencing, file peer-to-peer (P2P) e siti di social networking possono fornire significativi vantaggi all’azienda, stanno diventando il punto d’accesso di minacce, violazioni di conformità e perdita di dati. Il Web 2.0 ha reso la sicurezza più complessa e le organizzazioni sono alla ricerca di un approccio completo che riduca, e non moltiplichi, il numero di minacce e le sfide legate a gestione e conformità che i manager IT devono affrontare.

Per molte aziende, le applicazioni di social networking e Web 2.0 sono andate molto al di là dell’utilizzo personale e oggi consentono di commercializzare i propri prodotti e di ottimizzare la forza lavoro. Per esempio, le Risorse Umane potrebbero avvalersi di LinkedIn per cercare potenziali candidati; le vendite sfruttare Facebook per interagire con i clienti; i dipartimenti di marketing utilizzare Twitter per condividere o estendere la visibilità sull’annuncio più recente. La facilità di condivisione delle informazioni associate alla comunicazione in tempo reale rende molti di questi strumenti estremamente interessanti. Recentemente, ho letto da un Rapporto di Forrester Research che queste tendenze sono in aumento, e la previsione di spesa in tecnologie Web 2.0 da parte delle aziende è di 4,6 miliardi di dollari entro il 2013. A mio parere le imprese non possono ignorare la possibilità di incrementare la produttività sfruttando questi strumenti.

Tuttavia, anche se social networking e applicazioni Web 2.0 aumentano la capacità di collaborazione, hanno anche dato vita a una nuova generazione di minacce Internet. La natura stessa dei siti di social networking consente agli utenti di realizzare reti di contatti basate su un elemento di fiducia che va al di là del business. Questo meccanismo permette quindi agli utenti di scambiarsi facilmente informazioni, immagini e file – spesso senza richiedere alcuna identificazione o verifica oltre a login e password. Il numero di incidenti di malware distribuiti da siti di social networking e file-sharing P2P sta crescendo rapidamente. Questi strumenti sono ideali per attacchi basati sul social engineering che i cyber criminali sfruttano molto velocemente e che mettono a rischio dati sensibili. E’ quindi fondamentale che le aziende si assicurino che i loro sistemi di intrusion prevention (IPS) vadano al di là della semplice identificazione e si focalizzino sulla reale prevenzione delle minacce.

Sempre secondo Forrester Research, quasi l’80% delle perdite di dati non sono intenzionali, ma causate da negligenza o violazione inconsapevole delle policy di sicurezza aziendali. Per esempio, un dipendente potrebbe inviare un documento riservato al ‘Mario’ sbagliato o avvalersi di un sito di file-sharing P2P per inviare file di grandi dimensioni a un business partner. Tuttavia, in questo modo, è possibile perdere il controllo e il possesso di dati sensibili.

Ritengo che avvisare i dipendenti di che cosa costituiscono informazioni sensibili e formarli su quelli che sono i mezzi accettabili per specifiche tipologie di dati sia fondamentale. Per ridurre i rischi correlati ai vantaggi offerti da applicazioni Web 2.0 in azienda, le imprese dovrebbero implementare soluzioni tecnologiche che aiutino a sensibilizzare gli utenti sui comportamenti a rischio attraverso tecniche di auto-apprendimento.

Per difendersi in modo efficace dalle minacce Web 2.0, aziende all’avanguardia stanno implementando soluzioni tecnologiche e una vasta gamma di tecniche di analisi e comportamentali che permettano ai dipendenti di trarre vantaggio dai tool di collaborazione senza compromettere la sicurezza. Faccio un esempio: molte realtà stanno utilizzando la tecnologia di virtualizzazione del web browser che può isolare minacce note e sconosciute – fornendo euristiche evolute per impedire agli utenti di recarsi su siti pericolosi. Oggi, social networking e applicazioni Web 2.0 sono disponibili a chiunque disponga di un browser; per fortuna la tecnologia di virtualizzazione web browser consente alle imprese di separare i dati aziendali da Internet e agli utenti di navigare liberamente con una protezione completa.

Credo che una valida strategia di protezione per il Web 2.0 debba comprendere:

• Controllo applicativo – implementazione di controlli di sicurezza granulari per applicazioni Web 2.0, social networking, e Internet
  
• Compliance – record di log e archiviazione per soddisfare requisiti legali o e-discovery
  
• Web Filtering – monitoraggio e controllo dell’uso del web da parte dei dipendenti
  
• Malware Prevention – blocco di spyware, rootkit, e worm presso il gateway
  
• Bandwidth Control – controllo di applicazioni ad uso intenso di banda tra cui file-sharing e video streaming
  
• Web-browser Virtualization – fornire una modalità dual browser per consentire agli utenti di separare i dati aziendali da Internet
  
• Funzionalità self-learning – analizzare il comportamento degli utenti e le policy pre-configurate, avvisandoli quando dati sensibili potrebbero essere a rischio

La sicurezza nel mondo Web 2.0 è complessa e ha lasciato molte aziende a domandarsi come gestire questi vettori di minacce di nuova generazione. Una strategia Web 2.0 efficace completa la protezione di rete con un’avanzata sicurezza endpoint, e penso che permetta alle aziende di integrare facilmente nuovi servizi su infrastrutture esistenti senza esaurire i già esigui budget IT. A mio parere sarà critico adottare soluzioni che garantiscono maggiore sicurezza, gestione semplificata, e che siano sufficientemente flessibili per evolvere con le esigenze di sicurezza aziendali in costante cambiamento.

Paolo Ardemagni, Regional Director Southern Europe, Check Point Software