Gli strumenti web-based non catturano i favori solo degli utenti privati. Sono sempre piu' diffusi nelle aziende che se ne avvalgono per migliorare i risultati della propria attivita'. Per essere integrati appieno occorre pero' affiancare una efficace strategia di sicurezza.

di Paolo Ardemagni

I siti di social networking e le applicazioni Web 2.0 hanno ormai pervaso le aziende. Gli strumenti web-based eliminano le differenze tra comunita' e cancellano le barriere fisiche, consentendo a persone e aziende di comunicare in tempo reale. E, anche se instant-messaging (IM), web conferencing, file peer-to-peer (P2P) e siti di social networking possono fornire significativi vantaggi all'azienda, stanno diventando il punto d'accesso di minacce, violazioni di conformita' e perdita di dati. Il Web 2.0 ha reso la sicurezza piu' complessa e le organizzazioni sono alla ricerca di un approccio completo che riduca, e non moltiplichi, il numero di minacce e le sfide legate a gestione e conformita' che i manager IT devono affrontare.

Paolo_Ardemagni1Per molte aziende, le applicazioni di social networking e Web 2.0 sono andate molto al di la' dell'utilizzo personale e oggi consentono di commercializzare i propri prodotti e di ottimizzare la forza lavoro. Per esempio, le Risorse Umane potrebbero avvalersi di LinkedIn per cercare potenziali candidati; le vendite sfruttare Facebook per interagire con i clienti; i dipartimenti di marketing utilizzare Twitter per condividere o estendere la visibilita' sull'annuncio piu' recente. La facilita' di condivisione delle informazioni associate alla comunicazione in tempo reale rende molti di questi strumenti estremamente interessanti. Recentemente, ho letto da un Rapporto di Forrester Research che queste tendenze sono in aumento, e la previsione di spesa in tecnologie Web 2.0 da parte delle aziende e' di 4,6 miliardi di dollari entro il 2013. A mio parere le imprese non possono ignorare la possibilita' di incrementare la produttivita' sfruttando questi strumenti.

Tuttavia, anche se social networking e applicazioni Web 2.0 aumentano la capacita' di collaborazione, hanno anche dato vita a una nuova generazione di minacce Internet. La natura stessa dei siti di social networking consente agli utenti di realizzare reti di contatti basate su un elemento di fiducia che va al di la' del business. Questo meccanismo permette quindi agli utenti di scambiarsi facilmente informazioni, immagini e file – spesso senza richiedere alcuna identificazione o verifica oltre a login e password. Il numero di incidenti di malware distribuiti da siti di social networking e file-sharing P2P sta crescendo rapidamente. Questi strumenti sono ideali per attacchi basati sul social engineering che i cyber criminali sfruttano molto velocemente e che mettono a rischio dati sensibili. E' quindi fondamentale che le aziende si assicurino che i loro sistemi di intrusion prevention (IPS) vadano al di la' della semplice identificazione e si focalizzino sulla reale prevenzione delle minacce.

Sempre secondo Forrester Research, quasi l'80% delle perdite di dati non sono intenzionali, ma causate da negligenza o violazione inconsapevole delle policy di sicurezza aziendali. Per esempio, un dipendente potrebbe inviare un documento riservato al ‘Mario' sbagliato o avvalersi di un sito di file-sharing P2P per inviare file di grandi dimensioni a un business partner. Tuttavia, in questo modo, e' possibile perdere il controllo e il possesso di dati sensibili.

Ritengo che avvisare i dipendenti di che cosa costituiscono informazioni sensibili e formarli su quelli che sono i mezzi accettabili per specifiche tipologie di dati sia fondamentale. Per ridurre i rischi correlati ai vantaggi offerti da applicazioni Web 2.0 in azienda, le imprese dovrebbero implementare soluzioni tecnologiche che aiutino a sensibilizzare gli utenti sui comportamenti a rischio attraverso tecniche di auto-apprendimento.

Per difendersi in modo efficace dalle minacce Web 2.0, aziende all'avanguardia stanno implementando soluzioni tecnologiche e una vasta gamma di tecniche di analisi e comportamentali che permettano ai dipendenti di trarre vantaggio dai tool di collaborazione senza compromettere la sicurezza. Faccio un esempio: molte realta' stanno utilizzando la tecnologia di virtualizzazione del web browser che puo' isolare minacce note e sconosciute – fornendo euristiche evolute per impedire agli utenti di recarsi su siti pericolosi. Oggi, social networking e applicazioni Web 2.0 sono disponibili a chiunque disponga di un browser; per fortuna la tecnologia di virtualizzazione web browser consente alle imprese di separare i dati aziendali da Internet e agli utenti di navigare liberamente con una protezione completa.

Credo che una valida strategia di protezione per il Web 2.0 debba comprendere:

Controllo applicativo – implementazione di controlli di sicurezza granulari per applicazioni Web 2.0, social networking, e Internet

Compliance – record di log e archiviazione per soddisfare requisiti legali o e-discovery

Web Filtering – monitoraggio e controllo dell'uso del web da parte dei dipendenti

Malware Prevention – blocco di spyware, rootkit, e worm presso il gateway

Bandwidth Control – controllo di applicazioni ad uso intenso di banda tra cui file-sharing e video streaming

Web-browser Virtualization – fornire una modalita' dual browser per consentire agli utenti di separare i dati aziendali da Internet

Funzionalita' self-learning – analizzare il comportamento degli utenti e le policy pre-configurate, avvisandoli quando dati sensibili potrebbero essere a rischio
La sicurezza nel mondo Web 2.0 e' complessa e ha lasciato molte aziende a domandarsi come gestire questi vettori di minacce di nuova generazione. Una strategia Web 2.0 efficace completa la protezione di rete con un'avanzata sicurezza endpoint, e penso che permetta alle aziende di integrare facilmente nuovi servizi su infrastrutture esistenti senza esaurire i gia' esigui budget IT. A mio parere sara' critico adottare soluzioni che garantiscono maggiore sicurezza, gestione semplificata, e che siano sufficientemente flessibili per evolvere con le esigenze di sicurezza aziendali in costante cambiamento.

Paolo Ardemagni, Regional Director Southern Europe, Check Point Software

Fonte: http://www.i-dome.com/articolo/14949-La-sicurezza-nel-Web-2-0.html