• Decrease font size
  • Reset font size to default
  • Increase font size
  • Qualità
  • Sicurezza
  • Garanzia
  • Rapidità di risposta
  • Diminuzione dei costi
  • Soluzioni Ecosostenibili
  • Utilizzo di materiali riciclabili
  • Risparmio energetico
Dedicato agli IT
L'impronta digitale PDF Print E-mail

Che cosa si intende per riconoscimento biometrico?

Le tecnologie biometriche attualmente esistenti afferiscono a tre categorie specifiche: l’analisi comportale, l’analisi biologica e l’analisi morfologica. Di queste la più utile è la terza, in quanto studia le impronte digitali, la geometria della mano e del volto, il disegno della rete venosa dell’occhio, l’iride e la retina, perchè questi elementi permangono in un individuo in modo stabile durante tutta la vita. I sistemi di analisi delle impronte digitali hanno raggiunto negli anni la piena maturità tecnologica, infatti questa tecnica è la più utilizzata e la più affidabile nell'impiego con grandi flussi di persone e anche quella meno invasiva e più scelta dagli utenti.

Qual è secondo Lei l’importanza della biometria nel telelavoro?

In un epoca in cui il nomadismo fa parte ormai delle abitudini di vita delle persone, anche il semplice cittadino vuole poter usare in modo sicuro un portale senza lasciare le proprie impronte o password in una banca dati centralizzata.
Lasciare libero accesso dall’esterno senza garantire l’identità delle persone che si collegano può compromettere le misure di protezione applicate alla rete dell’ente. Un’autenticazione multi fattore permette di preservare la sicurezza del sistema informativo garantendo l’identità degli utenti distanti e rispettando le normative vigenti. Inoltre, l’ergonomia e la sicurezza di un sistema token-biometrico non sono in discussione. Un esempio concreto di applicazione è rappresentato dall’IVA o dall’e-voting. Sono disponibili sul mercato anche soluzioni di sicurezza personale costituite da dispositivi biometrici a chiave su porta USB per autenticarsi in modo sicuro e senza depositare informazioni sul computer da cui si effettua l’accesso.

Come è possibile combattere il problema del phishing con il riconoscimento biometrico? Come si garantisce ad un cittadino la dovuta mobilità rispetto a pratiche amministrative, magari di qualche ente pubblico?

Attraverso sistemi di autenticazione a distanza con un metodo multi fattore (token-bio) è possibile collegarsi senza rischio ad un sito governativo, a reti private, a siti di commercio elettronico o di banking online. Per raggiungere la massima sicurezza si sostituisce la semplice password con una procedura d’autenticazione forte. Ogni utente si vede attribuire un token biometrico che genera un codice, valido unicamente per il collegamento in corso. Quando gli è richiesto, l’utente presenta la sua impronta digitale (cio che è), e solo allora il token biometrico genera il codice unico (OTP One Time password – ciò che possiede). L’unione di questi elementi costituisce la prova dell’identità dell’utente.

Intervista al Dott. Angelo Attianese, Presidente di Xelios Italia

 
Una materia per fronteggiare possibili scenari di rischio PDF Print E-mail
L’importanza di acquisire una capacità strategica per poter rispondere ad incidenti e continuare l’attività ad un livello accettabile.

Che cos’è la Business Continuity?
Lo Standard BS25999-1 dà la seguente definizione: “strategic and tactical capability of the organization to plan for and respond to incidents and business disruptions in order to continue business operations at an acceptable pre-defined level”.
In pratica è una disciplina che mette in grado un’Azienda di adottare formalmente l’approccio reputato più idoneo a fronteggiare possibili scenari di rischio (ad esempio: un terremoto; un black-out; un incendio; un sabotaggio; ecc.), derivanti dal verificarsi di eventi causali che, sfruttando le vulnerabilità di uno o più asset (sistemi informatici, infrastrutture; persone; ecc.), impediscono di ottemperare ad obblighi istituzionali o provocano danni in grado di influire sulla capacità dell’azienda di continuare la propria attività di business.
In passato l’attenzione delle Organizzazioni era principalmente diretta alla salvaguardia del patrimonio informativo, mediante la progettazione e la realizzazione di soluzioni di Disaster Recovery, la cui caratteristica principale era la ridondanza dei supporti magnetici e la disponibilità, all’occorrenza, delle necessarie attrezzature informatiche e di comunicazione posizionate in un altro sito, la cui distanza dal sito primario era funzione dei possibili scenari di rischio.
Oggigiorno generalmente le aziende si sono dotate di un piano di Disaster Recovery (DRP).
Gli investimenti sono stati assai elevati, così come lo sono i costi di gestione; infatti, i costi sono crescenti in modo quasi esponenziale al diminuire del tempo massimo accettabile per la ripresa dell’operatività, interrotta da un evento imprevisto.
Il progetto per il DRP è stato generalmente portato avanti dalla funzione interna informatica.
Come vedremo più avanti, la Business Continuity (BC), invece, coinvolge tutta l’Azienda: dalla fase di analisi dei rischi, alla valutazione dell’impatto economico di un’interruzione coinvolgendo i “process owner”, sino alla valutazione del Top Management sui rischi da accettare e quelli da mitigare. Non ultimo, in quasi tutte le realtà che hanno realizzato il piano di BC, lo sponsor aziendale è stato il Consiglio di Amministrazione (nel caso delle banche e degli intermediari finanziari, la normativa ne prevede già un forte coinvolgimento) e ciò ha assicurato un forte “committment” di tutta l’Azienda ed un giusto equilibrio costi / rischi.
Le soluzioni adottate si traducono, infine, in piani di continuità, nei quali sono descritti i ruoli, le responsabilità, le procedure da seguire, gli strumenti da utilizzare, e quanto altro serve per poter riprendere l’attività interrotta.
Trattasi perciò di un processo di ricerca di soluzioni condivise di limitazione dei danni, soprattutto preventive, ma anche di emergenza, consentendo l’operatività di quei processi di business che comporterebbero elevati danni economici già nelle prime ore di interruzione.
Se ritorniamo per un attimo al tema dei costi relativi al Disaster Recovery, come si può comprendere da quanto anzidetto, il tempo massimo accettabile di interruzione dell’operatività, ottenuto nel corso del ciclo di Business Continuity Management, è fondamentale per decidere quale soluzione di DRP adottare e, pertanto, è importante per un corretto equilibrio costi / rischi.
Ciò spiega perché la Business Continuity include il DR.
L’attenzione alla BC e lo sviluppo della metodologia sono praticamente nati dopo l’11 Settembre 2001, e si sono perfezionati nel corso di questi ultimi anni.
Il tragico evento ha messo in luce, come sappiamo, alcuni fatti innovativi: l’accadere di un evento prima di allora giudicato assolutamente improbabile (uso di aerei da attentatori suicidi; due enormi grattacieli colpiti...); ma, soprattutto, la perdita di tante persone, oltre ad uffici, sistemi e documenti cartacei.
Vi è stato anche un secondo evento, rappresentato dall’epidemia di SARS in Asia nel 2003.
Il numero di vittime è stato limitato, ma invece alto è stato il numero di Aziende che hanno dovuto interrompere improvvisamente le loro attività a causa dell’assenza di personale, in quanto ricoverato in ospedale o messo al domicilio coatto, in quarantena. Molte di queste sono fallite nei successivi due anni.
In Italia un grande impulso è derivato dall’esperienza che le Banche hanno fatto, a seguito dell’applicazione dell’accordo di Basilea sul capitale di rischio e alla normativa della Banca d’Italia, la cui preoccupazione – in linea con le altre Banche Centrali - deriva dai possibili impatti sul sistema finanziario italiano che si possono avere a seguito di eventi catastrofici.
Le banche, che hanno terminato nei tempi stabiliti i rispettivi progetti, hanno messo a disposizione un forte know-how basato sull’esperienza diretta. In particolare, si è potuto vedere che la maggioranza delle soluzioni di continuità adottate dalle Banche hanno sfruttato le persone e le infrastrutture esistenti, evitando così investimenti per duplicazioni.
In alcuni casi, sono stati formalizzati degli accordi con Società di Servizi in grado di prendere in carico parte dell’attività dell’Azienda.
Molti di questi contratti non hanno richiesto l’esborso di somme anticipate.
Alcune significative esperienze consentono di affermare che implementare la BC non significa dovere affrontare elevati investimenti.
Intensa deve invece essere, da parte dell’Azienda, l’attività di sensibilizzazione del personale sul tema della continuità operativa e la formazione atta a consentire di manutenere correttamente l’impianto di BC.
Infatti, siccome l’Azienda non è immobile, non è statica, gli impatti mutano, così come le vulnerabilità, il livello di esposizione al rischio, il livello di accettazione dei rischi (“risk appetite”), ogni anno, o ad ogni variazione organizzativa significativa, l’Azienda deve ripercorrere il ciclo di BC (analisi del rischio, valutazione degli impatti, ecc.).
Importante, oltre alla formazione, è anche la simulazione, in quanto consente di ottenere vari vantaggi: provare l’efficacia dei piani redatti, familiarizzare e sensibilizzare il personale, abituare a prevedere, e a prepararsi ad ogni evenienza.
L’esperienza ha dimostrato che dei potenziali disastri sono rimasti a livello di incidente, contenendo i danni, grazie proprio a questo approccio e allo spirito di squadra che si era creato fra il personale operante sui processi critici e quello tecnico di intervento.

Scritto da: Anthony Cecil Wright
 
Salviamolo prima di perderlo! PDF Print E-mail
Il concetto di informazione è indiscutibilmente connesso a quello di archiviazione perchè ogni dato che visualizziamo rischia di essere vittima dell'oblio se non viene opportunamente conservato. Memorizzare è un fatto personale, ma talvolta potrebbe essere anche una scelta obbligata.

Con l’avvento di internet si è assistito ad un rapido cambiamento delle modalità di archiviazione, conservazione e recupero dei dati, con l’effetto più evidente di un incremento esponenziale della quantità di dati da archiviare.
Non solo: i dati devono poter essere recuperati in tempo reale, ed in qualsiasi momento, 24 ore su 24 e 7 giorni su 7.
Le possibilità offerte dalla tecnologia non mancano certo di soddisfare gli utenti e gli utilizzatori avanzati. Infatti la possibilità di archiviazione è ormai divenuta dell’ordine dei terabyte, quindi la possibilità di immagazzinare una quantità praticamente infinita di dati e informazioni.
Non sempre è necessario che le copie dei dati siano archiviate su supporti ad elevata velocità, in quanto magari si è realizzata la memorizzazione degli stessi per esigenze d’archivio. Quindi è preferibile utilizzare supporti differenti dai dischi rigidi, quali ad esempio i nastri, più volte dichiarati come tecnologia in disuso, ma di fatto ineguagliabili in termini di rapporto costo-prestazioni per determinate applicazioni di storage.
A questi sistemi negli ultimi tempi si sono affiancati i NAS (acronimo di Network Attached Storage) che sono complementari a livello funzionale alle SAN (acronimo di Storage Area Network).
Il problema collegato all’implementazione di questi sistemi di archiviazione è legato alla crescente complessità di gestione delle risorse di storage. In pratica la ricerca immediata dell’informazione è correlata alla necessità di effettuare backup e recovery in tempi rapidissimi. Mentre un tempo la logica portava a considerare il backup come una operazione notturna della durata di parecchie ore, adesso assistiamo allo sviluppo di sistemi di archiviazione che consentono di copiare e archiviare solo i blocchi modificati successivamente all’ultimo backup incrementale e tutto ciò mentre il sistema fornisce informazioni agli utilizzatori.
Il fermo macchina è un concetto inaccettabile, mentre un tempo era visualizzato nell’immaginario collettivo dei tecnici come la necessità naturale di manutenzione dei sistemi informatici.
Questa situazione che riguarda tutti i dati digitali presenti in azienda, strutturati e non strutturati, si complica maggiormente nel caso di quelli del secondo tipo, infatti le informazioni non strutturate (o fixed content o informazioni referenziate) sono quelle informazioni non modificabili nel tempo, che devono essere disponibili con possibilità di accesso veloce e possedere altresì un riferimento univoco; inoltre questo tipo di informazioni ha generalmente una dimensione maggiore rispetto a quella dei dati strutturati.
Un aspetto a se stante ma conseguente a questa differenziazione è rappresentato dalle implicazioni legali e amministrative collegate alla gestione dei dati: la conformità alle normative vigenti comporta talvolta l’obbligo di gestire tutti i dati come se appartenessero al secondo gruppo, con l’aggiunta della richiesta di non modificabilità del dato (vedi ad esempio i documenti di tipo fiscale).
 
ID Management: l’importanza di farsi riconoscere PDF Print E-mail
Per qualsiasi realtà aziendale, di piccole o grandi dimensioni, è fondamentale individuare un sistema per gestire il controllo dell’identità del personale presente in un dato momento all’interno dei locali e degli spazi lavorativi. Questo per ragioni amministrative, sindacali, legali, fiscali e di sicurezza. Con una strategia adeguata non si rischia di trasformare una gestione ordinaria in una falla pericolosa dalle conseguenze imprevedibili.
Tutto sta nel tipo di implementazione che si va ad utilizzare, infatti è noto che la resistenza di una catena è quella del suo anello più debole. Dal punto di vista informatico l’anello più debole per molte imprese è proprio quello della gestione efficiente degli accessi e delle identità digitali.
Nello scenario ideale una azienda dovrebbe gestire in modo automatizzato l’accesso di ciascun utente alle applicazioni specifiche, con la possibilità di effettuare la disattivazione immediata di un account per impedire accessi non autorizzati (un caso tipico è costituito dal fatto che il dipendente termina il rapporto di lavoro con la società ed è quindi necessario disattivarne gli accessi). Invece esistono situazioni le più variegate possibili, dove ad esempio esistono account fantasmi ancora attivi nonostante non siano più utilizzati o scenari dove dei dipendenti sono costretti a doversi ricordare così tante password che devono optare per codici più semplici per ricordarseli tutti, vanificando quindi l’approccio di sicurezza. La prima valutazione da operare per rendere sicuro un sistema è relativa alla gestione dell’identity management.

Qualsiasi amministratore di rete sa per esperienza che si tratta di una delle attività più complesse per un sistema di sicurezza aziendale, basata non tanto sulla tecnologia, quindi smart card e altro, ma sulla capacità di rendere il sistema complessivamente in grado di identificare con precisione i soggetti che operano al suo interno.
Possono esistere diversi approcci strutturali, che nascono dalle possibilità offerte dal mercato, quali ad esempio la creazione di regole basate sulle identità digitali rilevate attraverso sistemi biometrici che consentano una creazione ad hoc del database degli utenti e dei permessi.
Giusto per non iniziare insicuri e poi rendersi conto a sistema terminato, di avere creato una roccaforte che già contiene al suo interno i nemici.
Quindi la chiave sostanziale è la possibilità di “personalizzare sicuri” perché un sistema di sicurezza è in fieri, cambia la propria struttura e si plasma sulle reali esigenze dell’azienda target.
Rimane quindi impossibile trasferire le politiche di protezione come un pacchetto a se stante da un contesto ad un altro.
E’ sulla base della metodologia specifica di lavoro che vengono ad essere identificate le possibilità operative. Ad esempio una banca potrà basare la prima identificazione sulle impronte digitali al momento dell’ingresso agli sportelli, ma ciò potrebbe essere improponibile per l’identificazione di utenti che accedono in massa ad un determinato sito.

Il mercato si va consolidando, e il settore dell’identity management sta rapidamente evolvendo, con la presenza di produttori specializzati che vengono acquisiti da aziende più grandi e più generaliste. La strategia giusta per gestire questo relativo stato di incertezza si fonda sulla realizzazione di processi di ID management in modo standardizzato: il peso di un eventuale passaggio ad una nuova tecnologia a questo punto potrebbe risultare inferiore, per una più contenuta rivisitazione architetturale.
Quindi è necessario anche comprendere se il fornitore di sistemi di sicurezza fonda la propria proposta su concetti come “assemblaggio”, “flessibilità”, “scalabilità” e “riutilizzo” prima di affidarsi ad un sistema monolitico non gestibile altrimenti e quindi alla lunga destinato a divenire obsoleto e inutile. Se invece si realizza una opportuna strategia di gestione delle identità, basata sia sulla implementazione della tecnologia di punta e ritenuta quindi più affidabile, sia sulla capacità di modificare il sistema stesso per i cambiamenti epocali, si sarà trovata la giusta combinazione per una valida ed efficace implementazione.
 
Il Sacro Graal della correlazione PDF Print E-mail
La correlazione di allarmi nei sistemi IDS è un problema complesso, per cui non esistono ancora soluzioni efficaci nemmeno a livello di ricerca. La speranza di risolvere i problemi di una tecnologia non matura (gli IDS) con una tecnologia embrionale (la correlazione) potrebbe costare cara agli early adopter.

Nel moderno panorama di continui attacchi e compromissioni di reti informatiche, viene da chiedersi dove e perchè si siano arenati tutti i progetti che avevano a che fare con l'intrusion detection, ovvero con il monitoraggio continuo dei sistemi in cerca di segni d'effrazione.

Una delle motivazioni chiave addotte dagli early adopter delle tecnologie IDS è la difficoltà nel monitoraggio, in termini di analisi dei falsi allarmi, di tuning dei sistemi, e soprattutto in termini di ricostruzione degli eventi, incrociando i dati da una molteplicità di sonde di rete (specie in architetture complesse e distribuite) e di sonde host-based sui server critici. Un'altra motivazione è che i sistemi IDS attuali non sono in grado di rilevare gli attacchi “zeroday", ovvero gli attacchi rivolti contro vulnerabilità non note e catalogate. Infatti, al di là del marketing, tutti i sistemi di intrusion detection in commercio sono fondamentalmente "misuse based", ovvero usano una base di regole (più o meno sofisticata ed aggiornata) per identificare gli attacchi. Risulta ovvio che, a meno di casi fortunati, un sistema del genere non può identificare attacchi nuovi.

L'anomaly detection (ovvero l'analisi statistica e mediante algoritmi di apprendimento del comportamento normale del sistema, alla ricerca di eventuali deviazioni) è l'unica possibile risposta per rilevare un attacco contro una vulnerabilità non pubblica.
Purtroppo, gli algoritmi anomaly-based sono raramente usciti dalle istituzioni di ricerca, e solo alcune piccole compagnie producono sistemi IDS basati su queste tecniche. Ma, anche qualora si dovessero finalmente diffondere, rimarrà il problema di come correlare tra loro gli allarmi di IDS host-based e network-based, misuse-based e anomaly-based. Purtroppo, il vocabolo “correlazione" è stato ampiamente usato ed abusato dai produttori di tecnologie IDS, generando molta sfiducia negli acquirenti. Difatti, spesso viene spacciata come “correlazione" la semplice raccolta, aggregazione e centralizzazione di alert provenienti da fonti distribuite. Questo è un problema di tipo tecnico, già risolto con successo.

Il problema scientifico e tecnologico rilevante, tuttavia, è che nella maggior parte dei casi le informazioni raccolte sono prive di qualsiasi forma di semantica (non è raro trovarle archiviate sottoforma di testo libero). Alcuni IDS misuse-based sono stati opportunamente integrati con basi di conoscenza che consentono ad uno strumento di correlazione di analizzare il contenuto degli allarmi. Tuttavia, a causa della mancanza di standard solidi in questo senso, tale opportunità è limitata alle sonde di un singolo vendor, cosa che in realtà eterogenee è spesso inapplicabile.

Inoltre, permane il problema di come correlare i log degli IDS con quelli, ad esempio, di firewall o antivirus, che raramente sono di un singolo produttore. Infine, bisogna prendere coscienza che il problema chiave di "come correlare le informazioni tra loro" è lungi dall'essere risolto. Ciò che ci aspetteremmo da un sistema di correlazione sono dei “riassunti" compatti degli eventi, che eliminino informazioni ridondanti circa gli attacchi, e che per quanto possibile ricostruiscano relazioni di causa/effetto e scenari d'aggressione.

Vorremmo cioè che l'output ci consentisse ad esempio di seguire la sequenza di azioni effettuate da un aggressore, e identificarne più facilmente la finalità. Pertanto un sistema di questo genere sarebbe tanto più efficace quanto più in grado di ridurre il numero di informazioni presentate all'analista, senza perdere di completezza.

Alcuni sistemi cercano di risolvere questo problema con un motore a regole che associa tra loro attacchi che ricadono in "scenari noti". Questo meccanismo soffre una volta di più dei problemi della misuse detection, e di fronte ad un aggressore creativo o a nuove minacce non può essere efficace. Di male in peggio, alcuni sistemi addirittura sono semplici applicatori di regole e richiedono all'utente finale di definire le sue regole di correlazione. In altri casi, più raramente, vengono utilizzati sistemi di tipo statistico per sopprimere alert che fanno parte del rumore di fondo e cercare di identificare le "novità".

Questo è un meccanismo che può funzionare, ma sicuramente non giunge all'obbiettivo. Infine, nessuno dei sistemi esistenti è sufficientemente generico per essere adattato all'anomaly detection. Quasi tutti i motori si basano su molteplici forme di conoscenza pregressa: per esempio, dei valori di “gravità" di un tipo di attacco, oppure una sua classificazione, quando non delle intere “firme di scenari"; tutte informazioni che mal s'adattano all'integrazione di sistemi anomaly-based.

Purtroppo, da un'analisi seria dell'offerta, si può facilmente cogliere come il progetto di algoritmi per la correlazione di allarmi sia un problema nuovo, aperto e che ancora necessita di molto studio ed investimento in ricerca e sviluppo. La maggioranza degli strumenti, commerciali e non, oggi si basa su algoritmi che non possono prescindere dalla particolare situazione e dal particolare tipo di analizzatori, e purtroppo spesso anche dalla pre-esistenza di regole statiche di correlazione.

I problemi arrivano fino alla definizione di cosa significhi "correlazione", e al significato dei dati in ingresso ai sistemi, ovvero all'eterogeneità (o assenza) della semantica di ciascun formato. C'è ancora molta, molta strada da fare, prima di poter realizzare un sistema di correlazione automatica che non sia semplicemente un soprammobile.
 
<< Start < Prev 1 2 3 4 5 Next > End >>

Page 3 of 5