Ma io vorrei solo poter telefonare – Come esorcizzare il demonio della migrazione alla telefonia IP


E’ ormai un dato di fatto che anche in Italia abbia luogo da tempo una migrazione degli operatori dalle linee analogiche e ISDN (una tecnologia che nel nostro Paese non si è mai realmente affermata) verso l’erogazione di connettività internet o servizi di telefonia tramite protocollo IP. Nei Paesi germanofoni, dove l’ISDN era la tecnologia di base delle telecomunicazioni i carrier si sono dati persino scadenze (Deutsche Telekom entro il 2018, Swisscom entro il 2020) per la dismissione definitiva delle vecchie linee. Il passaggio alla connettività e alla telefonia via IP confronta i responsabili di infrastrutture e reti aziendali oltre che isystem integrator con l’impiego quasi obbligato di soluzioni e piattaforme basate su IP con tutte le nuove modalità di lavoro che ne derivano. Tra i cosiddetti “buzzword” del marketing, ora tramutatisi in una realtà da affrontare, figurano parole chiave quali all-IP, copertura mobile stabile, comunicazioni unificate, collaborazione di gruppo, telefonia via cloud e messaggistica.

Per non essere sopraffatti dalla pletora di offerte attualmente sul mercato, vale la pena di focalizzarsi su alcuni punti prima della migrazione, con l’intento di identificare eventuali ostacoli per evitarli. Il noto produttore di telefoni IP Snom identifica quattro punti cardine per una migrazione di successo.

1 – Identificare le reali esigenze

Le moderne telecomunicazioni combinano diverse modalità di interazione e dispositivi su una singola rete IP. Oltre al tradizionale telefono fisso vi sono anche la messaggistica istantanea, le conferenze telefoniche o video, l’integrazione di dispositivi mobili e relative applicazioni, Skype o altre applicazioni per PC per la trasmissione della voce, sistemi CRM e strumenti di collaborazione per attività di gruppo. Quali sono le funzionalità realmente necessarie? Quanto sono rilevanti per il singolo utente: Il meccanico di un’officina non avrà necessariamente bisogno della chat. Un responsabile vendite potrebbe preferire di essere reperibile sul proprio telefono mobile e/o su quello fisso usando un singolo interno (convergenza fisso/mobile). Infine, è necessario valutare soluzioni particolari, come l’adozione di telefoni cordless IP per i lavoratori che hanno la necessità di spostarsi spesso all’interno dell’edificio aziendale, o di server per l’elaborazione e riproduzione di allarmi o di sistemi per la diffusione monodirezionale di avvisi al pubblico o per la comunicazione bilaterale. Senza dimenticare anche le applicazioni tradizionali, quindi l’integrazione di sistemi CRM preesistenti nel nuovo mondo IP.

Le più avanzate soluzioni UC basate sullo standard SIP supportano nativamente la maggior parte di queste funzionalità, quindi la valutazione della piattaforma più consona passerà da un esame di eventuali ostacoli all’implementazione, come modelli di licensing poco trasparenti, incompatibilità con i sistemi preesistenti o una pressione inappropriata a migrare tutto nel cloud. Tutte ragioni più che sufficienti per non permettere che la migrazione su IP obblighi l’azienda a prendere decisioni affrettate riguardo a quale piattaforma per la comunicazione aziendale e quindi quale infrastruttura adottare.

Scegliere il centralino e i terminali più adeguati liberamente, è di indubbio beneficio in termini di concreta semplificazione e ottimizzazione della routine quotidiana ed evita il rischio di demandare ad un solo fornitore una tra le infrastrutture più critiche per un’azienda.

2 – Occhio alla qualità del servizio

Le installazioni tradizionali erano semplici: constavano di una rete fisica per l’infrastruttura IT e di un’altra separata per quella telefonica. Le due operavano in maniera indipendente l’una dall’altra senza interferenze. Oggi non è più così. Nelle infrastrutture “tutto su IP” la velocità e le prestazioni di rete sono diventate essenziali per la fruibilità dei servizi.
Per evitare lamentele da parte degli utenti è essenziale che la nuova infrastruttura si basi su un approccio votato alla qualità. Anche la più performante delle linee internet perde valore di fronte ad una malgestione del flusso traffico (voce/dati) nella rete IP aziendale. Ove possibile è raccomandabile implementare una rete virtuale prioritaria per il traffico voce (Voice VLAN), unitamente a switch che supportino il protocollo LLDP-MED. Ciò consente ai terminali IP di autoconfigurarsi per l’accesso alla rete “voce” mentre ai PC di collegarsi alla rete “dati”.
Un’altra discriminante per assicurarsi una buona qualità del servizio è che il router impiegato supporti la prioritizzazione del traffico tramite DiffServ (differentiated services). La disponibilità di questo meccanismo dovrebbe essere verificata con il carrier o il system integrator. Non da ultimo va verificato il livello di prestazioni del wifi aziendale: gli smartphone e i laptop dotati di applicazioni vocali o per l’elaborazione dati necessitano di molta banda sulla rete wireless.

3 – La sfida dell’implementazione

Quando si seleziona un terminale IP è utile tenere a mente il principio della funzionalità “plug & play”: i dispositivi devono potersi configurare automaticamente non appena collegati alla rete aziendale. Ciò non significa che l’installazione sia un gioco da ragazzi, l’amministratore di rete deve comunque assicurarsi che questa sia opportunamente configurata, in modo da non bloccare web proxy o pacchetti multicast.

Un altro punto da considerare è la personalizzazione dell’endpoint. La receptionist vuole essere in grado di contattare i colleghi utilizzando la selezione automatica, mentre l’assistente del direttore esecutivo preferisce utilizzare il tasto BFL (Busy Lamp Field) per rispondere alle chiamate in entrata. Se più persone condividono la stessa postazione di lavoro, ognuno vorrà avere il proprio accesso personalizzato allo stesso terminale (hot desking). Tutte personalizzazioni che vanno garantite. Poter impostare configurazioni specifiche per gli utenti interni e remoti tramite una console centralizzata è essenziale per evitare che l’amministratore di sistema venga assediato con problematiche inerenti l’uso dei terminali.

Un’ulteriore sfida è rappresentata dalla sicurezza. Le intercettazioni telefoniche sono da sempre una minaccia: bastava un collegare un chip con doppino al microfono per ascoltare le conversazioni su linea analogica, collegarsi alla centralina di distribuzione in strada in presenza di linee ISDN, scansire le frequenze DECT per hackerare le conversazioni condotte con telefoni cordless e, per quelle condotte su rete GSM, installare semplicemente celle fasulle. Oggi non è più così facile a fronte dell’introduzione di numerose tecniche di cifratura per il DECT, la voce, la connessione dati e le piattaforme UC, fino a sistemi di cifratura impenetrabili da terminale a terminale. Quando si valuta una nuova rete IP altamente integrata è necessario soppesare il livello di sicurezza garantito dalla soluzione e dai terminali a fronte della reale esigenza e del costo.

4 – Fruibilità: troppe distrazioni?

Le soluzioni UC, i telefoni IP avanzati, le applicazioni più moderne e i servizi basati sul cloud, tutti promettono alle aziende un incremento della produttività ed una semplificazione della collaborazione tra gli addetti. La convergenza delle applicazioni contribuisce a migliorare la coordinazione sui progetti e a limitare la perdita di informazioni, tuttavia è anche possibile che la quantità di informazioni condivise sovraccarichino l’utente.
Gli impiegati possono davvero concentrarsi sul proprio lavoro se costantemente interrotti da messaggi istantanei? Sia loro sia voi siete d’accordo sul fatto che il loro status di presenza sia visibile a chiunque? Se da un lato è più facile raggiungere i singoli impiegati, non li si mette troppo sotto pressione perché ora ricevono comunicazioni a qualunque ora?
In fase di implementazione di una soluzione IP, oltre a formare lo staff sugli strumenti e le applicazioni sarà anche necessaria una rieducazione in merito a come gestire il nuovo paradigma fondamentale ossia la disponibilità continua e il monitoraggio degli impiegati.
Al riguardo bisogna quindi considerare i seguenti punti:

  • Chi può o dovrebbe avere accesso alle informazioni sulla presenza degli impiegati presenti nella directory aziendale tramite le funzioni di visualizzazione della disponibilità erogate via BLF?
  • Come si può evitare che gli impiegati vengano distratti in continuazione? Se l’utente seleziona la modalità “non disturbare” (DND), questo stato è visibile su tutti i canali? (chat, telefonia, stato presenze)
  • E’ possibile attivare o disattivare automaticamente le notifiche mail o chat (ad esempio al di fuori dell’orario di lavoro o nel week-end?)
  • E’ possibile differenziare i messaggi importanti da quelli meno rilevanti?
  • Dove e soprattutto quali dati sull’attività degli utenti vengono archiviati? (archivio chat, conferenze telefoniche, uso di internet)

In generale, la migrazione al mondo “all-IP” rappresenta una sfida per chi è coinvolto nell’implementazione dei sistemi. Non stanno solo cambiando le applicazioni individuali, ma anche l’intera infrastruttura e le modalità operative. Che si tratti di soluzioni UC o dei terminali IP, un’interfaccia utente non complessa e un minimo di formazione semplificherebbero la via verso l’integrazione delle soluzioni per la telefonia IP di nuova generazione.

Trovare la piattaforma e i terminali ideali è la vera sfida per le organizzazioni. Si tratta di un processo con così tante variabili da richiedere ai responsabili IT/TLC di prendersi il proprio tempo e possibilmente di rivolgersi a specialisti.

Continua a leggere

Pulizie di primavera per la rete aziendale


La primavera è il periodo ideale per fare le grandi pulizie – non solo in ambito domestico, ma anche in ufficio. G DATA fornisce alcuni spunti per ottimizzare la sicurezza dell’infrastruttura IT.

Bochum (Germania) – Le prime giornate primaverili soleggiate inducono molti a ripulire a fondo la propria abitazione. Una buona abitudine anche per gli amministratori di sistema, che avrebbero così l’occasione di controllare a fondo perimetro e processi aziendali. A supporto delle risorse deputate alla gestione dell’infrastruttura IT aziendale, G DATA ha stilato un breve elenco di misure che, qualora implementate, aumentano significativamente il livello di sicurezza della società.

Le prime giornate davvero soleggiate fanno luce anche sugli angoli più bui delle nostre abitazioni, mettendo in mostra quanto abbiamo magari trascurato durante l’inverno e invitandoci a porvi rimedio. Lo stesso dovrebbe accadere a livello aziendale, sebbene l’infrastruttura IT e le applicazioni in uso necessitino di un tipo di pulizia differente. Per chi non ha potuto provvedere già all’inizio dell’anno alla messa a punto dei sistemi IT, la primavera è un’eccellente occasione per rimettersi in pari, e anche velocemente!

“La sicurezza IT di una società deve essere pensata come processo” spiega Tim Berghoff, G DATA Security Evangelist. “È buona prassi controllare attentamente l’infrastruttura esistente con una certa frequenza e implementare una serie di provvedimenti per evitare il verificarsi di problemi significativi”.

  • Controllare i domini Active Directory: capita sovente di lasciare attivi account di impiegati che hanno lasciato l’azienda da tempo. La possibilità che questi account, obsoleti ma attivi, vengano utilizzati abusivamente per accedere alla rete aziendale è tutt’altro che remota. Prevenirne l’abuso in realtà è piuttosto semplice. Se per qualche ragione non è possibile eliminare l’account, questo andrebbe per lo meno disabilitato. Dal momento che non è consigliabile cancellare informazioni aziendali, gli account degli ex impiegati dovrebbero sempre essere disabilitati e spostati in un’unità organizzativa corrispondente.
  • Monitorare lo spazio di archiviazione: i dischi rigidi hanno una capacità e prestazioni sufficienti in previsione dell’aumento dei dati del 2018? Un sistema per il monitoraggio della rete può dare indicazioni al riguardo. Il modulo monitora costantemente l’infrastruttura e informa gli amministratori tempestivamente su eventuali minacce alla continuità del servizio di server, client e periferiche.
  • Carico della rete: monitorare la rete può essere utile anche per controllarne l’attività, alla ricerca di indicatori di eventuali compromissioni. Tra questi sono inclusi anche software potenzialmente dannosi, che potrebbero stabilire un collegamento con l’ambiente esterno all’insaputa dell’IT Manager.
  • Preparare e testare i backup: è stato implementato un piano di backup omnicomprensivo? Forse nel 2017 sono stati aggiunti archivi o sistemi non ancora integrati nel backup aziendale. E’ certo che i backup pianificati funzionino correttamente? Un test può confermare la bontà e la completezza del piano di backup adottato e garantire una notevole riduzione dello stress in caso di emergenza.
  • Aggiornare i client: anche controllare l’inventario dei software in uso sulle diverse macchine può essere utile. Un sistema di Patch Management fornisce una panoramica dei programmi installati e delle sue versioni – senza la necessità di installare ulteriori applicazioni, qualora tale modulo sia integrato in una soluzione per la sicurezza IT. Avvalersene assicura agli amministratori una visione d’insieme e, secondariamente, consente di prendere tempestivamente decisioni sull’implementazione di eventuali misure di sicurezza – come la distribuzione delle patch o l’eliminazione di software problematici.
  • Verificare i permessi dell’utente: non tutti gli utenti necessitano di accedere a qualsiasi risorsa presente sulla rete. Chi dispone di permessi più estesi di quanto effettivamente necessario per lo svolgimento del proprio lavoro potrebbe inavvertitamente compromettere la sicurezza, per esempio in caso di infezione con malware che violano le credenziali o si procurano accesso alla rete abusando dei permessi ascritti all’utente. Questi casi palesano quanto sia importante disporre di linee guida intelligibili per la gestione degli accessi. Uno strumento di Policy Management, come quello disponibile nelle soluzioni business di G DATA, può essere d’aiuto, anche in termini di compliance.
  • Disattivare le porte USB: Molti dispositivi USB vengono riconosciuti automaticamente e configurati come dispositivi di archiviazione. Molti utenti sono ancora inconsapevoli del fatto che anche lo stick USB più degno di fiducia, perché magari prestata da un amico o collega, può invece essere la chiave per infiltrare malware nella rete aziendale. Per questa ragione gli IT manager dovrebbero valutare se e su quali macchine o per quale utente o gruppo di utenti le porte USB vadano attivate o disabilitate. Anche in questo caso un policy manager può supportare l’amministratore IT nell’impostazione di permessi specifici.
  • Corsi di formazione per la sicurezza IT: Gli attacchi cyber possono andare rapidamente a buon fine se lo staff corre rischi inutili lavorando al PC o su dispositivo mobile perché non sufficientemente informato. Basta cliccare su un link di una mail di spam o aprire un allegato. Per sensibilizzare il personale alle attuali minacce per la sicurezza IT è estremamente raccomandabile condurre corsi di formazione con una certa regolarità.

Continua a leggere

Saremo presto liberi dalla maledizione delle password?


Probabilmente non tutti sanno che almeno una persona su dieci della propria cerchia di amici, parenti e conoscenti utilizza una delle 25 password più facilmente hackerabili del mondo. Sicurezza e limitazioni spesso vanno a braccetto, tuttavia a fronte del naturale desiderio di semplificare, molte persone lasciano che le proprie informazioni personali siano accessibili virtualmente da tutte le direzioni. D’altro canto, i più cauti si ritrovano con una quantità incredibile di password e codici infiniti da memorizzare, e alla fine ci si avvale dell’uno o l’altro promemoria altrettanto alla mercé del mondo. Ma è possibile che non ci sia una soluzione più semplice?

Questione di fiducia

Probabilmente sì, ma “più semplice” non è sufficiente: deve essere anche “più sicura” e “meno invasiva”. Ad esempio la soluzione che permette ad algoritmi di apprendere dalle proprie abitudini potrebbe risultare invitante: la password sarebbe necessaria solo quando il sistema non riconosce un comportamento o luogo abituale, che si tratti dell’orario di attività, dei luoghi visitati, della velocità di inserimento testi, ecc. Tuttavia consentire a Microsoft Cloud di raccogliere informazioni sui propri contenuti per compilare statistiche per alcuni può comportare un livello di trasparenza incompatibile con il concetto di protezione dei dati.

Fidarsi del sistema, come oggi fa la maggior parte della popolazione al di sotto dei 20 anni, non è da tutti. Se la generazione precedente non è così lassista quando si tratta di protezione dei dati, è perché ha ancora vivido nella memoria il tempo in cui misure di sicurezza più restrittive ricordavano agli internauti che l’hackeraggio non è una pratica riservata unicamente alle celebrità e che gli attacchi informatici diretti non avvengono solo nei film di spionaggio. È anche più semplice rilassarsi quando l’unica propria preoccupazione sono i borseggiatori: a livello aziendale però questo rischio cambia dimensione drasticamente.

Meno password, più qualità

A qualsiasi livello ci si trovi, la protezione del dispositivo (tablet, computer o telefono) e la protezione dei dati implicano due password diverse. Per la prima si stanno già cercando soluzioni alternative: oltre a modelli semplici ma facilmente riconoscibili e a sensori per la lettura delle impronte digitali (qualora si fosse d’accordo sull’archiviazione delle proprie impronte, e tenendo in conto il fatto che non esiste opzione migliore), è ora possibile sostituire 10 numeri e le 26 lettere della tastiera con 12 emoji tra 2500 disponibili e selezionarne una sequenza di 4 o 6. Alta protezione E divertimento quindi, ma, di nuovo, una sola di queste password non è sufficiente! Tra le altre alternative divertenti, Nova Spatial sta attualmente sviluppando un sistema di autenticazione basato sul riconoscimento di una determinata area su una cartina mondiale digitale, le cui coordinate geografiche vengono utilizzate come codice la cui memorizzazione non è necessaria – basta sapere dove si trova un particolare albero, piscina, incrocio o altro.

Finché non sarà possibile affidarsi alla propria memoria visiva, tramite l’utilizzo di emoji e mappe, i password manager online continuano ad aumentare. Attraverso questo genere di cassaforti virtuali come 1PassWord, LastPass o KeePass, basta un’unica “master password” per proteggere tutte le altre password archiviate e criptate. La master key è l’unica cosa di cui si ha bisogno, ma deve essere il più complicato possibile – una singola frase può già funzionare. Un esempio potrebbe essere “Apriti Sesamo!” (punteggiatura inclusa!).

L’altra faccia della biometria

A mali estremi, estremi rimedi: forse il futuro ci riserverà un processo di autenticazione più rigido tramite l’utilizzo di oggetti fisici? Un pollice, l’occhio, la voce o il viso sono i più noti esempi di una metodologia utilizzata sempre più di sovente per sbloccare i dispositivi, e che potrebbe finire con l’essere implementata anche per accedere ai profili delle piattaforme social. Gli hacker sostengono di aver raggirato il sistema di riconoscimento facciale dell’iPhone X tramite l’utilizzo di una maschera in lattice ultra-realistica, ma non ci si aspettano problemi generalizzati per i consumatori. Di conseguenza ci si aspetta un incremento dell’impiego della biometria e una maggior sofisticatezza nei prossimi decenni: si tratta semplicemente di sviluppare sensori per l’identificazione del DNA.

Questo genere di sensori sancirebbe la fine dei problemi causati da barbe o tagli di capelli che occasionalmente confondono i sistemi di riconoscimento facciale – l’unico altro problema potrebbe essere quello di avere un gemello cattivo! Jonathan Leblanc, Global Head of Developer Advocacy di Paypal, disse ancora nel 2015 che le password del futuro non saranno più scritte né memorizzate, ma piuttosto saranno impiantate, ingoiate o iniettate. Ha parlato anche di computer indossabili sotto forma di tatuaggio, sensori ECG che rilevano i dati del cuore o del riconoscimento delle vene e della pressione arteriosa. Probabilmente infallibile, ma piuttosto sgradevole… A tre anni di distanza, i tatuaggi digitali sembrano aver preso piede: il chimico Zhenan Bao, che ha recentemente sviluppato la e-skin, sottolinea le possibilità mediche e sociali di questo materiale elettronico connesso che coincide perfettamente con la pelle umana. Ma anche in questo caso ad un certo punto si ripresenterà l’ostico tema della confidenzialità: non saranno più le proprie impronte digitali ad essere utilizzate come password universali, bensì una sottile membrana elettronica posizionata sui polpastrelli e connessa allo smartphone. Da brividi, vero?

Il segreto dell’autenticazione a doppio fattore

Piuttosto che focalizzarsi sulla messa a punto di un’infallibile biometria al costo di chi sa quale invasione di privacy, probabilmente basterebbe pensare ad una semplificazione dell’autenticazione a doppio fattore. Questo sistema è già ampiamente utilizzato, soprattutto per i pagamenti online, che in genere richiedono un secondo codice inviato tramite SMS con una validità di qualche minuto. Il codice di conferma non solo può essere inviato sullo smartphone, ma anche a Google Watch, smartcard, applicazioni (per esempio con la soluzione Stormshield Data Security), token crittografato o chiavetta USB (come quella di sicurezza FIDO).

Ciò comporta però l’obbligo di portare costantemente con sé l’oggetto necessario alla ricezione del secondo codice. È più probabile lasciare a casa lo smartphone che parti del proprio corpo, a meno che il device non diventi una sorta di nuovo organo in dotazione allo “homo numericus”. Come ultima alternativa si può sempre diventare un genio in grado di memorizzare dozzine di sequenze numeriche… Your choice!

*.*

Continua a leggere

Passepartout umani: perché l’ingegneria sociale è un fattore di rischio da non sottovalutare


Oltre al crescente numero di minacce informatiche generalizzate i cybercriminali si avvalgono di tecniche mirate per manipolare gli impiegati e carpire i dati di accesso alla rete aziendale.

Bochum (Germania) – Nel 2017 gli analisti G DATA hanno rilevato 16 nuovi campioni di malware al minuto. Se da un lato bisogna premunirsi contro i rischi legati alle infezioni da malware, è anche oltremodo necessario prestare attenzione alla componente umana. I criminali su internet utilizzano perfidi trucchi per accedere in modo mirato a informazioni confidenziali manipolando i membri dello staff dell’azienda – un’attività definita in gergo “ingegneria sociale”. Ecco i fattori principali a cui G DATA individua i fattori che gli IT manager non dovrebbero sottovalutare.

Le organizzazioni tendono a circoscrivere le misure di sicurezza IT alla protezione contro i vettori di attacco più comuni, che spaziano dai malware quali ransomware, trojan e virus, fino alla manipolazione delle configurazioni di sistema o attacchi DDoS. Tuttavia esiste una vulnerabilità spesso sottovalutata dagli IT manager: l’ingegneria sociale.

Impiegati trasformati in marionette

Ormai sono passati i tempi in cui il dipartimento delle risorse umane riceveva curriculum incomprensibili da parte di finti candidati. Errori di grammatica grossolani e refusi erano sufficienti per distinguere comunicazioni fasulle/pericolose da quelle legittime. Superata la curva di apprendimento, oggi i cybercriminali si preparano molto più dettagliatamente. Secondo i rilevamenti contenuti nel rapporto Social Engineering Attack Framework un attacco mirato di questo tipo è composto da addirittura sei fasi:

  • Fase 1: pianificazione dell’attacco
  • Fase 2: raccolta delle informazioni utili
  • Fase 3: preparazione
  • Fase 4: instaurazione di un rapporto con un impiegato dell’azienda
  • Fase 5: manipolazione del contatto
  • Fase 6: resoconto

Ne è un esempio il responsabile della ricerca del personale, che spesso si avvale delle piattaforme social per identificare i candidati ideali. In questo caso si parla di “scouting” (reclutamento). Una volta individuato un candidato in linea con il profilo richiesto, si prende contatto con la persona. I criminali sono a conoscenza di questa procedura di ricerca e creano falsi profili attraverso cui si propongono al manager delle risorse umane al momento opportuno. Il perpetratore mira a carpire informazioni sull’addetto HR, creando un rapporto di fiducia con la controparte, per poi inviargli una lettera motivazionale facendo riferimento allo scambio avvenuto sui social. Questo metodo risulta molto più efficace rispetto all’invio di una candidatura “spontanea” standardizzata. La comunicazione a posteriori della presa di contatto tramite i social consta di norma di un testo conciso, e di un allegato PDF con fotografia personale. Una volta aperto l’allegato, il malware viene installato sul computer. Il malvivente è riuscito a manipolare il membro dello staff e a fargli aprire il file infetto. Si potrebbe trattare di un ransomware che cifra file sensibili e che richiede un riscatto per decriptarli come di un trojan che registra la sequenza di tasti premuti dall’impiegato in fase di accesso alla rete aziendale (login e password) per poi inviarli al criminale.

L’ingegneria sociale causa ingenti danni finanziari

L’ingegneria sociale è utilizzata in tutti i casi in cui le persone possono essere manipolate e una buona metodologia può essere molto remunerativa per i cybercriminali, che guadagnano così accesso a informazioni di valore sullo staff, dati di accesso alle risorse di rete o a file confidenziali che svelerebbero segreti industriali. A tal proposito il Clusit annovera nel suo recente rapporto che nel 2017 il Cyber Espionage, cui vanno ricondotti anche i furti di proprietà intellettuale, è cresciuto su scala globale del 46. Dal momento che questi metodi di attacco stanno diventando sempre più popolari, ci si aspetta un ulteriore incremento dei danni subiti dalle aziende. “Oltre a dotarsi di soluzioni di sicurezza in grado di riconoscere proattivamente attività di sistema illegittime come quelle annoverate, condurre campagne di sensibilizzazione e corsi di formazione dello staff risulta essere un’arma vincente contro questo tipo di attacchi” conferma Giulio Vada, Country Manager di G DATA Italia.

IT manager all’erta

Innanzitutto, gli IT manager dovrebbero accertarsi del fatto che i membri del proprio staff siano a conoscenza delle tecniche di ingegneria sociale. Il team di G DATA Italia offre corsi di formazione che aiutano gli impiegati ad individuare ed evitare questa tipologia di minacce. Lo staff apprende che le email vanno lette in modo critico, che dati sensibili non devono assolutamente essere archiviati o divulgati tramite telefono e che non vanno aperti link che puntao a pagine in cui si richiede un login. Un altro strumento altrettanto importante è la protezione anti-phishing fornita dai più moderni software di sicurezza e in grado di sventare molti attacchi sul nascere. Queste suite aiutano significativamente lo staff consentendo un’elaborazione più rapida di email realmente importanti per il lavoro quotidiano. In altri termini il connubio tra formazione e soluzioni di sicurezza minimizza il rischio che un qualsiasi impiegato diventi vittima di un attacco dovuto all’ingegneria sociale provocando eventuali danni finanziari.

 

*.*

Continua a leggere

Perchè avvalersi delle comunicazioni unificate erogate come servizio


Con l’acronimo UCaaS  (Unified Communications as a Service) si identifica la migrazione verso il cloud dei sistemi di telefonia, comunicazione e collaborazione in atto dal 2016. Con il nuovo modello di distribuzione delle piattaforme UC, cambia non solo la modalità di erogazione del servizio, ora esternalizzato, ma anche il modello di licenza, che spesso prevede un canone annuale che comprende le risorse hardware e software incluse le nuove funzionalità fruibili tramite i necessari aggiornamenti di sistema e di sicurezza.

Le piattaforme UCaaS includono per lo più messaggistica aziendale, tecnologia di presenza, meeting online, collaborazione in team, telefonia e videoconferenza, comunicazione in mobilità, hot desking, chat aziendale, webmail. Molti operatori UCaaS offrono altresì funzionalità di contact center, tra cui l’assistente automatico, la risposta vocale interattiva (IVR), il routing delle chiamate e le integrazioni con i più diffusi CRM, assicurando all’azienda utente finale flessibilità e scalabilità per le attività quotidiane.

Tipi di architetture UCaaS

UCaaS offre due architetture principali: ad uso esclusivo (single-tenenacy) o ad uso condiviso (multi-tenancy).

In un approccio ad uso esclusivo, il cliente fruisce di una piattaforma software personalizzata in grado di integrarsi con le applicazioni locali. La single-tenancy è considerata più sicura e affidabile, poiché i dati dell’azienda sono tenuti separati da quelli degli altri clienti dell’operatore. Essi non saranno quindi intaccati qualora l’istanza software di un altro cliente presenti problemi.

I clienti multi-tenancy condividono un’unica piattaforma software. La multi-tenancy di norma è più economica poichè meno personalizzabile e flessibile rispetto a una distribuzione single-tenancy. La piattaforma è ospitata nel centro dati del provider UCaaS che gestisce anche gli aggiornamenti del software.

In alcuni casi le aziende adottano un approccio ibrido, mantenendo una parte delle loro comunicazioni unificate (UC) in locale e altre applicazioni nel cloud per motivi di sicurezza o di gestione, o per consentire al proprio PBX o ad altri sistemi locali di raggiungere la fine del ciclo vita prima di effettuare una migrazione completa al cloud.

Flessibilità e Apertura dei Sistemi di UCaaS

Le UCaaS possono essere fornite con sistemi parzialmente chiusi e standardizzati oppure in modalità flessibile e aperta. Molti fornitori prediligono la fornitura di sistemi chiusi e vincolati ad una propria piattaforma di hosting e ad uno specifico provider di telefonia VoIP. Questo tipo di scelta è in genere piuttosto vincolante e nega all’utente la possibilità di utilizzare il provider VoIP preferito o quello maggiormente conveniente. Un sistema di questo tipo, inoltre, risulta vincolato all’ambiente cloud, senza la possibilità di poterlo migrare in ambito locale in caso di necessità.
Molto spesso anche la scelta dell’hardware (telefoni, apparati per conferenza, gateway) è legata ad un preciso fornitore, non consente quindi di scegliere gli apparati preferiti.

Perché usare le UCaaS

Le piccole imprese sono state le prime ad adottare le tecnologie UCaaS, poiché spesso mancano del personale e delle risorse per mantenere e supportare un sistema di Comunicazione Unificato presso la propria sede. Le medie e grandi aziende hanno invece approcciato al mondo delle UCaaS per ottimizzare i propri servizi di UC e soprattutto per fornire supporto alle multiple filiali aziendali oltre che per raccordare le sedi internazionali: UCaaS assicura infatti un più alto livello di adattabilità alle organizzazioni che hanno bisogno di aggiungere e rimuovere rapidamente utenti, ad esempio dipendenti stagionali, collaborazioni a tempo determinato, senza dover apportare modifiche importanti all’infrastruttura. Le comunicazioni aziendali basate su cloud offrono inoltre un’esperienza utente più uniforme a lavoratori remoti e mobili, poiché l’accesso alle funzionalità UCaaS è coerente indipendentemente dalla localizzazione.

L’approccio di 3CX

Focalizzato sulla massima mobilità e scalabilità delle proprie soluzioni UC, 3CX propone un sistema completamente flessibile e liberamente migrabile dall’ambito locale a quello cloud favorendo un’eventuale migrazione graduale al cloud tramite l’adozione di modelli ibridi in cui convivono applicazioni locali e remote.
3CX inolte offre la piena libertà nella scelta, non solo del fornitore di hosting, ma anche dell’hardware tra i fornitori leader di mercato. E’ possibile anche selezionare liberamente il sistema operativo di base fra Windows e Linux Debian. Con le licenze Pro ed Enterprise di 3CX è inoltre possibile disporre gratuitamente della funzionalità di Call Flow Designer per sviluppare applicazioni personalizzate per lo smistamento delle chiamate, integrate con i database aziendali. Anche nel caso di 3CX la licenza è fruibile sotto forma di canone annuale comprensivo di tutti gli aggiornamenti di sistema e di sicurezza, nuove implementazioni e integrazioni. Il vantaggio del modello di licensing annuale è che esso consente l’implementazione di installazioni provvisorie o itineranti (cantieri, fiere, attività di promozione con sede mobile, attività stagionali), non vincola il cliente in nessun modo all’hardware e assicura un risparmio sensibile, oltre ad una più vasta scelta, anche in merito all’opertore VoIP: l’utente è libero di scegliere tra una moltitudine di offerte locali ed internazionali ottenendo così le condizioni economiche più vantaggiose.

Continua a leggere

Sistemi di controllo industriali: nuovo tallone d’Achille dell’industria?


Stormshield analizza rischi e benefici dell’adozione di sistemi di controllo ICS di nuova generazione rispondendo alle quattro domande poste più di frequente dai propri clienti industriali.

Lyon – I sistemi di controllo industriali (ICS) sono il fulcro delle operazioni aziendali. Con ICS ci si riferisce genericamente a “diverse tipologie di sistemi di controllo e strumentazioni affini, utilizzate nel monitoraggio dei processi industriali”. In altre parole i sistemi di controllo industriale sono il punto di contatto tra le componenti fisiche e quelle digitali di un sistema industriale. Coordinano i processi controllando interruttori, motori di pressione, valvole, turbine, ecc. fornendo allo stesso tempo visibilità sull’esecuzione del processo in corso. Lo svantaggio: questi sistemi si rivelano bersagli sempre più invitanti per attacchi mirati avanzati (ATA, Advanced Targeted Attacks).

Di seguito una breve analisi delle 4 domande che vengono poste più frequentemente dai clienti Stormshield.

“Perché la sicurezza ICS è così importante?”

Nonostante i sistemi ICS possano essere estremamente complessi, sono molteplici i rapporti che ne hanno evidenziato l’attuale vulnerabilità e la loro esposizione ad un elevato numero di exploit ad alto rischio. Secondo uno studio di Kaspersky Lab, metà delle società intervistate hanno subito da 1 a 5 incidenti di sicurezza IT negli ultimi 12 mesi. Questi episodi hanno avuto un impatto diretto sul loro business – costando in media alle aziende circa mezzo milione di dollari all’anno.

Purtroppo non è altro che l’inizio, dal momento che sempre più sistemi ICS vengono connessi e che l’attenzione verso di essi cresce. Per dirla con una nota serie televisiva: l’inverno sta arrivando. La cybersicurezza è una risposta efficace in termini di ridimensionamento dell’esposizione agli attacchi, riducendo quindi l’impatto di gran parte dei comportamenti malevoli.

“Sono da considerare sicuri solo i sistemi ICS non connessi?”

Questa è una delle domande poste più frequentemente. In tutta onestà, non si può pensare seriamente che tra i sistemi ICS e il resto del mondo ci sia chissà quale distanza. Un ICS consta, per definizione, di un’interconnessione tra molteplici componenti (PLC, interfaccia uomo-macchina, postazioni di lavoro degli ingegneri, ecc.) che possono essere totalmente autonome per la maggior parte del tempo. Ogni componente dovrà però di tanto in tanto scambiare dati con sistemi al di fuori dell’ICS. La connettività è l’unico meccanismo grazie al quale i sistemi vengono alimentati con nuovi dati.

Ridurre o controllare la connettività limiterebbe sicuramente l’esposizione alle minacce. Tuttavia, i seguenti esempi dimostrano che oggi non è più possibile restare completamente scollegati.

• A fronte della necessità ricorrente di manutenere, aggiornare e risolvere eventuali problemi dei sistemi ICS, questi devono essere connessi quanto meno localmente.
• A seconda dell’infrastruttura, l’azienda può essere obbligata ad utilizzare collegamenti remoti con collaboratori esterni o con una sala di controllo centrale.
• Un altro fattore da tenere in considerazione è l’errore umano. Lasciare un collegamento remoto aperto è uno di questi.
• Un impiegato potrebbe abusare intenzionalmente del sistema.
• Attraverso l’ingegneria sociale e il phishing mirato i cybercriminali possono attaccare un computer specifico all’interno della rete, in modo da utilizzarlo in un secondo momento per attaccare l’ICS.
• È possibile connettersi ad una rete wireless industriale anche dall’esterno dell’edificio.
• Anche l’inserimento di una chiavetta USB per caricare o scaricare dati su un qualsiasi dispositivo è da considerarsi come connettività.

Considerando le numerose possibilità di creare connettività, l’ICS può essere esposto a minacce anche qualora lo si ritenesse “offline”. Il caso più famoso è quello dell’attacco Stuxnet, nel quale nonostante gli ICS attaccati fossero offline, sono stati compromessi con successo utilizzando una semplice chiavetta USB.

Perché quindi ritenere in assoluto che l’ICS non sia connesso e quindi fuori da ogni pericolo? Le minacce sono ovunque e le più numerose, nonché le più semplici da respingere, sono quelle casuali, prive di un obiettivo specifico.

“Si potrebbe risolvere questo problema impiegando sistemi datati?”

Ponendo la domanda in un altro modo: “E’ possibile proteggere l’infrastruttura rimuovendo qualsiasi potenziale collegamento?”. Sfortunatamente oggi ciò non è più possibile e non dovrebbe nemmeno essere preso in considerazione come eventuale soluzione.

• Nella cybersicurezza industriale abbiamo scoperto che la quantità di minacce è direttamente proporzionale all’età del sistema, per questo motivo i sistemi legacy diventano sempre più deboli col passare del tempo.
• L’industria digitale è in costante evoluzione, i sistemi tradizionali disponibili in questo momento sono meno efficienti di quanto necessario.
• Uno dei nei dell’industria digitale è la durata della garanzia. L’evoluzione costante rende i sistemi obsoleti molto più rapidamente di quanto l’Industria possa permettersi. Di conseguenza la manutenzione è sempre più difficile.
• L’industria digitale è costruita attorno al concetto di “obsolescenza pianificata”, il che ne rende la manutenzione dei sistemi e le attività necessarie per assicurarne l’efficienza nel tempo sempre più costose.
• I sistemi di nuova generazione sono senza dubbio più efficienti e veloci, oltre che affidabili.

Offer Manager – Stormshield Industry Business Unit.

“Noi crediamo che la maggior parte delle aziende migrerà da sistemi legacy ai nuovi sistemi ICS digitali. Uno dei benefici è l’aumento della produttività legata alla elaborazione di una maggior quantità di dati provenienti da altri dispositivi collegati (come nel caso della IIoT – Industrial Internet of Things). Il problema è che più i sistemi sono interconnessi, più aumenta l’esposizione alle minacce!” commenta Robert Wakim, Offer Manager – Stormshield Industry Business Unit.

“ICS e IT sono sinonimi?”

Di pari passo con la cresente convergenza tra ICS e IT si sviluppano anche le minacce volte a intaccare questi sistemi: spionaggio industriale, sabotaggio, attacchi di Stato, mafiosi o di massa, ecc., con le dovute differenze. Il sabotaggio è principalmente rivolto contro uno specifico ICS, mentre gli attacchi di massa mirano all’IT.

Anche le conseguenze di un attacco andato a buon fine sono differenti: furto di dati e impatto reputazionale per l’IT; impatto sulle risorse umane, ambientali, produttive e furto di segreti industriali per quanto riguarda l’ICS.

Proteggersi contro queste minacce è possibile ma è necessario considerare sia le rispettive specificità sia eventuali vincoli aziendali. Integrità e protezione dei dati per i sistemi IT; disponibilità e sicurezza per l’ICS.

*.*

Continua a leggere