Quanto è sicura la rete aziendale? Lo abbiamo chiesto a Check Point

Intervista a Rodolfo Falcone, Country manager Italia Check Point Software Technologies 

Una delle più importanti aziende al mondo nel settore security in termini di fatturato, cresce del 25% di anno in anno (a livello corporate) consolidando una revenue di 1 miliardo di dollari. Il suo fondatore fu uno degli inventori del Firewall alla fine degli anni ’90. Oggi conta decine di filiali nel mondo e un headquarter in Israele, a Tel Aviv.
Da Firewall company a società che si occupa di sicurezza a 360 gradi perché – osserva Rodolfo Falcone, Country manager Italia di Check Point – “la sicurezza va approcciata in modo globale, non solo verticale”. Il suo claim infatti è ‘People, Policy, Enforcement’.
Le aziende devono prima di tutto iniziare a dotarsi di regole per la sicurezza. Il comportamento delle persone è spesso una minaccia per le aziende. È opportuno regolamentare il comportamento dei dipendenti formandoli per il corretto utilizzo degli strumenti informatici. Le reti moderne sono caratterizzate da un livello senza precedenti di complessità tecnica conseguenza diretta della crescita esponenziale di dati, applicazioni e dispositivi mobili connessi. Inoltre, gli attacchi stanno diventando sempre più evoluti e continuano a minacciare le infrastrutture aziendali, con dipartimenti It chiamati a stare al passo con requisiti di sicurezza in continuo cambiamento. I servizi di sicurezza possono rappresentare un’importante strumento a disposizione dei team It per incrementare il livello di competenza in ambito security e offrire l’assistenza necessaria per stare al passo con le esigenze di compliance. Insieme con Rodolfo Falcone scopriamo i segreti di una delle più grandi aziende al mondo nel settore della sicurezza.

A cura di:
Luca Papperini

Il tema della security è complesso, come arginare l’irresponsabilità dell’utente in rete? Cosa fa Check Point per questo?
Cerchiamo di fare cultura su questi temi all’interno delle organizzazioni. Le aiutiamo a creare le policy. Tra non molto, per esempio, sarò ospite di una grande azienda per parlare insieme con un ‘legale’ di controllo dei documenti sensibili: chi vi può accedere? Come gestirli? Facciamo tutto quello che serve ai nostri clienti per prendere coscienza dei pericoli. Prevenire è meglio che curare. People: è fondamentale che le persone siano consapevoli dei rischi. Policy: è ormai inevitabile definire regole aziendali chiare per tutti. Enforcement: quali strumenti informatici consentono di rendere sicura l’azienda a 360 gradi?

Come cambia la sicurezza a seconda del business di riferimento?
Un prodotto che va bene per tutti non esiste. Le esigenze di una Telco sono molto diverse da quelle di un’azienda tessile, di una banca, di un corriere, di un ospedale, di un istituto governativo. Il nostro team di ricerca e sviluppo customizza il prodotto per il cliente specifico con l’obiettivo di garantire la continuità del suo business. Il servizio deve essere reattivo.

Quali sono i rischi per chi ricerca la sicurezza senza rinunciare ai servizi offerti dal cloud?
Come primo passo le aziende utenti devono richiedere al provider quali sistemi di sicurezza ha deciso di adottare per la difesa dei dati, informazioni la cui integrità diventa onere di chi eroga il servizio. Ma oggi sono in pochi quelli che lo fanno. Nei contratti di cloud l’operatore dovrebbe garantire che i dati siano tutelati sotto la sua completa responsabilità. Gli strumenti di security dovrebbero mettere in totale sicurezza sia il provider, sia la comunicazione web tra l’azienda utente e i server. È necessario dunque sincerarsi del livello di sicurezza del provider e che le comunicazioni tra l’azienda e il provider siano protette.

Quali i mercati di riferimento di Check Point?
Siamo il fornitore delle più importanti critical infrastructure annoverate fra le 500 aziende nel ranking di Fortune, aziende trasversali a tutti quei settori che per la natura del loro business richiedono altissima sicurezza.

Parliamo del fenomeno Byod. Che rischio rappresenta per le reti aziendali?
Non esistono ancora specifiche minacce per i device mobili. Ancora una volta la risposta si ritrova nel nostro claim: People, Policy, Enforcement. Più i device si espongono sulla rete più i rischi aumentano. Una volta i virus si diffondevano con i floppy disk, oggi hanno trovato una modalità molto capillare di diffusione. Gli strumenti hanno una modalità di utilizzo ibrida. Il problema oggi è molto sentito non tanto perché circolano più malware ma perché si espongono molto di più i device sulla rete, una vera e propria autostrada multi corsia. Il ‘Bring your own device’ diventa così una modalità di esposizione al pericolo.

Dove le aziende cercano più protezione? Nei device mobili o nei social network?
Rileviamo che sta timidamente emergendo la consapevolezza del rischio connesso all’utilizzo dei device mobili, strumenti tipicamente utilizzati dal management. In linea con questa esigenza di mobilità offriamo una tecnologia, chiamata application control, che monitora tutto l’universo applicativo. Non rileviamo invece grandi richieste per il ‘social’.

Quali sono i vostri interlocutori in azienda?
Sono i ‘decisori’. Tra questi ci rivolgiamo a direttori dei sistemi informativi e ad Amministratori delegati, a cui non importa sentire parlare di sigle, come Byod, Big Data, Cloud security. A loro interessa come nella pratica la loro azienda sia protetta e la loro rete rimanga al sicuro da possibili minacce. È frequente relazionarsi anche con il Chief Security Officer (dove presente), al quale consegniamo la documentazione legale da portare ai vertici. I budget della sicurezza però sono sempre più ridotti.

Ma Gartner sostiene che entro il 2016 il budget dell’It supererà quello dei dipartimenti marketing. Sta rilevando anche lei questo trend?
Che le risorse finanziarie dedicate all’Information technology saranno superiori a quelle del marketing non significa che i dipartimenti It non siano in crisi di budget. Il concetto di ‘prevenire è meglio che curare’ non esiste nei paesi latini, un fenomeno che si riflette anche sulla sicurezza. Come si garantisce la business continuity una banca che fa home banking? Se i clienti non potessero accedere al sito, anche solo per qualche minuto, quanti soldi buttati al vento? In un caso come questo si dimostra più che opportuno un investimento preventivo in sicurezza. Check Point aiuta i Chief security officer a vendere la sicurezza ai vertici aziendali.

Attraverso quali strumenti?
Offriamo gratuitamente un assessment chiamato ‘3D Report’, (dove per 3D si intendono le tre dimensioni: ‘People, Policy, Enforcement’). Obiettivo di questo vulnerability assessment è l’analisi del traffico di rete. Finito il test rilasciamo una relazione da presentare al Ceo. Da questi assessment abbiamo rilevato come cambiano i comportamenti organizzativi a seconda delle decisioni sulla sicurezza che vengono adottate. In una grande azienda energetica, per esempio, nel momento in cui sono stati limitati gli accessi ai social network è stato rilevato che è triplicato il consumo di caffè alle macchinette. Un altro esempio: lo scorso anno, a seguito di una notizia importante, per cui i dipendenti sono accorsi in massa a consultare siti di notizie, la rete si bloccò per l’elevato traffico web. Sono questi i problemi dei Chief security officer.

Cosa si evince da questo assessment, a parte il consumo di caffè triplicato alle macchinette?
Da questo documento emerge con chiarezza la percentuale dei dipendenti che spende il proprio tempo sulla rete (social network o altri siti) o quale la percentuale di pc affetti da reti botnet. Il 3D Report permette una serie di analisi che fotografano il comportamento dei dipendenti e i buchi rilevati all’interno dei diversi enti aziendali. Per noi questo è uno strumento che aiuta il cliente a prendere consapevolezza dello stato di salute della sua azienda. Tanti pensano di essere al sicuro – invece non lo sono affatto – e tipicamente sono gli ultimi a scoprirlo.

Come viene coinvolto il dipartimento HR se il comportamento delle persone risulta una delle leve principali?
Se alla direzione Risorse umane non viene affidato nessun mandato di indagine questa non ha interesse ad approfondire i temi della sicurezza It legati al comportamento degli utenti. Esistono però delle eccezioni in ambito HR e organizzazione. Prendiamo il caso della protezione dei documenti sensibili. Offriamo uno strumento che è in grado di controllare l’operato di chi si occupa di questi documenti. I nostri interlocutori sono quindi diversi, non ci rivolgiamo solo alla funzione It.

Il problema sicurezza coinvolge trasversalmente l’intera azienda con tutte le sue funzioni…
La security deve essere condivisa con tutta l’azienda, dalla parte tecnica alle vendite, perché la minaccia riguarda tutti. La sicurezza è frutto di una politica di condivisione dei giusti comportamenti da adottare.

Su dieci aziende che visitate, quante adoperano policy adeguate per arginare il lavoro dei ‘cyber criminali’?
Una, o al massimo due. Di queste sono poche in grado di metterle davvero in pratica. Definire una policy di sicurezza significa avere ridotto il rischio già del 50%. Le motivazioni sono diverse: poco sensibilità al tema, problemi di tempo e priorità.

Come ci si aspetta dunque che questa situazione cambi?
Quello che ancora non fa parte della cultura aziendale è il modello di security come parte integrante del processo produttivo dell’azienda, perché garanzia della continuità del business. La sicurezza fa parte di questo processo.

Oltre al ‘3D Report’, quali altre soluzioni adottate per la protezione delle reti?
Firewall, encryption, antivirus, web control, web filtering, web scanning. Tutto ciò che riguarda a 360 gradi il controllo della parte internet: cloud, mail, applicazioni, mobile

Parlando di applicazioni, che ruolo giocano oggi?
Le App sono il nuovo mezzo di diffusione dei malware. Più del 50% del tempo che un utente medio dedica al web è speso nell’utilizzo di applicazioni. Nelle applicazioni il creatore di minacce trova terreno fertile.

Quale il comportamento tipico del creatore di minacce? Come agisce oggi il cyber-criminale?
Gli attacchi possono essere distruttivi, prevedere il solo furto di informazioni, o il danneggiamento. Non fa più trend organizzare un attacco a scopi dimostrativi come avveniva una volta. Gli obiettivi però sono sempre a scopo di lucro: rubare numeri di carte di credito, comprare numeri, ‘craccare’ giochi, film, musica. Girano miliardi di dollari. È recente il caso di una banda di criminali, successivamente sgominata, che operava nei call center. Il metodo era infallibile nella sua semplicità: un key logger (strumento che permette di intercettare le informazioni) all’interno dei pc permetteva a chi si occupava delle pulizie (nell’orario di chiusura degli uffici) di scaricare con una semplice chiavetta Usb tutte le informazioni contenute nei database.

Facciamo chiarezza una volta per tutte su questo ‘mito’: sono gli hacker i potenziali alleati delle società che fanno sicurezza? Chi protegge deve conoscere a fondo l’ecosistema hacker e per conoscere a fondo quella realtà deve averci avuto in qualche modo un contatto diretto. È così?
Non siamo noi a inventare nuovi malware o virus. Molti ex hacker sono passati col tempo dalla parte delle società che fanno sicurezza, questo è vero, soprattutto quelli che potremmo definire ‘etici’. Nella maggior parte dei casi gli hacker di oggi sono criminali che vogliono solo fare soldi, persone che non hanno nessuna motivazione di entrare in contatto con la legalità.

Quali i software più colpiti dagli attacchi in questo momento?
Non esiste un obiettivo preciso a livello di applicazioni software. È più opportuno parlare di quali strumenti sono utilizzati. Sempre di più sono i Social Network.

Come si potrebbe mascherare un attacco su Linkedin?
“Clicca su questo link” per esempio. Se un hacker è riuscito a intercettare user name e password di un dirigente e manda ai suoi contatti la richiesta di cliccare su un link, con molta probabilità i suoi contatti lo faranno. È molto semplice. C’è anche chi si occupa di fare ‘profiling’, un’attività che entro certi limiti è lecita: attraverso applicativi ‘ghost’ è possibile sapere chi sei, le tue passioni, i tuoi interessi privati e trovare il modo di fare marketing con pubblicità mirata sui Social Network. Chi porta avanti questo tipo di attacchi utilizza la rete come un’autostrada multi corsia, traendo beneficio dalle nostre vanità.

In tutto questo contesto la Polizia postale di cosa si occupa?
La Polizia postale ha a suo carico già una mole di lavoro enorme e controlla più i reati legati alla pedofilia. Esiste invece un nucleo della Guardia di Finanza, chiamato Gap, che si occupa delle frodi informatiche. In Italia siamo all’avanguardia sotto questo aspetto.

Chi è Rodolfo Falcone, quale il suo percorso professionale, quali gli step per raggiungere il vertice italiano in Check Point?
Lavoro nella security dal 2000. Ho iniziato in Trend Micro come responsabile delle vendite. Ho avuto poi un’esperienza in Reply, che aveva acquisito una società dal gruppo Unicredit specializzata in sicurezza. Sono stato poi chiamato un anno e mezzo fa in Check Point Italia che soffriva allora di una flessione del fatturato a dispetto dell’andamento positivo delle altre country. Quest’anno in Italia stiamo crescendo del 50% rispetto allo scorso anno contro un 25% della media corporate. Check Point è un’azienda fortissima; lo testimonia la sua storicità, le sue competenze, il suo indiscusso market share, i suoi dati di fatturato.

È stato rivoluzionato il team? Quale il segreto di questo cambiamento?
È stato cambiato il management ed è stato parallelamente ripreso il contatto col mercato e ritrovata la vicinanza con i clienti. È stata questa la strategia vincente. L’alto turn over ha negli anni generato una forte discontinuità che siamo riusciti ad arginare con successo in questo ultimo anno riorganizzando la forza vendite e progettando una modalità di lavoro più centrata sul cliente.