Security e Virtualization Blog di Feliciano Intini (e il suo team PCfSV2) : Privacy

Amministratori di Sistema: proroga al 15 dicembre

Microsoft Italy PCfSV2 Team — Mon, 29 Jun 2009 19:03:00 GMT

In tema di privacy, il 2009 è iniziato con un provvedimento del Garante per la Protezione dei Dati Personali relativo agli amministratori di sistema; passato lo sconcerto iniziale per un’iniziativa che aveva colto quasi tutti di sorpresa, gli ultimi mesi...(read more)

Un nuovo BING bang per la rinascita di Internet!

Feliciano Intini — Sat, 30 May 2009 13:46:44 GMT

[English version below: " A new BING bang for Internet rebirth " ] Saprete già dell’annuncio del nuovo nome per il nuovo motore di ricerca di Microsoft, non più Live Search , non più Kumo , ma BING , semplice ed evocativo: a giudicare dallo...(read more)

Primi notebook con il Privacy Screen nativo

Feliciano Intini — Fri, 26 Sep 2008 19:03:30 GMT

InformationWeek segnala il rilascio da parte di DELL di un notebook Latitude E6400 fornito nativamente di un Privacy Screen , uno monitor che permette la piena visualizzazione dell'immagine solo a chi è posto di fronte allo schermo e appare opaco...(read more)

Disponibilità di IE 8 Beta 2 in italiano e riepilogo post sulla sicurezza di IE8

Feliciano Intini — Wed, 17 Sep 2008 19:11:19 GMT

Approfitto della necessaria segnalazione della disponibilità di Internet Explorer 8 Beta 2 in italiano come riportato da Renato , per riportarvi l'insieme dei post del blog di IE nei quali sono stati forniti i dettagli delle varie funzionalità...(read more)

Google Chrome apre la "1st World Browser War": chi vincerà la battaglia su Sicurezza e Privacy?

Feliciano Intini — Wed, 03 Sep 2008 16:40:20 GMT

E' indubbio che l'arrivo di Google Chrome segnerà il vero e proprio scoppio della "1a Guerra Mondiale dei Browser" (magari le guerre fossero tutte combattute a questo livello... :-(...): non voglio dire che fino ad ora il confronto IE-Firefox...(read more)

Disponibile IE8 Beta 2, con importanti novità in area Privacy

Feliciano Intini — Thu, 28 Aug 2008 00:46:00 GMT

La notizia merita una brevissima interruzione del silenzio blogging che mi sono imposto durante le ferie (secondo la descrizione di Simona sono classificabile tra i "fortunati", visto che sono ancora in vacanza, giusto per quest'ultima, terza...(read more)

IE8 Security: SmartScreen® Filter, il nuovo Phishing Filter con funzionalità anti-malware

Feliciano Intini — Thu, 03 Jul 2008 12:40:45 GMT

Ieri è stata pubblicata sul blog di IE una raffica di informazioni sulle nuove funzionalità di sicurezza che verranno incluse in IE8 . La prima che vi riporto è quella che impatta più direttamente l'esperienza dell'utente, il nuovo...(read more)

Al via la Settimana Nazionale della Sicurezza in Rete!

Feliciano Intini — Sat, 07 Jun 2008 20:13:18 GMT

Come ha appena annunciato Francesca Di Massimo , Security Lead di Microsoft Italia (che voi ormai dovreste ben conoscere ...), a partire da oggi inizia una iniziativa davvero molto importante, pensata per diffondere nel nostro paese una maggiore consapevolezza...(read more)

Repetita juvant: come reagire al furto della password Windows Live

Feliciano Intini — Tue, 06 May 2008 20:15:06 GMT

Sento nuovamente la necessità di tornare su questo aspetto importante, innanzitutto per scusarmi con i lettori a cui non sempre riesco a rispondere. Sono diversi coloro che, tipicamente tramite i motori di ricerca, scovano i miei post sull'argomento "furto della password" (per Windows Live, Messenger, Hotmail, MSN) e mi contattano, nella speranza che io possa aiutarli velocemente ad arginare il problema, chiedendomi di bloccare il loro account o la loro casella di posta, o di recuperare la loro password perduta, sottratta o addirittura utilizzata in parallelo senza modificarla.

Purtroppo non dispongo di un percorso privilegiato per aiutarvi singolarmente: l'unico modo adeguato per ottenere supporto è quello previsto direttamente da Windows Live che vi ho già indicato nei vari post che ho raccolto nella pagina dedicata alle emergenze di sicurezza

Tanti di coloro che mi scrivono non sembrano aver letto le indicazioni di quei post, (che di fatto sono esaustive per ritrovare i link utili ad ottenere supporto) o probabilmente a questo punto le informazioni che vi ho fornito non sono facilmente leggibili.

Stavo già pensando di riscrivere una pagina web ad hoc con tutte le indicazioni messe in ordine, quando ho ritrovato la segnalazione che mi aveva fatto il collega che qui in Microsoft è il Product Manager di Windows Live Messenger: sono due paginette web sul sito www.messenger.it, forse poco note, ma che hanno davvero l'insieme dei consigli utili per far fronte a queste problematiche e per migliorare la comprensione di queste minacce

IL TUO ACCOUNT, LE TUE CHIAVI DI CASA:
- Ricezione di e-mail modifica password non richiesta
- Smarrimento o furto della password
PAGINA SULLA SICUREZZA SU WWW.MESSENGER.IT
- Solo con chi vuoi tu
- Diffida dalle imitazioni e proteggi i tuoi dati
- Aggiungi sicurezza al tuo PC
- Bufale
- Link Sospetti
- la guida di Vincenzo Di Russo "Spyware e Malware: chi ci spia?"

Un ultimo consiglio, che finora non avevo dato esplicitamente ed è incluso nel primo link che vi ho fornito, è quello di non escludere la possibilità di sporgere denuncia alla Polizia Postale per segnalare queste violazioni.

Share this post :

L'evoluzione del Trustworthy Computing: End to End Trust (E2E)

Feliciano Intini — Mon, 14 Apr 2008 11:55:04 GMT

Nello scorso post quando vi ho stuzzicato ad attendere il post successivo (che è poi questo... ;-) ho commesso un errore involontario, ma per certi versi un lapsus freudiano. Vi ho anticipato che vi avrei parlato "degli elementi della nuova strategia Microsoft in area sicurezza" ma di fatto quello di cui Craig Mundie ha parlato all'RSA Conference 2008, da un lato non si può definire esattamente "la nuova strategia", dall'altro io credo che rappresenti un passaggio storico fondamentale nell'evoluzione dell'atteggiamento della mia cara Microsoft sul tema Sicurezza, rivoluzionario quanto l'avvio della strategia Trustworthy Computing avvenuto nel 2002.

Questa visione strategica ha un nome, "End to End Trust", e rappresenta la proposta di Microsoft di avviare una discussione aperta su cosa sia necessario fare per migliorare il futuro di Internet, per quanto riguarda gli aspetti di Security & Privacy. Purtroppo Internet non è nata avendoli come requisiti di progetto: il fatto che ora queste due caratteristiche siano un problema evidente è sotto gli occhi di tutti. Microsoft intende dare una svolta a questo difetto "strutturale" e chiede l'aiuto di tutti per concordare un piano di azione che possa cambiare le regole del gioco preservando i diritti riconosciuti che gli utenti esercitano sul web.

Per la prima volta Microsoft si presenta senza una soluzione tecnologica in tasca e sceglie la strada di una proposizione di architettura e di metodo presentata tramite un breve white paper di 20 pagine (da leggere assolutamente!), e di un confronto tramite un forum aperto alla discussione, entrambi raggiungibili al sito End to End Trust creato per questa iniziativa.

In estrema sintesi, questa proposta indica una strada percorribile:

migliorare gli aspetti di autenticazione, creando un cosiddetto "Trusted Stack"; abilitare la possibilità di autenticazione robusta a tutti i livelli logici dei soggetti che interagiscono su Internet: hardware, software, persone e dati.
migliorare la capacità di tracciare gli eventi (audit) per poter responsabilizzare chi esegue delle azioni (accountability); allo stesso tempo fornire alle persone maggiore controllo sulle proprie identità digitali per garantire una maggiore tutela della propria Privacy.

La proposta però non si limita a fornire spunti in ambito tecnologico, riconoscendo che il successo di una tale reingegnerizzazione di Internet non possa essere affrontata senza una convergenza di interessi sociali, politici ed economici.

Un post è davvero riduttivo per esaurire l'analisi dei vari temi sollevati dalla strategia di End to End Trust, e proprio per l'importanza di questa discussione ho deciso che dedicherò una serie di post sul tema, augurandomi di avervi come partecipanti attivi nello scambio di opinioni che cercherò di stimolare. Ci sono aspetti che non mancheranno di sollevare delle considerazioni critiche (dal punto di vista tecnologico, per esempio, sarà interessante dibattere sugli aspetti dei dispositivi hardware che potrebbero utilizzare i chip TPM per essere considerati Trusted Device).

Vi lascio quindi con il compito di leggere il white paper... a presto!

Share this post :

Microsoft acquisisce la tecnologia U-Prove di Credentica!

Feliciano Intini — Thu, 06 Mar 2008 23:43:09 GMT

Ho assistito poco fa di persona alla sessione che il mitico Kim Cameron ha riservato per noi Microsoft Security Advisor e, per pura combinazione, questo incontro è avvenuto quasi contemporaneamente all'annuncio di Microsoft sull'acquisizione della tecnologia U-Prove di Credentica, acquisizione a cui Kim ha contribuito in modo determinante. E' stato davvero emozionante sentire dalla sua viva voce l'entusiasmo e la passione per quello che implica questa acquisizione per lo sviluppo e la piena realizzazione dell'Identity Metasystem. Come potete leggere dal suo post (una lettura da non perdere!), si parla addirittura di U-Prove come la tecnologia che sta agli aspetti di Privacy come la tecnologia di cifratura RSA sta a quelli di Security!! Messa in questi termini vuol dire che siamo di fronte ad una tecnologia fondamentale, di cui non si potrà fare a meno nel futuro. Se non avete già letto al riguardo, vi starete sicuramente domandando cosa sia questa meraviglia.

In estrema sintesi si tratta di una tecnologia di Minimal Disclosure: permette agli utenti di operare delle transazioni in modo tale da provare la propria identità ma senza fornire informazioni sulla propria identità (o fornendone un numero minimo, tale da garantire gli aspetti di privacy). Detta così sembra un ossimoro, una contraddizione in sé, ma ricorrendo alle "blinded signatures" è possibile realizzare matematicamente questo importante obiettivo (su questo articolo di Wired vi sono dettagli interessanti sugli studi alla base di questa tecnologia, come il Problema del Milionario).

Fino ad ora questa tecnologia non aveva ancora avuto una applicazione direttamente commerciale: l'interesse da parte di Microsoft e questa acquisizione permetteranno di inglobarla nello sviluppo delle nostre tecnologie che operano nell'ambito della gestione delle identità (a partire da Windows CardSpace).

Nei miei post su Windows CardSpace e l'Identity Metasystem non ero arrivato ad un livello di dettaglio tale da farvi apprezzare dove va ora a incastonarsi questa nuova tecnologia: ma se avete letto i miei post, la lettura del post di Kim vi chiarirà in modo semplice il miglioramento che viene acquisito con U-Prove.

Questa è davvero una PET, (Privacy-Enhancing Technology) e sarà interessante vederla all'opera, speriamo il prima possibile.

Share this post :

Ancora sul furto ripetuto di account Windows Live ID, MSN, Hotmail, Messenger: anno nuovo, computer pulito!

Feliciano Intini — Mon, 31 Dec 2007 14:41:26 GMT

Ricevo ancora oggi un numero significativo di commenti al post in cui segnalavo come chiedere supporto in caso di account Windows Live ID rubato. Dopo quel post avevo poi ribadito la possibilità di contattare gratuitamente il servizio clienti di Microsoft per ottenere supporto in caso di problemi di virus e di sicurezza, soprattutto per tutti coloro che avevano urgenza di essere aiutati. Ma un elemento preoccupante di queste richieste di aiuto mi ha spinto a scrivere un nuovo post sull'argomento, nella speranza di potervi aiutare con questo serio problema della perdita delle credenziali di accesso ai vari servizi online, Windows Live ID, MSN, Hotmail, Messenger (ma il discorso vale anche per quelli non-Microsoft): la segnalazione del furto ripetuto delle credenziali, anche dopo la loro reimpostazione con l'aiuto del servizio clienti.

Desidero quindi aiutare i lettori meno tecnici con poche considerazioni, molto semplici, che li aiutino a capire come questo furto ricorrente possa avvenire e come possano porvi rimedio.

In estrema sintesi il furto delle credenziali delle vostre utenze può avvenire in due modi distinti:

Li avete incautamente forniti voi in modo esplicito ad alcuni siti Internet che vi promettevano in cambio servizi aggiuntivi (i più diffusi, per esempio, vi promettono di valutare e gestire il reale stato dei vostri contatti in Messenger).
Vi sono state rubate "in casa" (ossia sul vostro PC) grazie all'esecuzione di virus/malware che avete eseguito inconsapevolmente (e/o anche installato sul vostro PC in modo permanente) mentre navigavate in Internet o leggevate la posta o chattavate in Messenger.

Capite da soli che per il caso 1 il furto difficilmente potrà ripetersi a meno che non siate stupidamente recidivi a commettere l'errore di ridare la password a siti terzi. Se invece il furto è avvenuto "in casa" e il ladro è ancora nascosto lì (leggi: il malware che vi ruba le credenziali è ancora sul vostro PC), potreste continuare all'infinito a reimpostare la password, tanto c'è qualcuno che spia (leggi: spyware) continuamente le vostre azioni e può scoprire tutte le nuove credenziali reimpostate.

Detto questo posso ora enunciare un principio molto importante riguardo agli aspetti di sicurezza legati alla compromissione dei sistemi:

Se il vostro computer è stato compromesso da una infezione di malware o da un attacco di utenti non autorizzati, l'unico modo per garantire il totale recupero del controllo del vostro PC è la reinstallazione pulita del sistema operativo e dei suoi programmi.

Comprendo benissimo che sia un principio molto fastidioso e scocciante da mettere in pratica, ma in diverse situazioni è un male necessario e l'unico in grado di risolvere alla radice i diversi problemi che derivano da una infezione. Per chi volesse documentarsi meglio e con più dettagli su questo principio e sui consigli da adottare in questi casi vi riporto due importanti risorse:

Un articolo del sito Technet "Help: I Got Hacked. Now What Do I Do?"
Una checklist del CERT: "Recovering from a Trojan Horse or Virus"

Come leggerete da questi semplici articoli, si può anche tentare di ripulire il vostro PC ricorrendo ad antivirus e antispyware di tutti i tipi, ma la soluzione ultima, definitiva, è quella di armarsi di buona volontà e del CD di installazione del sistema operativo, salvare i dati e farsi un inventario dei programmi che volete reinstallare (possibilmente limitatevi a quelli davvero necessari), e procedere alla reinstallazione del sistema con tanto di riformattazione del disco fisso: se non sapete farlo da soli fatevi aiutare da qualcuno che conoscete, ma fatelo!

Come succede a S.Silvestro per le altre cose vecchie, fatelo anche per il PC: puliziaaaaa!!! Anno nuovo, computer pulito!

Auguro un anno fantastico (e virus-free!) a tutti voi!

Ancora Social Engineering: attenti al Lottery Scam

Feliciano Intini — Thu, 20 Dec 2007 19:23:00 GMT

Le feste si avvicinano (per fortuna!!!) e siete sicuramente avvolti come tutti da quella magica atmosfera tipicamente natalizia, di ricerca regali, organizzazione di cene e di momenti di convivialità per stare insieme e giocare. Già, giocare: non so se ci avete mai fatto caso, ma il gioco ha un ruolo centrale in questo periodo. Sarà per l'essere cresciuti in mezzo a mega-tombolate familiari, sarà perché siamo cresciuti sperando nel regalo da parte di Gesù Bambino o Babbo Natale, sarà per le credenze cabalistiche dell'anno che viene e quello che va con alterne fortune (e con la doverosa speranza di un riscatto), ma in questo periodo ci ritroviamo particolarmente predisposti alla scommessa facile, alle lotterie di tutti i tipi (nazionale, aziendale, parrocchiale, equo/socio solidale...) con una irrazionale certezza di avere grandi possibilità di realizzo nonostante la probabilità di vincere sia prossima allo zero in molti di questi casi, giustificandosi con un: " ...qualcuno dovrà vincere... perché non io?". Io stesso non sono da meno, e spendo mediamente di più in questo periodo per una legittima fettina di sogno...

Dove vi voglio condurre con queste considerazioni? A farvi riflettere sul fatto che questo nostro atteggiamento psicologico, anche se legittimo e giustificato, ci rende vulnerabili e questo, tipico caso di attacco Social Engineering, si traduce nella presenza di qualcuno che cerca di sfruttare questa nostra debolezza per truffarci e rubarci dei soldi: è il caso delle cosiddette Lottery Scams, di cui ha trattato ieri anche un articolo su Corriere.it. In che cosa consistono? Le potenziali vittime ricevono delle email truffa che dichiarano (in modo falso) di provenire da ben conosciute e blasonate società di Lotterie in cui si segnala la molto probabile o addirittura certa vincita di un consistente premio in denaro. Alcuni esempi di queste email:

La truffa consiste nel fatto che per poter incassare la vincita vi chiedono di solito un piccolo contributo in denaro, o delle informazioni sensibili (tipo carta di credito/numero di conto corrente per l'accredito): quale tremenda tentazione poter pagare una piccola cifra in cambio di una certa (???) stravincita (a cui stranamente non hai chiesto di partecipare!!!) che ti può cambiare la vita? Come nel caso del phishing, più ampio è il raggio di utenti a cui si invia questa esca, più alta è la probabilità che qualcuno abbocchi, fino al caso riportato dal video del signore inglese che ha testimoniato in anonimato di aver perso circa 60.000 euro con questo tipo di truffa.

Spero vi sia chiaro che non vi sia oggi alcuna tecnologia in grado di proteggere completamente da questo tipo di attacchi: alle necessarie evoluzioni tecnologiche per ridurre il grado di incertezza rispetto al quale si viene a trovare l'utente quando riceve queste email, si deve assolutamente affiancare una costante opera di spiegazione di come evolvano questo tipo di minacce, come giustamente spiegato in modo congiunto nell'articolo del Corriere dal direttore Masciopinto (Polizia Postale) e dal responsabile delle Relazioni Esterne di Microsoft Italia, il caro Carlo Rossanigo.

Ricordate poi che anche voi potete contribuire al miglioramento di questa cosiddetta security awareness: in ogni occasione opportuna, diffondete queste informazioni e segnalate le risorse web (come il mio post, ;-) dove poter acquisire più dettagli (mi raccomando, senza fare spam!).

Rilasciata la "2007 Microsoft Office Security Guide" !

Feliciano Intini — Tue, 13 Nov 2007 17:16:09 GMT

Non potevo attendere di leggerla tutta prima di segnalarvi questo importante rilascio documentale: la Security Guide di Microsoft Office 2007 ! (da italiano preferisco chiamarlo così, invece di 2007 Microsoft Office ... :-)) La prima scorsa veloce che ho dato al materiale mi ha rinverdito l'orgoglio di essere parte di questa azienda (se mai ce ne fosse bisogno...;-): il miglioramento della documentazione è tangibile ad ogni nuovo rilascio, sempre più dettagliata e completa, con il giusto approccio all'analisi di rischio che un documento in area sicurezza dovrebbe avere. Cosa trovate in questi download ?

la Security Guide vera e propria, che illustra il modello di sicurezza, le funzionalità (organizzate in base ai "sacri" criteri CIA, Confidentiality, Integrity & Availability) e le best practice, assieme alle indicazioni per rafforzare la realtà aziendale in base a 2 scenari specifici come fatto per la Security Guide di Windows Vista (in questo mio vecchio post trovate i link alle diverse security guide), ossia lo scenario più comune di Enterprise Client (EC) e quello più rafforzato di Specialized Security - Limited Funcionality (SS-LT), per ricordare ancora una volta che le attività di hardening richiedono sempre di valutare il compromesso tra sicurezza e funzionalità. Particolarmente importante l'attenzione specifica alle impostazioni in area Privacy del capitolo 2
La Threats & Countermeasures Guide, quella che ho sempre sognato potessimo riuscire a produrre per tutti i nostri prodotti, la technical reference di TUTTE le impostazioni che hanno una rilevanza in ambito sicurezza, , con l'indicazione di rischio, raccomandazione e impatto! Importantissima novità è l'indicazione per ogni impostazione del relativo identificativo CCE-ID (Common Configuration Enumeration), in modo da avviarsi verso la possibilità di correlazione e di automatismo dei tool di assessment delle configurazioni di sicurezza.
Il Security Settings Spreadsheet, relativo foglio Excel con tutte le impostazioni documentate nella guida T&C.
Il GPOAccelerator Tool, per automatizzare la distribuzione delle security policy.
Materiale informativo di supporto: il datasheet, la Executive Guide e le FAQ.

Di fronte a questa abbondanza di dettagli ripenso (senza nostalgia!) a quando era parte del mio lavoro di consulente la faticosa creazione di tali Security Guides, di fronte al fatto che l'unico materiale "ufficiale" erano poche, a dir poco scarne, checklist ... che progressi ! Buona lettura e, soprattutto, buona adozione di configurazioni più sicure !

La convergenza di Security e Privacy: una novità ?

Feliciano Intini — Tue, 23 Oct 2007 19:01:00 GMT

Oggi in contemporanea in due eventi di sicurezza, Ben Fathi (all'RSA Europe Conference a Londra) e Scott Charney (allo IAPP Privacy Academy di San Francisco) di Microsoft hanno parlato nelle loro keynote della convergenza di Security e Privacy sulla base dei risultati di uno studio effettuato dal Ponemon Institute. Questa ricerca commissionata da Microsoft e realizzata nel settembre 2007 ha portato ad intervistare circa 3600 dirigenti di aziende negli Stati Uniti, Inghilterra e Germania, con una responsabilità tra le seguenti: sicurezza, protezione dati o marketing. Cosa emerge da questo studio ? Un serie di importanti considerazioni che vi riassumo:

Dal punto di vista dello scenario di rischio e delle minacce, la sicurezza e la privacy stanno convergendo: alla luce dei risultati dell'ultimo Microsoft Security Intelligence Report (relativo al primo semestre del 2007, e di cui vi parlo nel post successivo) è ormai evidente anche nei numeri l'annunciato aumento di attacchi diretti al furto delle informazioni personali, portati con l'intento di trarne profitto.
Di fronte a questo scenario di convergenza, le aziende non sono attualmente strutturate in modo adeguato dal punto di vista organizzativo per affrontare queste minacce ai dati personali. I dati statistici della ricerca dimostrano che le aziende più colpite da incidenti di sicurezza sono anche quelle caratterizzate da una povera collaborazione tra i tre gruppi oggetto dell'analisi (responsabili di sicurezza, protezione dati e marketing).
Non è carente solo la collaborazione tra questi gruppi in azienda: anche la percezione dei singoli gruppi su come operare relativamente alla protezione dei dati è nettamente diversa ed autonoma, a tutto discapito della possibilità di collaborare.
Sulla necessità di preservare o aumentare la reputazione e l'immagine di sicurezza dell'azienda sono invece tutti d'accordo: e questo dovrebbe aiutare i responsabili di sicurezza e privacy nell'ottenere maggiore attenzione sui temi della protezione dei dati.

Vi confesso che non vedo in queste considerazioni una vera e propria novità. Non fraintendetemi, il valore di questa ricerca è indubbio: mette nero su bianco dei fatti che possano far riflettere le aziende e aiutarle nelle loro decisioni. D'altra parte invece ritengo che chi abbia già avuto modo di affrontare la gestione della sicurezza in modo maturo e strutturato, "come si deve", dovrebbe già aver indirizzato questi aspetti e non dovrebbe scoprirlo adesso. La privacy è solo un aspetto specifico della sicurezza, relativamente alla protezione dei dati e in particolare delle cosiddette PII (Personal Identifiable Information). Se ci troviamo oggi a dire che stanno convergendo lo dobbiamo solo all'anomalo percorso storico che abbiamo vissuto. Prima abbiamo scoperto la necessità di fare sicurezza per difenderci dagli attacchi worm di scala mondiale: corsa organizzativa a formalizzare in azienda la funzione sicurezza (corsa su cui in Italia siamo ancora indietro). Poi (è il periodo attuale) abbiamo cominciato a dover rendere conto alla normativa nazionale sui temi della Privacy (in Europa prima che negli Stati Uniti, per la prima volta in controtendenza): corsa organizzativa a identificare il responsabile Privacy. Perché non capire subito che stavamo parlando di facce diverse della stessa medaglia ? Perché creare responsabilità in divisioni distinte ? Ovvio poi ritrovarsi con approcci distinti, povera collaborazione (se non conflitto e concorrenza...) e diversa percezione. In conclusione, la raccomandazione che mi sento di offrirvi è quella di fare sicurezza in azienda "come si deve" con la giusta attenzione da parte del top management e i dovuti investimenti (in base alle risorse da proteggere): questa attenzione top-down produrrà in modo naturale un approccio più organico sulla sicurezza all'interno dell'azienda e porterà benefici anche (ma non solo) sul tema della protezione dei dati, facilitando le parti coinvolte alla migliore collaborazione e alla condivisione di una strategia comune di difesa che va pensata dall'alto.