Ca, Rsa, Microsoft: l’azienda? Va protetta e curata come un neonato

Sicurezza
0 0 Non ci sono commenti

Il perimetro delle infrastrutture It è sempre più fluido. Non bastano quindi le soluzioni esistenti a tutela della sicurezza per scoraggiare intrusioni o altri attacchi. Abbiamo chiesto l’opinione a tre protagoniste del panorama italiano

Gli accessi a informazioni e applicazioni dall’interno e dall’esterno del perimetro aziendale richiedono una cura particolare nella profilazione dell’utente: chi è, cosa fa, a quali dati può accedere o accede realmente. Quasi a contrasto il perimetro della infrastruttura It è sempre più fluido. Feliciano Intini, Chief Security Advisor di Microsoft Italia (che anima il security blog http://blogs.technet.com/feliciano_intini ) preferisce parlare di “de-materializzazione del perimetro”.

microsoftintini.jpg

Intini, microsoft

Questo fenomeno rappresenta effettivamente una conseguenza evidente della sfida che le organizzazioni IT delle aziende si troveranno a dover affrontare sempre più di frequente ora e nel futuro: riuscire a bilanciare l’aumento di minacce, in tipologia e quantità, rispetto alla crescente richiesta di connettività da parte di dipendenti, aziende partner e clienti”.
Sulle difficoltà aperte dalla fluidità del perimetro si sofferma Elio Molteni, Security Advisor di CA Italia: “Gestire: chi fa cosa”, rientra nell’area di sicurezza It denominata Identity and Access Management. E’ un tema che continua a essere caldo per buona parte delle aziende medio grandi. Basti pensare che nelle grandi realtà circa il 50% ha adottato (chi in parte, chi completamente) una soluzione di gestione delle identità e degli accessi e che le previsioni di investimento, da parte delle aziende, in quest’area sono interessanti”.
Ma, ricorda Molteni, ultimamente, anche aziende di dimensioni minori, comunque con un numero non inferiore a 200 utenti o Pc, comincia a prestare attenzione a questa problematica che, se mal gestita, rischia veramente di creare problemi sia in termini di sicurezza che di gestione vera e propria: “Profilare correttamente chi fa cosa, in modo manuale, quando vi sono tanti utenti, tante applicazioni, tante piattaforme, può non essere semplice e, come tutti sappiamo, nelle operazioni manuali si possono spesso commettere errori involontari, ma anche volontari. E’ quindi consigliabile che tutte le aziende, che ancora non hanno affrontato il problema, inizino a pensare all’uso di queste affascinanti tecnologie che attraverso la semplice associazione di un ruolo ad un utente, innescando un vero e proprio processo automatico di creazione di codici utente, password e diritti di accesso su numerose piattaforme target (es. posta elettronica, rete, Unix, Windows, Dbms, Erp, ecc.”.

camolteni2.jpg

Molteni, Ca

Anche per Daniele Zappelli, Channel Account Manager di Rsa, divisione per la sicurezza di Emc, “le aziende devono imparare a bilanciare il livello di rischio con il livello di sicurezza da adottare. E’ poi necessario elaborare un piano per la sicurezza che prenda in esame policy, procedure e tecnologie, senza però mai perdere di vista gli obiettivi di business aziendali”.
La sicurezza perimetrale è necessaria, ma, proprio per i confini sempre più fluidi dell’infrastruttura It, non sufficiente. Diventa fondamentale garantire direttamente la protezione della risorsa più importante, l’informazione, limitandone l’accesso ai soli utenti autorizzati, nei tempi e nei modi previsti dalle policy aziendali e nel rispetto delle normative vigenti.
Zappelli suggerisce un mini-programma di intervento in pochi punti: “Tra le principali aree di intervento da considerare per la protezione delle risorse e la gestione delle identità di chi vi accede dall’interno dell’azienda o da fuori:
– L’autenticazione forte, per l’identificazione univoca degli utenti autorizzati ad accedere alla risorsa.
– La cifratura dei dati sensibili, sia a livello applicativo che a livello di file system, per garantire l’accesso in chiaro al solo personale autorizzato e dotato della chiave di decodifica.
– La prevenzione contro la perdita dei dati (Data Loss Prevention) attraverso la classificazione e l’assegnazione di policy ai documenti e agli utenti che li accedono.
– Il monitoraggio di quanto avviene in tutta l’infrastruttura (apparati ed applicazioni) mediante la gestione dei log (in tempo reale e su base storica), per una visione completa delle attività che riguardano tutti i dati presenti in azienda e trasformare eventi di sicurezza e di rete apparentemente non correlati in informazioni significative”.

L’obiettivo è realizzare un sistema di sicurezza che dovrebbe essere robusto e trasparente, avere un impatto minimo su tutta l’organizzazione ed essere un abilitatore per il business aziendale e non un ostacolo. Prosegue Zappelli:“E’ necessario dunque elaborare un piano per la sicurezza che prenda in esame policy, procedure e tecnologie, senza però perdere di vista gli obiettivi di business aziendali e tenendo conto che un’infrastruttura di sicurezza va commisurata al rischio che si corre e all’importanza delle risorse che si vogliono proteggere.
Rivestono un’importanza fondamentale gli aspetti legati all’autenticazione di utenti e sistemi, all’autorizzazione nell’accesso a risorse aziendali, alla cifratura e verifica di integrità dei dati, alla verifica della validità di certificati e firme digitali, a sistemi di storage robusti e affidabili, al controllo dei log dei diversi sistemi coinvolti in un’attività o transazione. Un’adeguata classificazione di dati e risorse permette da un lato di stabilire le corrette priorità relativamente al livello di rischio che si corre in caso di compromissione, dall’altro di scegliere correttamente i meccanismi di sicurezza da implementare”.

rsazappelli.jpg

Zappelli, Rsa, The security division of Emc

Naturalmente esistono soluzioni per tutto questo, ma bastano?
A questa domanda la risposta di Molteni è: “Sì, la tecnologia esiste, ma ovviamente la sua corretta implementazione richiede anche un piccolo sforzo di tipo organizzativo e procedurale, specie se il cliente interessato ha un’organizzazione complessa e articolata .
La soluzione che CA propone per la gestione delle identità e degli accessi è consolidata, affidabile, altamente scalabile, riconosciuta dagli analisti e dal mercato. Permette di gestire realtà piccole (200 user) sino alle grandi (milioni di utenze web). Molti nostri clienti hanno scelto la tecnologia CA di Identity and Access Management che è costituita da una suite di moduli indipendenti ma integrati fra di loro, che possono risolvere le problematiche di Single Sign-On, Identity Management, Access Management sia in ambito Client Server che Web. Inoltre CA ha conseguito una significativa esperienza anche in ambito Identity Federation, un nuovo modo per gestire l’accesso a servizi comuni resi disponibili attraverso i portali web”.

Quanto a Microsoft, Intini ricorda che la sua società “sta appunto focalizzando l’obiettivo di aiutare le aziende nella realizzazione di un delicato compromesso, maggiore sicurezza e al contempo richiesta di mobilità, accesso remoto e flessibilità nell’utilizzo dei più disparati tipi di dispositivi, a scelta dell’utente. La strategia in questa direzione consiste nel cosiddetto approccio di tipo “Defense In-Depth”: l’adozione di contromisure di sicurezza a tutti i livelli logici che è necessario attraversare per giungere all’informazione che rappresenta il bene ultimo da proteggere. Questo si traduce in una serie di soluzioni, prodotti e tecnologie che non si limitano ad indirizzare, come nel passato, solo la sicurezza perimetrale, ma anche la sicurezza di rete, dei dispositivi, delle applicazioni, delle identità digitali e, infine, la sicurezza dei dati stessi. Questo necessario “affollamento” di controlli di sicurezza non sarebbe sostenibile se questa proposizione di soluzioni di sicurezza non fosse omogenea, interoperabile, perfettamente integrata con la piattaforma di base e agilmente gestibile: sono queste le sfide tecnologiche con cui Microsoft si sta attualmente misurando, con risultati già espressi dalle innovazioni presenti nei prodotti più recenti”.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore