Come si fa sicurezza

Sicurezza
0 0 Non ci sono commenti

Emanuele Perotti Nigra ha contribuito alla realizzazione del sistema
informativo della sede di Montecarlo della Iaaf (International Association of
Athletics Federations). Le esperienze e le contromisure di protezione

Emanuele Perotti Nigra ha contribuito alla realizzazione del sistema informativo della sede di Montecarlo della Iaaf (International Association of Athletics Federations), l’organizzazione mondiale che organizza tra l’altro i campionati mondiali di atletica leggera, fin dall’inizio in occasione dello spostamento della sede da Londra sulle rive del Mediterraneo.
Il dipartimento It dell’organizzazione lavora al servizio di uno staff di 70 persone di differenti nazioni. Circa il 20 % del suo budget va nella gestione della sicurezza informatica ( prodotti, licenze, macchine e manutenzione).

In quale problema della sicurezza It è attualmente impegnato per la sua organizzazione?
Siamo un dipartimento tecnologico dentro un’organizzazione che si occupa di sport. In questo periodo stiamo lavorando per impedire che i nostri utenti cadano nelle trappole del phishing. L’accesso alla rete è libero a tutti, ma dobbiamo mettere dei filtri sui contenuti per precise esigenze legali. Ovviamente la nostra struttura si protegge (sito web e rete intranet) con firewall e antivirus. A Montecarlo risiedono i server della nostra intranet , mentre i server web e parte dei nostri database, che comprendono anche le classifiche di tutte le specialità, stanno in outsourcing a Milano presso Inet, cui abbiamo affidato in outsourcing la gestione della nostra sicurezza. Una particolarità della nostra organizzazione sono gli accessi dei nostri utenti in mobilità. Il 70 % del nostro personale è in viaggio per seguire eventi oppure organizzarli in tutto il mondo. Per la sicurezza del sistema, per l’accesso ai nostri server e alla email gli utenti possono utilizzare un collegamento in Vpn. Ma l’accesso deve essere semplice da realizzare dovunque perchè i nostri utenti non devono essere esperti di tecnologia. Spesso devono poter stampare documenti in rete anche al di fuori dell’ufficio: per questo dispongono sui portatili di una protezione antivirus via Internet.
In generale quale pensa sia la minaccia alla sicurezza It che terrà impegnate le aziende e le organizzazioni in questo anno appena iniziato?
In questo momento preoccupa anche noi l’impatto dello spam. Utilizziamo i servizi di Postini per la gestione della messaggistica e per il filtro delle email, ma queste minivalanghe di spam sono un problema di tutta le organizzazione. Gli utenti però lo vedono come loro particolare. Stiamo lavorando in particolare sul problema dei falsi positivi. Mentre con le altre applicazioni la sicurezza è qualcosa che deve esistere, ma non è visibile all’utente, con lo spam l’utente viene coinvolto, deve perdere tempo nella gestione delle email e spesso si confonde generando a sua volta una notevole quantità di ulteriori email inutili. Lo spam continuerà ad essere anche quest’anno un problema per tutti, mentre ci sentiamo tranquilli di aver bloccato attacchi al sistema o al web server.

La vostra visibilità internazionale non può che attirare attacchi di vario tipo. Ne ricorda qualcuno?
Ne ricordo uno in particolare legato alla gestione che lo Iaaf fa dei risultati delle competizioni. Un primo posto assegnato e poi tolto a un marciatore durante una passata edizione dei giochi olimpici ha dato il via a un attacco ai nostri server che sono stati bloccati da valanghe di email.

In base alla sua esperienza, quale consiglio si sente di dare ai suoi colleghi impegnati nella sicurezza It?
Bisogna allocare una parte del budget alle tecnologie It, prima di tutto. Poi il mio consiglio in generale è di lavorare per rendere il sistema semplice, ma nello stesso tempo molto efficace. Se l’azienda è di piccole dimensioni affidarsi ad esperti esterni perché la sicurezza richiede una preparazione e un aggiornamento quasi quotidiano. Insomma , poiché non ci si può improvvisare esperti di sicurezza, è meglio identificare i migliori esperti del settore e affidarsi ad essi. Poi, ma è un consiglio che do prima di tutto a me stesso, cercare di far capire ai decision maker dell’azienda o di un’organizzazione che avere un budget per la sicurezza è importante. Il responsabile dell’It deve essere in grado di spiegare l’importanza della sicurezza. Io poi sono un utente soddisfatto della decisione di dar in outsourcing molta parte della gestione della sicurezza. All’inizio abbiamo provato a fare da soli, ma ci siamo subito resi conto che un aggiornamento veloce sulle minacce diventava impossibile.
Questo lato oscuro dell’informatica , anche a causa del protocollo Ip , fatto per essere aperto, evolve molto velocemente. Il tempo da impiegare diventa molto e le spese sono molte e spesso difficili da far comprendere e controllare.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore