Massima allerta sicurezza se i dati sono sensibili

Sicurezza
0 0 Non ci sono commenti

Claudio Di Benedetto, dirigente tecnologo dell’Istituto Superiore di Sanità,
guida un team che affronta le problematiche della sicurezza inerenti la gestione
di informazioni che contengono dati sensibili

Organo tecnico scientifico del Servizio Sanitario Nazionale ed ente pubblico di ricerca, l’Istituto Superiore di Sanità (Iss) svolge attività sia di ricerca sia di controllo per la salute . Sono sette i dipartimenti di ricerca che compongono l’Iss che ha anche il compito di mantenere diversi database di ricerche sperimentali ed epidemiologiche, report e repository di progetti di ricerca.
Il contesto in cui affronta le problematiche di sicurezza It un piccolo team di quattro persone guidato da Claudio Di Benedetto, dirigente tecnologo dell’Istituto Superiore di Sanità e responsabile della sicurezza, è quello della gestione di informazioni che contengono dati sensibili.
Spiega Di Benedetto: ? La funzione It fornisce supporto alla ricerca scientifica e cura direttamente l’aspetto della sicurezza delle applicazioni. Molti database sono accessibili all’esterno, mentre altri sono ad accesso riservato. Il fatto di trattare dati sensibili ci obbliga a integrare il fattore sicurezza in ogni applicazione. Questo è l’aspetto principale e fondante di ciò che facciamo. Accanto a questo abbiamo organizzato poi una classica struttura di sicurezza con sistemi di firewall e sonde antiintrusione di vario tipo?.

Qual è il tema della sicurezza It attualmente più rilevante per la sua organizzazione?

Nel tempo sono state realizzate soluzioni per problemi particolari e poi ci siamo convinti della necessità di un sistema omogeneo in grado di gestire tutte le funzionalità e i servizi di sicurezza. Lo sforzo che ci impegna attualmente è di semplificare le operazioni di gestione della sicurezza e di focalizzare il team su un know how unificante, pur mantenendo sui client soluzioni antivirus e di firewalling , che devono mantenere la loro efficacia. L’esperienza ci ha dimostrato che il fatto di essere protetti non serve a bloccare definitivamente le minacce in arrivo. La sicurezza tende al 99,99%, ma ognuno degli ulteriori ?n ove? decimali di sicurezza diventa molto costoso?. Per le realizzazione del progetto che nasce dall’esigenza di uniformare i livelli di protezione logica per funzione, minimizzando i costi di gestione e l’impatto sulle risorse l’Iss ha collaborato con Stonesoft per ottenere ottimizzazione a livello di protezione perimetrale e rilevamento delle intrusioni, grazie a un’elevata focalizzazione sulla security governance e sulla fruibilità delle informazioni.

Può dare qualche indicazione su quanto spendete in sicurezza?

In percentuale sul budget It la spesa di sicurezza è cresciuta nel tempo fino ad arrivare al 5-6 % del totale. Ma gli It manager non sono mai soddisfatti del loro budget. In questo momento gli enti pubblici devono anche seguire indicazioni governative di riduzione di spesa. Comunque gli investimenti sono tutti indirizzati a risorse interne. Le persone del mio team sono molto professionali e motivate. Lo sviluppo delle applicazioni viene fatto in house e solo per alcune applicazioni di tipo sistemistica, come ad esempio per particolari problemi di sicurezza, ci facciamo affiancare da collaborazioni esterne. Tuttavia , una volta usciti dalla fase di installazione e avviamento ci prendiamo in carico internamente la gestione.

In generale quale pensa sia il problema della sicurezza It che terrà impegnate le aziende e le organizzazioni?

Uno dei problemi più fastidiosi e che consumano banda è lo spam. Non possiamo bloccare alla fonte e in modo centralizzato le spam cancellando le email, perché la posta deve arrivare tutta al destinatario a termini di legge. La gestione dello spam ricade dunque spesso sull’utente, benché la posta, non bloccata, sia monitorata e filtrata. Lo spam è una minaccia che le società che operano sul mercato della sicurezza dovrebbero indirizzare meglio. Spesso è anche un problema di educazione dell’utente nell’uso delle email. Comunque conto sul fatto che quando avremo tutti la possibilità di avere posta certificata con l’us o dei certificati digitali lo spam potrà non essere più un problema.

In base alla sua esperienza, quale consiglio si sente di dare ai suoi colleghi impegnati nella sicurezza It?

In via preliminare direi che per affrontare le problematiche di sicurezza di un’azienda o di una organizzazione l’It manager deve conoscere bene l’ambiente e l’utenza, le sue abitudini di lavoro. Questo è importante per ritagliare i livelli di sicurezza in funzione degli utenti. E diventa tanto più importante all’Iss dove lavorano molti ricercatori che tendono a essere spesso peculiari nelle loro scelte. Un altro aspetto importante della sicurezza è la formazione e la diffusione delle informazioni presso le persone. Bisogna diffondere consapevolezza dei rischi in modo corretto. E anche questa attività non è a costo zero. Oltre all’aspetto tecnico organizzativo c’è un problema di sicurezza come cultura. Poi ? e questo vale nelle istituzioni più piccole ? il security manager o chi si occupa di sicurezza deve lavorare a stretto contatto con il network manager. Sono figure che devono esistere e svolgere i compiti loro affidati senza essere distolti verso altre attività: l’analisi dei log e l’auditing dello stato di salute del sistema devono avvenire con regolarità. Anche se non tutti possono permettersi questi costi è importante avere personale dedicato alla sicurezza del sistema. Spesso invece si opera come in un’economia di guerra in cui bisogna occuparsi di cose diverse. E poi essere sempre sul chi vive. Le minacce sono in continuo divenire.

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore