Speciale SICUREZZA/ Non serve solo tecnologia, ma?

Sicurezza
0 0 Non ci sono commenti

Una difesa efficace delle informazioni aziendali non può prescindere dalla
integrazione delle tecniche di sicurezza con quelle più
generali dei sistemi informativi. Si tratta a quanto pare di mettere insieme in
maniera coerente processi di business, politiche interne e tecnologie. Nel tempo
le aziende hanno seguito diverse strade applicative sia per la gestione
sia per la sicurezza. Quali consigli di tipo generale potrebbero essere
utili alle aziende che vogliono intraprendere nuovi passi per la protezione
degli accessi alle risorse aziendali e gestire l’identità di chi vi accede
dall’interno dell’azienda o da fuori (partner, clienti, fornitori)?

Elio Molteni (CA): Spesso si associa la sicurezza dei sistemi informativi alla mera tecnologia adottata mentre, in realtà, un approccio corretto volto a garantire la sicurezza dovrebbe necessariamente partire da una vera e propria analisi dei rischi per poi arrivare alla definizione delle policy aziendali di sicurezza, che a loro volta vengono messe in pratica attraverso la tecnologia.
Lo schema logico che sintetizza quanto ho appena affermato prevede un circolo virtuoso che coinvolge processi, policy e tecnologia attorno e a difesa delle informazioni aziendali. Le fusioni ed acquisizioni aziendali, il rapido turnover dei collaboratori (interni ed esterni), la necessità di rispettare le normative nazionali ed internazionali, il forte incremento degli utenti Internet ed altro ancora, rappresentano lo scenario di riferimento, complesso e in continua evoluzione, con cui l’Information Technology si confronta quotidianamente.
Da un punto di vista tecnologico, la complessità e l’eterogeneità dell’ambiente IT che ne consegue impone l’adozione di soluzioni innovative e aggiuntive per poter garantire la sicurezza, ma l’inserimento di questi nuovi strumenti è spesso considerato dai clienti problematico in quanto rappresenta un’ulteriore tecnologia da gestire. E’ questo il ?nocciolo? della questione; la sicurezza IT deve oggi dimostrare di poter svolgere unitamente questi due ruoli fino a qualche anno fa apparentemente in contrasto fra loro: ridurre il rischio ma nel contempo ottimizzare la gestione riducendo, a loro volta, anche i costi di amministrazione. Per proteggere gli accessi al patrimonio informativo aziendale, non più solo da attacchi esterni, ma anche dall’interno della propria organizzazione, è necessario realizzare un sistema di Identity & Access Management efficace ed efficiente.
Oggi, a differenza di qualche anno fa, i progetti di Identity & Access Management, sono divenuti accessibili anche per le aziende di medie dimensioni. L’entry level per l’adozione di queste soluzioni, anche dal punto di vista della loro giustificazione al top management, si è abbassato notevolmente grazie alla presenza contemporanea di diversi fattori che hanno agevolato tale cambiamento: l’evoluzione delle tecnologie verso una maggiore semplicità di utilizzo, l’inclusione di strumenti di workflow autorizzativi, una maggior competenza progettuale dei partner e dei vendor e infine, ma non meno importante, riduzione dei costi stessi della tecnologia. Un corretto abbinamento tra tecnologia e organizzazione può oggi realmente consentire alle aziende di accrescere il livello di protezione delle informazioni aziendali, adeguandosi ai requisiti base della sicurezza, come ?separation of duty?, ?least privilege? e ?need to know?, che, per i meno esperti, si traducono in un accesso ai dati tenendo conto della separazione delle responsabilità e dell’effettiva necessità di accedere a determinate informazioni. Un progetto di Identity & Access Management consente quindi alle organizzazioni di incrementare il livello di sicurezza perseguendo anche obiettivi in termini di Roi.

Di seguito ulteriori benefici ed i vantaggi derivanti da una soluzione di Identity & Access Management:
– riduzione dei costi e immediato ritorno sugli investimenti grazie all’amministrazione centralizzata ed automatizzata degli utenti; – riduzione dei i costi di help desk grazie alle funzioni di user self service web based (un esempio è il self service password reset assegnabile all’utente finale);
– possibilità di delegare al personale non IT (ad esempio all’ufficio del personale) la creazione, cancellazione e modifica dei dati relativi agli utenti e dei loro corrispettivi diritti di accesso;
– gestione in modo olistico ed integrato della sicurezza, spaziando da aspetti legati alla sicurezza fisica, quali il controllo del badge, ad aspetti relativi alla sicurezza IT, come l’accesso ad un’applicazione;
– incremento della sicurezza e agevolazione degli accessi alle applicazioni tramite soluzioni Single Sign-On;
– riduzione dei rischi globali di sicurezza e maggiore garanzia in termini di accesso alle applicazioni grazie all’approccio per ruoli e all’ ausilio di sistemi di autenticazione forte;
– adeguamento alle normative nazionali ed internazionali (un esempio è la possibilità di disabilitare in modo immediato tutti le UserId appartenenti ad un utente che ha abbandonato l’organizzazione, come recita il D.Lgs 196/03);
– controllo degli accessi ai dati/applicazioni in termini di protezione e tracciabilità.

Roberto Mircoli (Cisco) : L’approccio Cisco alla sicurezza delle reti ha da sempre al centro il concetto di Self Defending Network: una rete in cui le componenti funzionali e di sicurezza sono integrate nativamente in ciascun elemento costitutivo delle architetture di rete. Network di questo tipo sono in grado di identificare, prevenire e adattarsi alle minacce, ovvero hanno intrinsecamente a bordo l’intelligenza di sistema che le rende in grado di auto-difendersi da minacce note o anche a priori sconosciute. Per realizzare tutto ciò oltre alle molteplici e complementari tecnologie hardware e software di sicurezza Cisco mette a disposizione di clienti e partner servizi di consulenza per l’analisi del disegno di rete, l’ottimizzazione della configurazione e per le pratiche di security governance. L’ultima evoluzione del concetto di Self Defending Network tiene conto delle più recenti trasformazioni delle minacce informatiche. Le minacce di nuova generazione, infatti, sono in grado di colpire intere reti fra loro interconnesse propagandosi in pochi secondi, e sono molto più sofisticate che un tempo: a worm, spyware, adware, spam, attacchi Ddos, cavalli di Troia si aggiungono le minacce in grado di propagarsi tramite applicazioni Peer-to-Peer o di Instant Messaging, o attraverso i messaggi e il traffico email. Un ulteriore aspetto da tenere in considerazione è la diffusione del lavoro in mobilità e da remoto: un elemento di rischio aggiuntivo che impone alle aziende di difendere non solo il perimetro della propria rete, ma anche le Lan, la Wan, applicazioni e sistemi, accessi da remoto, accessi di utenti mobili e ospiti, fino al cuore del proprio datacenter. In risposta a queste nuove minacce, la Self Defending Network 3.0, integrando e armonizzando le soluzioni derivate dall’acquisizione IronPort incorpora nella rete anche strumenti e servizi orientati alla content security, quali Sender Base, che permette di monitorare il traffico web ed email determinando l’affidabilità della fonte di provenienza, e il servizio di Wide Traffic Inspection che integra l’analisi della rete con quella dei contenuti, per fermare le minacce più sofisticate e proteggendo protocolli applicativi, terminali, e il network nel suo complesso. Per poter garantire la coerenza tra processi di business, politiche interne e tecnologie è necessario che l’azienda adotti un approccio graduale, attuato e gestito come un percorso progressivo e non come una soluzione una tantum. Queste tre componenti devono figurare come cruciale punto di riferimento anche per azioni di IT Security come la protezione dell’accesso e la gestione dell’identità che devono essere sviluppate in modo scalare fino al raggiungimento degli obiettivi finali.

Francesca di Massimo (Microsoft): La visione di Microsoft si basa sulla necessità di fornire alle aziende un insieme di tecnologie che si integrano tra di loro facendo leva sulle fondamenta di Windows Active Directory. Su questo sistema oggi un’azienda ha la possibilità di costruire un percorso di ottimizzazione dell’infrastruttura con l’obiettivo di gestire l’identità e l’accesso ai dati in modo sicuro, efficace e semplice. Le tecnologie e le soluzioni Microsoft in questo ambito permettono di:
– Ridurre i costi facilitando il supporto e la gestione dell’identità
– Migliorare la governance e la compliance
– Aumentare la produttività degli utenti e rendere più sicuro l’accesso alle informazioni aziendali da qualsiasi luogo e in qualsiasi momento

Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore