Speciale SICUREZZA/ Non serve solo tecnologia, ma?

SicurezzaSoluzioni per la sicurezza

Una difesa efficace delle informazioni aziendali non può prescindere dalla integrazione delle tecniche di sicurezza con quelle più generali dei sistemi informativi. Si tratta a quanto pare di mettere insieme in maniera coerente processi di business, politiche interne e tecnologie. Nel tempo le aziende hanno seguito diverse strade applicative sia per la gestione sia per la sicurezza. Quali consigli di tipo generale potrebbero essere utili alle aziende che vogliono intraprendere nuovi passi per la protezione degli accessi alle risorse aziendali e gestire l’identità di chi vi accede dall’interno dell’azienda o da fuori (partner, clienti, fornitori)?

Elio Molteni (CA): Spesso si associa la sicurezza dei sistemi informativi alla mera tecnologia adottata mentre, in realtà, un approccio corretto volto a garantire la sicurezza dovrebbe necessariamente partire da una vera e propria analisi dei rischi per poi arrivare alla definizione delle policy aziendali di sicurezza, che a loro volta vengono messe in pratica attraverso la tecnologia. Lo schema logico che sintetizza quanto ho appena affermato prevede un circolo virtuoso che coinvolge processi, policy e tecnologia attorno e a difesa delle informazioni aziendali. Le fusioni ed acquisizioni aziendali, il rapido turnover dei collaboratori (interni ed esterni), la necessità di rispettare le normative nazionali ed internazionali, il forte incremento degli utenti Internet ed altro ancora, rappresentano lo scenario di riferimento, complesso e in continua evoluzione, con cui l’Information Technology si confronta quotidianamente. Da un punto di vista tecnologico, la complessità e l’eterogeneità dell’ambiente IT che ne consegue impone l’adozione di soluzioni innovative e aggiuntive per poter garantire la sicurezza, ma l’inserimento di questi nuovi strumenti è spesso considerato dai clienti problematico in quanto rappresenta un’ulteriore tecnologia da gestire. E’ questo il ?nocciolo? della questione; la sicurezza IT deve oggi dimostrare di poter svolgere unitamente questi due ruoli fino a qualche anno fa apparentemente in contrasto fra loro: ridurre il rischio ma nel contempo ottimizzare la gestione riducendo, a loro volta, anche i costi di amministrazione. Per proteggere gli accessi al patrimonio informativo aziendale, non più solo da attacchi esterni, ma anche dall’interno della propria organizzazione, è necessario realizzare un sistema di Identity & Access Management efficace ed efficiente. Oggi, a differenza di qualche anno fa, i progetti di Identity & Access Management, sono divenuti accessibili anche per le aziende di medie dimensioni. L’entry level per l’adozione di queste soluzioni, anche dal punto di vista della loro giustificazione al top management, si è abbassato notevolmente grazie alla presenza contemporanea di diversi fattori che hanno agevolato tale cambiamento: l’evoluzione delle tecnologie verso una maggiore semplicità di utilizzo, l’inclusione di strumenti di workflow autorizzativi, una maggior competenza progettuale dei partner e dei vendor e infine, ma non meno importante, riduzione dei costi stessi della tecnologia. Un corretto abbinamento tra tecnologia e organizzazione può oggi realmente consentire alle aziende di accrescere il livello di protezione delle informazioni aziendali, adeguandosi ai requisiti base della sicurezza, come ?separation of duty?, ?least privilege? e ?need to know?, che, per i meno esperti, si traducono in un accesso ai dati tenendo conto della separazione delle responsabilità e dell’effettiva necessità di accedere a determinate informazioni. Un progetto di Identity & Access Management consente quindi alle organizzazioni di incrementare il livello di sicurezza perseguendo anche obiettivi in termini di Roi.

Di seguito ulteriori benefici ed i vantaggi derivanti da una soluzione di Identity & Access Management: – riduzione dei costi e immediato ritorno sugli investimenti grazie all’amministrazione centralizzata ed automatizzata degli utenti; – riduzione dei i costi di help desk grazie alle funzioni di user self service web based (un esempio è il self service password reset assegnabile all’utente finale); – possibilità di delegare al personale non IT (ad esempio all’ufficio del personale) la creazione, cancellazione e modifica dei dati relativi agli utenti e dei loro corrispettivi diritti di accesso; – gestione in modo olistico ed integrato della sicurezza, spaziando da aspetti legati alla sicurezza fisica, quali il controllo del badge, ad aspetti relativi alla sicurezza IT, come l’accesso ad un’applicazione; – incremento della sicurezza e agevolazione degli accessi alle applicazioni tramite soluzioni Single Sign-On; – riduzione dei rischi globali di sicurezza e maggiore garanzia in termini di accesso alle applicazioni grazie all’approccio per ruoli e all’ ausilio di sistemi di autenticazione forte; – adeguamento alle normative nazionali ed internazionali (un esempio è la possibilità di disabilitare in modo immediato tutti le UserId appartenenti ad un utente che ha abbandonato l’organizzazione, come recita il D.Lgs 196/03); – controllo degli accessi ai dati/applicazioni in termini di protezione e tracciabilità.

Roberto Mircoli (Cisco) : L’approccio Cisco alla sicurezza delle reti ha da sempre al centro il concetto di Self Defending Network: una rete in cui le componenti funzionali e di sicurezza sono integrate nativamente in ciascun elemento costitutivo delle architetture di rete. Network di questo tipo sono in grado di identificare, prevenire e adattarsi alle minacce, ovvero hanno intrinsecamente a bordo l’intelligenza di sistema che le rende in grado di auto-difendersi da minacce note o anche a priori sconosciute. Per realizzare tutto ciò oltre alle molteplici e complementari tecnologie hardware e software di sicurezza Cisco mette a disposizione di clienti e partner servizi di consulenza per l’analisi del disegno di rete, l’ottimizzazione della configurazione e per le pratiche di security governance. L’ultima evoluzione del concetto di Self Defending Network tiene conto delle più recenti trasformazioni delle minacce informatiche. Le minacce di nuova generazione, infatti, sono in grado di colpire intere reti fra loro interconnesse propagandosi in pochi secondi, e sono molto più sofisticate che un tempo: a worm, spyware, adware, spam, attacchi Ddos, cavalli di Troia si aggiungono le minacce in grado di propagarsi tramite applicazioni Peer-to-Peer o di Instant Messaging, o attraverso i messaggi e il traffico email. Un ulteriore aspetto da tenere in considerazione è la diffusione del lavoro in mobilità e da remoto: un elemento di rischio aggiuntivo che impone alle aziende di difendere non solo il perimetro della propria rete, ma anche le Lan, la Wan, applicazioni e sistemi, accessi da remoto, accessi di utenti mobili e ospiti, fino al cuore del proprio datacenter. In risposta a queste nuove minacce, la Self Defending Network 3.0, integrando e armonizzando le soluzioni derivate dall’acquisizione IronPort incorpora nella rete anche strumenti e servizi orientati alla content security, quali Sender Base, che permette di monitorare il traffico web ed email determinando l’affidabilità della fonte di provenienza, e il servizio di Wide Traffic Inspection che integra l’analisi della rete con quella dei contenuti, per fermare le minacce più sofisticate e proteggendo protocolli applicativi, terminali, e il network nel suo complesso. Per poter garantire la coerenza tra processi di business, politiche interne e tecnologie è necessario che l’azienda adotti un approccio graduale, attuato e gestito come un percorso progressivo e non come una soluzione una tantum. Queste tre componenti devono figurare come cruciale punto di riferimento anche per azioni di IT Security come la protezione dell’accesso e la gestione dell’identità che devono essere sviluppate in modo scalare fino al raggiungimento degli obiettivi finali.

Francesca di Massimo (Microsoft): La visione di Microsoft si basa sulla necessità di fornire alle aziende un insieme di tecnologie che si integrano tra di loro facendo leva sulle fondamenta di Windows Active Directory. Su questo sistema oggi un’azienda ha la possibilità di costruire un percorso di ottimizzazione dell’infrastruttura con l’obiettivo di gestire l’identità e l’accesso ai dati in modo sicuro, efficace e semplice. Le tecnologie e le soluzioni Microsoft in questo ambito permettono di: – Ridurre i costi facilitando il supporto e la gestione dell’identità – Migliorare la governance e la compliance – Aumentare la produttività degli utenti e rendere più sicuro l’accesso alle informazioni aziendali da qualsiasi luogo e in qualsiasi momento

Massimo Carlotti (Rsa): Quattro le principali aree di intervento possibili: – L’autenticazione forte, per garantire l’identità dell’utente, sia esso interno o esterno all’azienda. – L’autenticazione ed autorizzazione adattativa, per definire profili comportamentali associati all’utenza; in questo modo è possibile scatenare interventi mirati (email, sms, richiesta di ulteriori password, attivazione del call center o altro ancora) in base agli scostamenti rilevati e mantenere il livello di protezione delle risorse proporzionale alla minaccia. – La cifratura trasparente per utenti ed applicazioni di dati strutturati (database, con granularità fino alla colonna di tabella) e non strutturati (custoditi nei file system.) – il monitoraggio di quanto avviene in tutta l’infrastruttura (apparati ed applicazioni) mediante i loro log (in tempo reale e su base storica), per avere una vista completa delle attività che riguardano tutti i dati presenti in azienda e trasformare eventi di sicurezza e di rete apparentemente non correlati in informazioni significative. Queste tipologie di intervento possono essere variamente integrate per elevare ulteriormente il livello di sicurezza. Un sistema di sicurezza dovrebbe essere robusto e trasparente, avere un impatto minimo su tutta l’organizzazione aziendale ed essere un abilitatore per il business aziendale e non un ostacolo. E’ necessario dunque elaborare un piano per la sicurezza che prenda in esame policy, procedure e tecnologie, senza però perdere di vista gli obiettivi di business aziendali e tenendo conto che un’infrastruttura di sicurezza va commisurata al rischio che si corre e all’importanza delle risorse che si vogliono proteggere. Naturalmente, rivestono un’importanza fondamentale gli aspetti legati all’autenticazione di utenti e sistemi, all’autorizzazione nell’accesso a risorse aziendali, alla cifratura e verifica di integrità dei dati, alla verifica della validità di certificati e firme digitali, a sistemi di storage robusti e affidabili, al controllo dei log dei diversi sistemi coinvolti in un’attività o transazione. Un’adeguata classificazione di dati e risorse permette da un lato di stabilire le corrette priorità relativamente al livello di rischio che si corre in caso di compromissione, dall’altro di scegliere correttamente i meccanismi di sicurezza da implementare. E’, ad esempio, del tutto lecito che un utente sia soggetto a livelli di autenticazione e autorizzazione via via più robusti mano a mano che accede a risorse più critiche e con alto valore aziendale, seppur si possa trattare di risorse di propria pertinenza.

Emilio Turani (Stonesoft): Le attuali realtà aziendali sono altamente complesse e di conseguenza anche le risorse da proteggere. Questo scenario ci porta a consigliare agli utenti innanzitutto di dotarsi di una piattaforma di gestione unificata della sicurezza, se vogliono risparmiare tempo e denaro e gestire in modo più efficiente gli incidenti di sicurezza. Un sistema per la gestione unificata di tutti i componenti è ciò che occorre in aggiunta per trasformare finalmente la sicurezza in un asset aziendale, realizzando l’obiettivo della security governance. Una problematica emergente è quella dei nuovi servizi convergenti come VoIp, che richiedono connettività sicura, ottimizzata e ad alta disponibilità. In questi nuovi contesti, networking, disponibilità e sicurezza devono essere considerati insieme, solo così le aziende possono ridurre la complessità dei loro sistemi aumentando nel contempo sicurezza e disponibilità del servizio. Quello delle comunicazioni wireless è un fronte da tenere accuratamente sotto controllo perché una rete wireless mal amministrata potrebbe essere un veicolo per falle più grandi alla sicurezza dell’intera rete aziendale. La sicurezza assoluta non esiste nel mondo digitale e probabilmente mai esisterà. Ciò non significa che le aziende debbano rinunciare a proteggersi. Semplicemente quel che devono fare è implementare un livello di sicurezza conforme al livello di rischio della specifica azienda o meglio al livello di rischio accettabile.

Mauro Toson (Symantec) : La sicurezza informatica è un fattore dal quale le organizzazioni di qualunque dimensione non possono prescindere, tanto da posizionarsi al primo posto tra le priorità dei responsabili dei sistemi informativi e da rappresentare una voce di spesa sempre più significativa all’interno degli investimenti IT, divenendo elemento essenziale per il successo dei servizi erogati e per l’utilizzo delle applicazioni. In questo scenario, si rivela sempre più necessaria la diffusione di una cultura informatica che sensibilizzi le aziende verso i vantaggi derivanti da una corretta prevenzione e verso una maggiore consapevolezza dei rischi derivanti da una scarsa protezione dal punto di vista tecnologico, e quindi infrastrutturale, applicativo, organizzativo e legislativo. Una rete scarsamente protetta infatti è soggetta a violazione del patrimonio informativo e al furto di dati importanti e confidenziali sia dall’esterno, sia dall’interno. La rapida diffusione delle reti wireless e dei dispositivi mobili, nonché il progressivo utilizzo del web e della posta elettronica favoriscono il proliferare di intrusioni alla rete aziendale da parte di soggetti esterni e da parte di dipendenti non autorizzati che, con finalità illecite o inconsapevolmente, possono causare problematiche di un certo rilievo con importanti ripercussioni sulle attività di business delle aziende. Perdite di dati e informazioni, danneggiamento o modifica degli stessi, rallentamenti o arresti delle attività, blocchi dei sistemi informativi sono solo alcune delle conseguenze derivanti da un utilizzo improprio e da un’inefficace difesa delle reti. Per prevenire l’insorgere di queste problematiche e al contempo provvedere all’adeguamento normativo in materia di sicurezza IT è necessario che le aziend e analizzino la propria infrastruttura di rete e adottino tecnologie che garantiscano un livello di difesa avanzato ed efficace. Proprio per soddisfare in modo completo queste esigenze, Symantec ha sviluppato una nuovissima soluzione, denominata Symantec Endpoint Protection, in grado di assicurare protezione anche dagli attacchi più sofisticati, che eludono le tradizionali misure di sicurezza – quali virus, worm, trojan horse, spyware, adware e rootkit – e di assicurare un livello avanzato di prevenzione delle minacce, in grado di proteggere gli endpoint dagli attacchi mirati e da quelli sconosciuti, da quelli interni e da quelli esterni. La nuova soluzione integra tecnologie avanzate e attive che analizzano automaticamente il comportamento delle applicazioni e le comunicazioni della rete per rilevare e bloccare le attività sospette, nonché funzioni di controllo amministrative che consentono di arrestare attività specifiche di dispositivi e applicazioni considerate ad alto rischio per l’organizzazione.

Maurizio Garavello (Websense): Ci sono ancora tante aziende che adottano un approccio reattivo anziché preventivo alla protezione e sono ancora molte a sottostimare i rischi che spyware, phishing e furti di informazioni possono comportare per la sicurezza dell’azienda. Ricordiamoci che i dati sono il vero asset da proteggere e il vero obiettivo monetizzabile per l’hacker odierno che punta a sviluppare nuove tecniche per l’appropriazione dei dati confidenziali. La sicurezza può essere compromessa anche all’interno dell’azienda, pur se nella maggior parte dei casi ciò non nasce da azioni intenzionali da parte dei dipendenti. Infatti, i cybercriminali spesso utilizzano le tecniche del social engineering per ingannare i dipendenti arrivando perfino a fingersi loro colleghi o spesso il navigatore inesperto finisce per installare, più o meno consapevolmente, software pericolosi. Ancora più urgente è per le aziende la necessità di elaborare e attuare policy di sicurezza capaci non solo di proteggere da attacchi provenienti dall’esterno ma anche di ottimizzare l’utilizzo delle risorse IT da parte dei dipendenti. I contenuti sono la linfa vitale del business e quando si parla di sicurezza dei contenuti bisogna comprendere web security, email content filtering e prevenzione dalla fuga di informazioni.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore