Stonesoft detta il decalogo per la sicurezza

Sicurezza

Continuiamo la carrellata tra i principali produttori di sicurezza alla
ricerca delle regole essenziali, che non devono assolutamente mancare in un
qualsiasi piano di protezione It

Dopo McAfee, questa settimana abbiamo incontrato Emilio Turani, Country Manager di Stonesoft Italia, al quale abbiamo chiesto di indicarci, in base all’esperienza nel settore maturata dalla società che rappresenta, quali ritiene possano essere considerate le 10 regole essenziali che dovrebbero costituire la base di qualunque piano di sicurezza. Ecco quindi le best practice che ciascuno può interpretare nell’ambito della propria realtà aziendale, adattandole alle proprie necessità e utilizzandole come linea guida per lo sviluppo di piani di sicurezza più complessi.

1. Le aziende dovrebbero di dotarsi di una piattaforma di gestione unificata della sicurezza, se vogliono risparmiare tempo e denaro e gestire in modo efficiente gli incidenti di sicurezza. Le attuali realtà aziendali sono altamente complesse così come le risorse che devono proteggere (come ad esempio server, client, reti wireless, VoIP). StoneGate Management Center di Stonesoft consente appunto la gestione unificata del firewall con VPN, IPS e SSL VPN e business continuity. Il firewall e l’IPS StoneGate operano insieme per garantire una difesa intelligente su tutta la rete aziendale, mentre StoneGate SSL VPN fornisce accesso mobile sicuro alle applicazioni aziendali da qualsiasi dispositivo e con qualsiasi tipo di rete senza installare necessariamente client remoti.

2. Anche i migliori prodotti di sicurezza da soli non bastano. Un sistema per la gestione unificata di tutti i componenti è ciò che occorre per trasformare la sicurezza in un asset aziendale, realizzando l’obiettivo della Security Governance. Le informazioni grezze su ciò che avviene sulla rete devono essere trasformate in una forma comprensibile, che permetta agli amministratori di prendere le decisioni giuste al momento giusto. Le tecnologie devono essere conformi alle normative vigenti e garantire una completa interoperabilità tra le terze parti.

3. Le aziende non devono mai sentirsi al sicuro, anche nel caso in cui vengano implementate robuste difese perimetrali. Devono invece cercare di capire come sta mutando il profilo degli hacker, quali sono le specifiche vulnerabilità che essi prendono maggiormente di mira e, di conseguenza, come si possono proteggere nel modo migliore le risorse informatiche e il patrimonio aziendale di dati e informazioni. Stonesoft è sempre stata attenta a questi cambiamenti ed è per questo che negli anni la sua proposta è evoluta dai puri firewall alle soluzioni per la protezione globale del flusso di informazioni.

4. E’ importante che le aziende implementino diverse tecnologie per costruire un’infrastruttura di rete in grado di supportare i potenti sistemi di gestione necessari per controllare un sofisticato sistema di difesa e per consentire di reagire manualmente o automaticamente a un problema di sicurezza, garantendo proattivamente un flusso dinamico dei processi di gestione degli incidenti.

5. Le soluzioni tecnologiche devono sempre essere accompagnate da buone procedure e una altrettanto buona formazione delle persone. E’ questo appunto il concetto di ?difesa in profondità?. Ogni azienda deve in pratica scegliere e implementare le funzionalità e il livello di gestione più idonei alla specifica situazione. La cultura dell’educare gli utenti è basilare e deve essere costantemente seguita: le sole tecnologie non bastano.

6. Nuovi servizi convergenti come VoIP richiedono connettività sicura, ottimizzata e ad alta disponibilità. In questi nuovi contesti, networking, disponibilità e sicurezza devono essere considerati insieme, solo così le aziende possono ridurre la complessità dei loro sistemi aumentando nel contempo sicurezza e disponibilità del servizio.

7. Quello delle comunicazioni wireless è un fronte da tenere accuratamente sotto controllo. Rendere sicure le reti wireless non è complicato. Non farlo è un rischio serio per le aziende perché una rete wireless mal amministrata potrebbe essere un veicolo per falle più grandi alla sicurezza dell’intera rete aziendale.

8. Oggi le aziende devono affrontare una nuova modalità di lavoro, con dati che aggirano la tradizionale sicurezza perimetrale e che includono dispositivi wireless e media mobili di vario tipo. Ci sono però diversi modi per aumentare la sicurezza interna, come la segmentazione della rete, gli intrusion prevention systems (IPS) e i firewall interni. Un firewall flessibile è un eccellente strumento per segmentare la rete e controllare l’accesso sui diversi segmenti. La combinazione di firewall e IPS consente alle aziende di prevenire gli attacchi e/o di reagire nel migliore dei modi nel caso in cui l’attacco venga perpetrato.

9. Posto che la sicurezza assoluta non esiste le aziende devono implementare un livello di sicurezza conforme al livello di rischio della specifica azienda o meglio al livello di rischio accettabile. Il ruolo dei fornitori di tecnologia per la sicurezza IT è di aiutare le aziende a ridurre la soglia di rischio a un livello accettabile. Stonesoft, da sempre, presegue un approccio di tipo consulenziale nei confronti dei propri clienti, basato sulla gestione a livello di ?solution provisioning?.

10. La conclusione è che i sistemi di sicurezza da soli non bastano. La cosa veramente importante è rafforzare i controlli amministrativi ed educare le aziende affinchè prendano innanzitutto le precauzioni suggerite dal buon senso.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore