Ho scritto un articolo per un redazionale di Inet su Data Manager per spiegare quali siano le motivazioni per un utilizzo di servizi di sicurezza innovativi. La rete è un sistema vitale e garantirne la continuità operativa è un'esigenza primaria sia per le grandi che per le piccole aziende.
Data Manager - Marzo 2006
_______________________________________________________________________
SICUREZZA PER LE IMPRESE
Soluzioni innovative per garantire la continuità di sistemi vitali
di Gigi Tagliapietra
La sicurezza, non solo quella informatica, è una situazione ambientale molto particolare, difficile da realizzare, impossibile da ottenere in modo assoluto.
Eppure, proprio perchè è un bisogno primario, un requisito essenziale perchè si sviluppi qualsiasi tipo di relazione, la sicurezza rappresenta una condizione particolarmente critica nelle aziende che ormai affidano ai sistemi informativi elementi vitali del proprio business.
La ricetta di base è nota: da sempre i tre ingredienti essenziali per costruire un sistema di sicurezza sono costituiti da prodotti, servizi e atteggiamenti degli utenti.
Pensiamo per analogia ai sistemi anti-incendio, ci servono rilevatori di fumo ed estintori (i prodotti) ma abbiamo anche bisogno dei pompieri (i servizi) ma nè l'uno nè l'altro da soli possono garantirci se gli utenti individualmente non adottano atteggiamenti virtuosi come, ad esempio, non portare in ufficio sostanze infiammabili o gettare mozziconi di sigaretta accesi nei cestini della carta straccia.
Lo scenario d'offerta della sicurezza non è quindi cambiato, anzi si è ulteriormente definito: chi offre soluzioni di sicurezza deve coprire l'intero orizzonte, dai prodotti ai servizi, alla formazione dei collaboratori e del management.
Il ruolo del management
Il ruolo del management (ovvero della proprietà nel caso di una piccola impresa) è essenziale perchè rappresenta in modo oggettivo un esempio di quanto sia realmente ritenuta importante la sicurezza per la direzione aziendale e di quanto siano rigorose le regole che vengono messe in atto.
Come fare a creare "consenso" nel management di alto livello? Dovendo indicare una priorità credo si debba puntare sul concetto che i sistemi informativi non sono più una infrastruttura "di servizio" a supporto del business dell'azienda, ma sono una infrastruttura "critica e vitale" da cui dipende l'esistenza stessa dell'azienda.
A questo punto chi si occupa di sicurezza non deve solo conoscere il linguaggio della tecnologia, sapersi districare tra Ipsec, vpn e algoritmi di cifra, deve soprattutto comprendere e coniugare i verbi del business d'azienda e saper trovare le soluzioni tecnicamente più efficaci ma che siano in linea con gli obiettivi di business dell'azienda.
Soluzioni a misura delle sfide
Per rispondere alle esigenze delle aziende più grandi o che dipendono in modo determinante dalla funzionalità dei servizi in rete, è necessario che le soluzioni di sicurezza siano la sintesi di quattro fattori determinanti.
In primo luogo i servizi di sicurezza gestita devono essere all'altezza della criticità dei sistemi informativi oggetto del controllo e con una copertura che sia aderente alle modalità con cui si svolge il business dell'azienda sempre più estesa.
Sono poi indispensabili infrastrutture specificamente pensate e disegnate per ospitare sistemi critici e vitali per l'impresa che garantiscano la continuità del business anche a fronte di gravi emergenze
Deve altresì esistere una profonda capacità progettuale, e non una semplice capacità di configurare prodotti standard, che veda rete e sicurezza come un sistema unico che garantisca la piena integrazione con i sistemi esistenti in azienda.
Serve infine una flessibilità d'offerta che sia in grado di coniugare la gestione di sistemi in outsourcing con sistemi che l'azienda ritenga necessario mantenere al proprio interno garantendo in ogni condizione il migliore rapporto costo/prestazione.
Uno sguardo alle imprese più piccole
Nelle aziende di dimensioni più contenute ci si è illusi di una sorta di "immunità": "Chi vuoi che abbia interesse a colpire una piccola azienda come la mia?".
I codici maligni di tipo generalizzato, spyware, worm, virus, per non parlare dello spam, hanno ormai reso evidente che siamo tutti bersagli perchè siamo passati "dalla spada alla mitragliatrice".
Oramai nelle piccole e medie imprese il ruolo del computer per lo svolgimento del lavoro quotidiano è talmente determinante che per talune di esse, pensiamo agli esportatori o alle aziende che vivono di ordini on-line, è davvero questione di vita o di morte.
Anche qui, quindi, il messaggio deve essere il medesimo: i sistemi informativi sono una risorsa indispensabile alla vita dell'azienda e vanno protetti esattamente come il capannone o gli altri macchinari.
I servizi gestiti in outsourcing sono certamente la risposta più efficace per questo tipo d'impresa che difficilmente potrebbe disporre di risorse interne adeguate ad affrontare una sfida tanto cruciale.
Ma è essenziale che i servizi offerti per le imprese di dimensioni più contenute siano specificatamente disegnati per loro tenendo conto di un delicato equilibrio che occorre trovare tra livelli di servizio, semplicità di gestione, economicità di proposta senza ovviamente rinunciare alla garanzia di assoluta sicurezza.
I fattori decisivi
Quali sono i servizi o le soluzioni più importanti a cui guardare? Innanzitutto servono soluzioni di sicurezza perimetrale (i "vecchi" firewall per intenderci) che tengano conto di una nuova visione del perimetro d'impresa che è sempre più esteso e arriva fino alle postazioni di clienti e a collaboratori in continuo movimento al di fuori dell'azienda, creando reti virtuali dinamiche e connessioni protette anche per singole transazioni.
Servono soluzioni specifiche per il controllo delle connessioni wireless che si diffondono sempre più nelle aziende ma che aprono a vulnerabilità molto serie se non ben configurate, protette e controllate continuamente.
Sono indispensabili servizi innovativi che aiutino le imprese a gestire con efficacia e grande tempestività le centinaia o migliaia di postazioni di lavoro che se non continuamente aggiornate rappresentano una vulnerabilità per l'intera rete aziendale.
Login e password in questo scenario non sono più sufficienti, servono quindi soluzioni avanzate per identificare in modo certo chi entra in rete, con servizi in grado di gestire profili d'utenza e quindi tecniche di autenticazione proporzionate alla criticità dei sistemi a cui si accede.
E' un elenco di desideri che non trova riscontro nella realtà? Non credo. Noi di Inet facciamo esattamente quello che vi ho raccontato qui, perchè crediamo che la sicurezza d'impresa non possa scendere a compromessi.
Gigi Tagliapietra 2006 - Questa opera è concessa sotto la licenza "Attribuzione non commerciale- 2.0"
Per i dettagli vedi al sito www.creativecommons.it
Ultimi commenti