Entro stamattina dovevo consegnare un articolo che avevo promesso alla rivista "Safety and Security" sul tema della sicurezza fisica e ho fatto le ore piccole ma ho mantenuto l'impegno.
Eccolo qui di seguito
Il CLUSIT propone iniziative mirate sulla sicurezza fisica in collaborazione con Lampertz
Security, non solo bit e bytes
di Gigi Tagliapietra - Presidente del CLUSIT - Associazione Italiana per la Sicurezza Informatica.
Quando si parla di sicurezza informatica è facile pensare immediatamente alle intrusioni, al malware, allo spam e alle tante minacce digitali che dobbiamo affrontare per proteggere il patrimonio informativo delle aziende e dei singoli individui.
Si tende purtroppo a sottovalutare il peso che la sicurezza fisica e infrastrutturale assume nel momento in cui la complessità dei sistemi si fa sempre più grande e i problemi di gestione energetica e di protezione dal fuoco o dalle calamità naturali richiedono precise competenze.
Per questo motivo il CLUSIT ha organizzato in collaborazione con Lampertz, una azienda focalizzata sulla sicurezza fisica e da tempo associata al CLUSIT, uno specifico seminario dal titolo: "La sicurezza fisica: parte indispensabile della sicurezza delle informazioni", che si è tenuto in due sessioni il 2 ottobre a Roma e il 16 ottobre a Milano.
Se la sicurezza fisica è stata la "Cenerentola" nel regno della sicurezza informatica, non dobbiamo dimenticare che nella famosa favola sarà poi proprio lei a sposare il principe e a portare a tutti il lieto fine.
Lo scopo della sicurezza
La sicurezza, in fondo, non è un obiettivo da raggiungere, è un mezzo per raggiungere un altro fine estremamente importante: garantire la vita dell'azienda assicurandole la continua disponibilità dei sistemi informativi da cui dipende la sua capacità di decidere e gestire.
In termini assoluti si può affermare che la sicurezza non esiste: non potremo mai essere sicuri di non avere intrusioni come non potremo evitare un incidente, una calamità naturale, un incendio che magari non si sviluppa nemmeno nei locali che vorremmo proteggere ma i cui effetti devastanti possono comunque colpirci.
La sicurezza deve puntare a ridurre al minimo possibile il tempo di ripartenza da un incidente che, in qualsiasi modo, possa colpire il sistema informativo e deve farlo con costi equilibrati rispetto al valore complessivo della risorsa che si intende proteggere.
Un punto di incontro
Nelle aziende molto spesso i compiti di protezione fisica e logica dei sistemi informativi, sono affidati a persone e strutture differenti, con differenti esperienze e competenze che però faticano a vedere il problema nel suo insieme e soprattutto che non si arricchiscono vicendevolmente con le specifiche conoscenze che si potrebbero scambiare.
Non basta oggi sapere tutto di firewalling e non comprendere i problemi legati all'alimentazione elettrica dei server blade o del loro raffreddamento, come pure non basta progettare un sistema antiincendio basandosi sulle norme che i Vigili del Fuoco stabiliscono per i normali ambienti di lavoro: i computer e soprattutto i dati in esso contenuti, sono molto più sensibili di noi "umani" dal punto di vista ambientale.
Occorre quindi cogliere l'occasione del ridisegno dei sistemi di sicurezza per far incontrare competenze disgiunte che abbiano in comune la comprensione della rilevanza del compito che viene loro assegnato quando in gioco è la continuità operativa e quindi la vita stessa dell'azienda.
Ma quali sono le sfide più complesse da affrontare? Parafrasando la teoria orientale degli elementi potremmo dire che sono l'aria, l'acqua, il fuoco, la terra e il legno. Se i primi tre possono essere evidenti, il quarto simboleggia il luogo fisico che dobbiamo proteggere e il quinto elemento, il legno è qui preso a simbolo della modularità con cui vengono montate, ampliate o ridimensionate le infrastrutture informatiche aziendali.
Il fumo fa male e l'acqua non scherza
Che il fumo faccia male alla salute è risaputo ed è scritto a caratteri cubitali sui pacchetti di sigarette ma un'eguale scritta dovremmo metterla in modo altrettanto evidente sugli chassis dei computers e sui rack che li contengono.
Se è evidente il danno che può causare il fuoco, pochi sono consapevoli dei danni irreparabili prodotti dalle micro particelle che compongono i fumi di combustione e che una volta arrivate all'interno di macchine e supporti magnetici, li danneggiano in modo irreparabile.
Un incendio, anche non contiguo ad una sala macchine, può vedere, trasportate dal vento e dai sistemi di aerazione, particelle corrosive i cui effetti possono arrivare alla paralisi simultanea di intere batterie di dischi senza che il sistema di rilevamento abbia segnalato la presenza di un incendio di tipo "tradizionale".
Un altro "nemico" delle macchine è l'acquea e questo lo comprendiamo intuitivamente: dove c'è elettricità l'acqua crea corto-circuiti. Ne teniamo conto quando progettiamo i sistemi antiincendio o quando scegliamo gli estintori per la sala macchine ma dobbiamo sapere che l'acqua più "pericolosa", oltre a quella delle calamità naturali, è quella che i pompieri spruzzano in grande quantità per spegnere gli incendi e a nulla è valso il nostro sistema di spegnimento ad Halon se poi un'intera autobotte di acqua viene riversata attraverso le finestre.
Non solo sicurezza
Occuparsi di energia da fornire in modo corretto alle macchine, curarne il raffreddamento e il monitoraggio non è solo questione di sicurezza e di continuità operativa, in molte sale macchine è anche questione di una corretta gestione economica di quelli che devono essere considerati veri e propri "mezzi di produzione".
Raffreddare un intero locale quando invece basta dissipare la temperatura in eccesso in un rack, può portare a costi di impianto e consumi energetici che gravano ingiustificatamente sul budget dei sistemi informativi.
Non va poi dimenticato che l'energia elettrica è, in buona sostanza, la sola vera "materia prima" che i computer trasformano in informazione, processo nel quale l'energia si trasforma in calore che richiede ulteriore energia per essere dissipato e in qualunque azienda industriale una corretta gestione della materia prima è la base per l'ottimizzazione dei costi.
I nuovi sistemi sempre più miniaturizzati e concentrati è vero che richiedono meno spazio fisico ma pongono nuovi problemi logistici e tecnologici perchè la miniaturizzazione porta con sè la concentrazione degli assorbimenti elettrici e del conseguente raffreddamento.
Formazione continua
Il seminario a cui ho accennato in apertura di questo articolo è uno dei 20 seminari che CLUSIT organizza quest'anno tra Milano, Roma e Firenze con CLUSIT Education e con la sponsorizzazione di Lampertz.
Sono seminari che coprono con grande competenza un vasto panorama di argomenti ma è proprio dalla interdisciplinarietà che può nascere un approccio coerente ed efficace alla sicurezza.
E' uno sforzo importante per un'organizzazione no-profit come la nostra ma siamo convinti che le sfide tecnologiche e organizzative che abbiamo di fronte richiedano questo approccio di formazione continua e non solo.
Richiedono anche un impegno nel continuare ad esplorare nuovi terreni e nuove soluzioni ed ecco perchè il CLUSIT è il promotore già da tre anni di una iniziativa di grande utilità per il mondo della ricerca: il premio "Innovare la Sicurezza delle Informazioni", riservato alle migliori tesi di laurea sulla sicurezza delle informazioni. Il premio, arrivato ha anche lo scopo di promuovere una collaborazione tra aziende, Università e studenti ed è già diventato un punto di scambio tra mondo produttivo e mondo scientifico, tra
studenti e mondo del lavoro.
Sono già state coinvolte ben 19 università e a febbraio 2008, nell'ambito di Infosecurity Italia a Milano, si terrà la premiazione delle 5 migliori tesi del 2007.
Ultimi commenti