Addio perimetro!

Non ha più senso parlare di sicurezza interna ed esterna, né tantomeno di perimetro dell’azienda. Ogni dispositivo in grado di accedere ai dati rappresenta un fronte dell’azienda da porre sotto controllo.

Un fatto: viviamo nell’era della mobilità, che significa che le aziende sanno di non poter più restare ancorate alla classica infrastruttura rigida del passato.

Una recente ricerca dell’Osservatorio Mobile Device & Business App della School of Management del Politecnico di Milano dice che la mobilità è già oggi una priorità di business per un’azienda su due e lo diventerà per due su tre nel 2014.
Il 57% delle aziende sopra i 250 dipendenti fa già uso di tablet di nuova generazione in azienda, in particolare per il management (nel 64% dei casi) e per il personale commerciale (41%), con dati in decisa ascesa rispetto agli anni passati.

Questo però, rileva Rodolfo Falcone, coutry manager di Check Point, pone ai responsabili della sicurezza aziendale problematiche nuove, ben differenti da quelle del passato.
La grande diffusione di tablet e smartphone, ed il loro utilizzo sempre più frequente per accedere a reti e applicazioni aziendali, abbatte di fatto le barriere tradizionali che hanno garantito finora la sicurezza alle aziende.

Per anni ci si è affidati ad un solido sistema perimetrale, in fondo non troppo dissimile dalle cinte murarie che per secoli hanno preservato la sicurezza delle nostre città.
Ma questo sistema cessa di avere senso quando entrano in azienda strumenti che permettono di accedere dall’esterno ai propri dati o che possono contenere essi stessi dati importanti per il business.

Ed il Security Report 2013 di Check Point, ricorda Falcone ha evidenziato come ben il 93% delle aziende consenta a smartphone e tablet di accedere ai dati aziendali.

Due compiti chiari
Le problematiche che i responsabili della sicurezza si trovano ad affrontare sono fondamentalmente due: come garantire che l’accesso ai dati venga effettuato solamente da persone autorizzate, con strumenti o modalità tracciabili e soprattutto controllabili; e come evitare che i dispositivi mobili si trovino ad accogliere dati sensibili che sfuggono al controllo aziendale.

Si tratta, per Falcone, di due problematiche collegate tra loro, che ricadono sotto l’ampio cappello della sicurezza in mobilità.
E che non possono essere affrontate da un punto di vista puramente tecnologico, non fosse altro per la grande varietà di dispositivi mobili che ogni giorno viene presentata al mercato, con funzionalità di connettività più avanzate abbinate a dimensioni sempre più ridotte e capacità storage via via superiori.

Non c’è più il concetto di sicurezza interna
L’approccio deve essere innanzitutto strategico, e deve prescindere dalle categorizzazioni classiche della sicurezza. Non ha più senso, sostiene Falcone, parlare di sicurezza interna ed esterna, né tanto meno di perimetro dell’azienda. Ogni dispositivo in grado di accedere ai dati rappresenta un fronte dell’azienda da porre sotto controllo.
E questo può avvenire solamente spostando l’attenzione dal dispositivo all’utente, e soprattutto al dato.
Servono policy di sicurezza incentrate sull’interazione tra utenti e dati: ci sono categorie di dati a cui possono accedere determinate categorie di utenti, indipendentemente dallo strumento utilizzato per farlo.
E, perché queste policy siano davvero efficaci, è fondamentale che gli utenti siano consapevoli dell’importanza che i dati rivestono, non solo per l’azienda in sé, ma per ogni singolo dipendente.

La tecnologia non va ovviamente dimenticata, spiega Falcone: visto che l’accesso a dati ed applicazioni avviene sia attraverso il livello tradizionale (infrastruttura e sistemi desktop) che attraverso dispositivi mobili (smartphone e tablet), è fondamentale dotarsi di un sistema di sicurezza a più livelli, in grado di controllare infrastrutture e device portatili, correlando i dati in modo da rivelare prontamente eventuali incongruenze.

E questo può essere fatto solamente se si passa dalla visione tradizionale della sicurezza come soluzione puntuale, e strettamente tecnologica, ad un processo incentrato sulla difesa dei dati e delle informazioni sensibili, definendo ed implementando sistemi che consentano di ottenere una visione unificata della security aziendale, indipendente dalle tipologie di dati ed applicazioni e soprattutto dalla grande varietà di dispositivi.

LASCIA UN COMMENTO

Inserisci il tuo commento
Inserisci il tuo nome