Social media, cloud computing, Web 2.0, gestione identità: per Juha Kivikoski, Coo di Stonesoft, responsabili della sicurezza e vertici aziendali devono unire gli sforzi nel prevenire la perdita dei dati.
Con Juha Kivikoski, Chief operating officer di Stonesoft, cerchiamo di affrontare tutti gli argomenti connessi a una moderna interpretazione della sicurezza dei dati aziendali, partendo dal presupposto che la molteplicità dei dispositivi utilizzati dagli utenti e le differenti forme di comunicazione hanno un effetto matrice sull’idea di fondo: evitare che l’azienda perda dati preziosi. Cominciamo trattando il tema del momento: la comunicazione mobile.
Banda larga e mobility aumentano le complessità nella sicurezza?
Stimolata dalla crescente convergenza dei servizi video, voce e dati e dall’esigenza da parte dei dipendenti di un’organizzazione di accedere alle risorse aziendali anche da remoto, tramite il proprio laptop o smartphone, la domanda di larghezza di banda da parte delle aziende necessaria a gestire le diverse applicazioni è in aumento. Altrettanto importante diventa l’esigenza di garantire la sicurezza dei flussi di comunicazione indipendentemente dal luogo in cui si trova l’utente e dal tipo di device utilizzato per la connessione. Oggi esistono soluzioni avanzate per la gestione di più link a Internet in modalità aggregata. Ciò significa che, per ogni connessione, viene selezionato automaticamente il link più performante in base alla destinazione da raggiungere. Pertanto, oltre a ridurre il carico di lavoro su ogni singola macchina, in caso di fallimento di un link Isp, il traffico viene automaticamente reindirizzato ad altri link di operatori rimasti, garantendo livelli ottimali di connettività. La possibilità di utilizzare contemporaneamente multiple connessioni a Internet parallele consente di eliminare potenziali point of failure della connessione e, di conseguenza, assicura la business continuity e la connettività dell’intera infrastruttura di rete, oltre a diminuire la latenza e aumentare la larghezza di banda, se paragonata all’utilizzo di un singolo provider, resa sempre più necessaria dalla crescente convergenza di fonia, video e dati in un’unica rete. Continuità operativa, quindi, ma anche affidabilità e protezione del flusso informativo tra tutti gli uffici per prevenire e impedire intrusioni esterne all’interno della rete aziendale.
La regulatory compliance e la conseguente applicazione di policy può incidere frenandola, sull’attività lavorativa? Se si, come si può invece facilitarla?
Le aziende sono obbligate a mantenere la propria struttura conforme alle normative in vigore e a produrre report dettagliati riguardanti lo status dell’infrastruttura di rete e delle policy di sicurezza utilizzate. È ben comprensibile come le attività di reporting e di auditing interno richiedano un impegno considerevole da parte degli amministratori di sistema, che potrebbero utilizzare questo tempo per dedicarsi ad altre mansioni più redditizie per l’azienda. Strumenti che consentano di mantenere il controllo e la visibilità dell’intera situazione di network security, di verificare l’operato degli amministratori di sistema e di disporre in tempo reale di informazioni complete e puntuali possono favorire l’adeguamento delle aziende alla normativa, oltre che migliorare i livelli di protezione dell’intera infrastruttura di rete.
I risultati dell’ispezione del traffico dati e delle applicazioni possono essere consegnati a chi si occupa della gestione delle performance It in modo da rendere più efficiente la macchina aziendale?
Certamente. Soprattutto per quanto concerne gli aspetti di sicurezza è essenziale che gli amministratori di rete abbiano costantemente il controllo e la visibilità del traffico di rete per reagire in tempi rapidi nel momento in cui si verificasse un attacco. Strumenti in grado di offrire una gestione unificata di tutte le applicazioni implementate in rete consente di aumentare efficienza, sicurezza e risparmio economico.
Quali soggetti aziendali devono occuparsi di Data loss prevention e conoscerne le metriche?
Il Chief security officer, insieme al top management di un’azienda, a oggi è la figura che sempre più si trova coinvolta nei processi decisionali e pertanto deve avere piena consapevolezza di tutti questi aspetti per valutare le migliori tecnologie da adottare per proteggere in maniera efficace l’infrastruttura di rete aziendale e definire politiche di sicurezza adeguate.
Il Web 2.0 costringe a moltiplicare i controlli?
Il Web 2.0 rappresenta per le aziende uno straordinario strumento per potenziare e ottimizzare la condivisione di dati e informazioni tra i dipendenti. Per questo motivo è impensabile limitarne l’utilizzo. Certamente per usufruire appieno delle potenzialità che la rete mette a disposizione è necessario un impegno ulteriore da parte delle aziende nell’educare le proprie risorse affinché utilizzino questi strumenti in modo corretto e sicuro. Infatti, l’interazione tra utenti e applicativi Web 2.0, accresce il rischio per una realtà aziendale di esporsi alle minacce che si diffondono tramite Internet. Ecco come l’educazione dei dipendenti all’utilizzo dei social media sia fondamentale da parte dell’azienda, rispetto ad un atteggiamento proibizionista. Certo l’aspetto culturale da solo non è sufficiente. Le organizzazioni devono dotare la propria infrastruttura di rete di un efficace sistema di protezione perimetrale in grado di tener traccia dei vari accessi ai social network dalla rete aziendale.
E il cloud computing? Se sì, in che modo?
Partiamo dall’assunto che esiste un legame tra cloud computing, virtualizzazione e offerta di applicazioni as a service. Sono tutte facce della stessa medaglia nate per generare benefici in termini di risparmio di risorse, tempo e costi per le aziende. In tutti questi casi, nel momento in cui i livelli di protezione dei data center sono elevati e le politiche di sicurezza ben definite non si presentano rischi per gli utenti che scelgono di rivolgersi ai servizi on the cloud. L’unico aspetto, a mio avviso, cui vale la pena prestare particolare attenzione riguarda la gestione degli accessi e delle identità. Infatti, nonostante la qualità del servizio sia garantita da accordi sul livello del servizio, raramente essi considerano gli aspetti di sicurezza. Nella scelta del partner esterno, quindi, i responsabili It delle aziende devono prestare particolare attenzione ai sistemi di sicurezza di cui dispongono, se soddisfano i requisiti dell’azienda, se dispongono di un sistema di reporting completo, che garanzie offrono qualora si verificasse un abuso ai dati aziendali, chi è il responsabile. La raccomandazione che mi sento di dare è quella di attivare un’efficace sistema di gestione delle identità e degli accessi interno all’azienda per consentire ai dipendenti di accedere alla moltitudine di applicazioni e servizi on the cloud tramite un’unica modalità di autenticazione, che riunisca le identità locali di ciascun utente.
Sicurezza e privacy con i social network che entrano in azienda sono concetti correlati?
I social media non rappresentano una minaccia per le aziende e pertanto non è necessario impedire il loro utilizzo dal luogo di lavoro. Certamente è necessario introdurre delle regolamentazioni ed educare i dipendenti su quali siano i comportamenti corretti da adottare per minimizzare il rischio di accesso indesiderato alla rete aziendale e, quindi, di furto di dati e informazioni personali. La raccomandazione è quella di mutuare ai social media le medesime policy di sicurezza utilizzate anche per le altre risorse aziendali. Un esempio può riguardare la scelta delle password che non devono essere direttamente riconducibili alla persona, ma includere caratteri alfanumerici così da renderle maggiormente affidabili. È necessario ricordare inoltre che una volta che le informazioni sono rese pubbliche su Internet è quasi impossibile cancellarle completamente. Anche se i file originali sono stati cancellati o sovrascritti, le informazioni spesso rimangono disponibili negli archivi dei motori di ricerca. Le aziende devono pertanto moltiplicare gli sforzi nel rendere i propri dipendenti maggiormente consapevoli di questi pericoli e stabilire linee guida per l’uso dei social media.
Alla luce di tutte queste considerazioni, qual è il ruolo di un fornitore di sicurezza come Stonesoft?
Il ruolo è duplice. Da un lato fornire soluzioni e tecnologie sempre aggiornate, innovative, al passo con le rapide evoluzioni del mercato, flessibili e capaci di adattarsi rapidamente ai continui cambiamenti in atto. E da questo punto di vista Stonesoft è da oltre 20 anni riconosciuto come provider all’avanguardia di un’offerta completa per migliorare la protezione delle reti aziendali, sia fisiche sia virtuali. In secondo luogo è compito dei vendor di security contribuire a diffondere una corretta cultura di sicurezza ed educare le aziende sulle best practice da seguire.
