Tra i punti forti della strategia dell’azienda italiana, c’è il costante monitoraggio delle soluzioni, per contenere al massimo il problema dell’obsolescenza. Linea Edp ne ha discusso con Francesco Bergadano, docente dell’Università di Torino e Consulente strategico per l’offerta e-security.
Il gruppo Webegg, un gruppo multidisciplinare di società italiane che ha come obiettivo il posizionamento in Rete delle aziende, ha di recente rinnovato la propria offerta per l’e-Security. LineaEdp ha colto l’occasione per rivolgere alcune domande a Francesco Bergadano, docente dell’Università di Torino e Consulente strategico per l’offerta e-security di Gruppo Webegg, al fine di capire quale sia il punto di vista dell’azienda su questo tema, sempre più centrale rispetto all’obiettivo di portare una realtà ad affacciarsi al Web.
Qual è il problema fondamentale quando parliamo di sicurezza in azienda?
Nell’ambito della sicurezza, di cui mi occupo sia in ambito accademico sia in ambito Webegg come consulente, il problema fondamentale è quello di capire l’azienda in cui si va a operare, il valore di ciò che andiamo a proteggere. Il gruppo Webegg ha recentemente messo insieme persone dedite alla sicurezza che lavoravano in diverse aree, formando una nuova business unit dedita a questa tematica.
Come si articola la vostra offerta?
L’offerta prevede innanzitutto un assesment, una fotografica sullo stato dell’arte, e quindi un’analisi del rischio basata su questa. Bisogna capire quali sono le risorse informative che vogliamo proteggere, quanto valgono e quindi fare un piano di gestione del rischio. Per limitare il rischio dobbiamo implementare delle misure di sicurezza. In questo il gruppo WebEgg ha diverse competenze specifiche ed è stato fatto uno studio approfondito sui prodotti esistenti per poterli integrare al meglio nel contesto del cliente specifico su cui bisogna intervenire. Si fa quindi un piano di implementazione alla luce delle priorità del cliente, della temporizzazione con cui si vuole realizzare questo percorso e quindi si accompagna il cliente verso la realizzazione di queste misure di sicurezza.
Come realizzate tutto questo? A quale modello vi rifate?
Tutto questo viene fatto seguendo un modello proprietario, in cui la sicurezza viene valutata all’interno di una matrice a sette colonne e a sette livelli. Le colonne rappresentano argomenti di sicurezza, quali il problema dei virus e quello dei livelli di accesso. A ogni colonna è associato un valore che rappresenta il livello di sicurezza attuale; per esempio per quanto riguarda il livello di accesso al valore 2 potrebbe corrispondere una chiave scelta a caso e al livello 7 un controllo biometrico. A questo punto dobbiamo andare a identificare a quale livello occorre mirare in funzione delle esigenze dell’azienda esaminata.
Uno dei problemi fondamentali di qualsiasi sistema di sicurezza è il rischio continuo di obsolescenza. Come vi ponete di fronte a questo problema?
Visto il livello di obsolescenza estremamente elevato che caratterizza il tema della sicurezza, l’implementazione deve essere mantenuta nel tempo. Definiamo dunque un piano di monitoraggio e un piano di formazione, perché la sicurezza non deve solo essere realizzata a livello tecnico, ma deve anche essere capita. Per questa ragione andiamo a proporre anche delle misure organizzative, tra cui la gestione delle assegnazioni delle permission, tema non tecnico, ma assolutamente preponderante per la sicurezza. L’obiettivo dunque è accompagnare il cliente in un percorso che lo porti dal livello di sicurezza attuale a un livello in grado di soddisfare in modo adeguato le esigenze reali
Ma chi è il vostro cliente?
Il cliente tipo è la media grande azienda nel settore finanziario e assicurativo e anche in quello industriale. Quindi un cliente con un sistema informativo complesso, cresciuto nel corso del tempo, il che causa, considerate la continue integrazione, punti di debolezza dal punto di vista della security. Per alcuni clienti può essere importante anche l’aspetto certificativi. Finita la nostra fase di riorganizzativi del sistema di sicurezza siamo anche in grado di fornire un supporto per permettere al cliente di ottenere le certificazioni.
Per quanto riguarda i prodotti come Vi regolate? Avete scelto alcuni prodotti specifici o siete in grado di calarvi e di conseguenza integrare la realtà aziendale esistente?
Siamo in grado di adeguarci nella realtà aziendale che ci si presenta davanti. Mentre in altri settori Webegg ha fatto delle scelte di partnership precise ed esclusive, nel settore della sicurezza abbiamo studiato la grande varietà di prodotti esistenti e abbiamo fatto la scelta di non vincolarci ad alcuno specificatamente. In questo modo siamo in grado di mantenere costante la conoscenza dell’offerta relativa ai prodotti per la sicurezza e siamo in grado di integrarli in maniera corretta rispetta alle realtà complesse su cui interveniamo. In ogni caso andiamo su target di prodotti di fascia elevata.
Tornando al problema dell’obsolescenza, siete in grado di fornire un meccanismo, eventualmente di monitoraggio in remoto, per garantire un costante aggiornamento senza richiedere sforzi di continuo aggiornamento alle risorse interne all’azienda?
Noi siamo in grado di prevedere un adeguamento costante dei sistemi e dell’organizzazione, l’aggiornamento del software per combattere l’obsolescenza del sistema. Quello che non forniamo oggi, ma che potremmo essere in grado di fornire a breve è il monitoraggio 24 x 7. Personalmente, in linea con la mia azienda, non credo nell’outsourcing completo della sicurezza. L’azienda deve vivere il tema della sicurezza al proprio interno, farsi parte attiva del processo. Noi puntiamo a valorizzare le competenze esistenti, ad aumentare la loro efficacia, cercando di integrarle all’interno del sistema azienda e fornendo loro il ruolo che necessitano per ottimizzare i risultati della loro attività. Siamo comunque in grado, attraverso partnership mirate e specializzate, di fornire, qualora questo risulti necessario per alcuni clienti, fin da ora, un meccanismo di monitoraggio continuo a supporto delle realtà interna.
