La protezione di ambienti “open” richiede tecnologie e soluzioni ma, soprattutto, una strategia di lungo termine che preveda processi coerenti, scelte appropriate, personale qualificato e motivato. L’outsourcing è una valida alternativa se non si hanno a disposizione mezzi sufficienti.
Approntare una strategia di sicurezza in azienda non è cosa facile. Le imprese nostrane manifestano ancora una scarsa focalizzazione in merito alle problematiche relative a tale questione. In linea di massima, si tende a procedere senza un approccio organico e strutturato, privilegiando soluzioni tampone per specifici problemi. La mancanza di linee guida induce ogni persona coinvolta a muoversi in questo spazio un po’ come crede, con gli inevitabili problemi che questo comporta. Risulta, purtroppo, ancora poco diffusa la tendenza a considerare la gestione della sicurezza come un processo che va affrontato non solo dal punto di vista tecnologico ma anche da quello dell’organizzazione, soprattutto tra le aziende di medie dimensioni. "Diversa è la questione nelle grandi realtà produttive – chiarisce Mariangela Fagnani, Security & Privacy Practice di Ibm Global Services -, che manifestano una maggiore consapevolezza in merito agli aspetti organizzativi. C’è, quindi, una maggiore predisposizione ad affrontare i problemi in modo organico anche se, di fatto, spesso vince la necessità di far fronte a un’urgenza con approcci che, a volte, si rivelano incoerenti col contesto aziendale". Approntare un piano di security organico, ovvero omnicomprensivo e in grado di garantire una correlazione interna di tutti gli aspetti, e proattivo, cioè stilato nell’ottica di prevenire i problemi anziché curarli, è un processo piuttosto laborioso. Al primo stadio si trova l’implementazione delle policy. Queste emergono da un ciclo che inizia con l’analisi dei requisiti, partendo dalla comprensione di quali siano i dati critici che, in azienda, si vogliono rendere sicuri. A questa fase dovrebbe seguire quella della valorizzazione, ovvero dell’associazione di un peso all’informazione che si intende "assicurare". Tale valutazione è spesso ignorata dalle aziende che, talvolta, investono massicciamente nella messa in sicurezza di informazioni che risultano solo successivamente poco critiche. "Le imprese tendono spesso ad associare la valutazione della sicurezza delle proprie informazioni solo all’aspetto tecnologico – sottolinea Alberto Barella, Systems Engineer consultant di Avanade -. Ritengono che acquistare l’ultimo firewall uscito sul mercato sia già di per sé sinonimo dell’aver implementato una politica di sicurezza. In realtà, invece, non si rendono conto che la tecnologia è solo uno dei tanti aspetti della messa "al riparo" dei dati critici aziendali, che si realizza con l’implementazione di una serie complessa di processi, data una policy". Una volta che si è capito quali aree e quali dati presentino un alto livello di criticità e rischio occorre procedere allo screening e alla valutazione delle architetture più idonee a proteggerli e definire i processi. Conclusa questa fase, si dovrebbe passare a definire la dimensione temporale del progetto, per determinare quando procedere con la messa in sicurezza delle informazioni ritenute più significative e a stilare dei piani "what if", ovvero a stabilire quali procedure debbano essere seguite nel caso in cui alcuni dati vengano compromessi.
Non sottovalutare l’awareness
Ma un piano di sicurezza realmente a tutto tondo non può prescindere dal training del personale, volto a creare una "cultura della sicurezza" in azienda. "Questa è una componente troppo spesso sottovalutata – sottolinea Barella – che, in realtà, si rivela di importanza fondamentale. La tecnologia più sofisticata non serve a nulla se non è supportata dalla comprensione delle policy da parte di tutto il personale coinvolto". Concluse queste fasi, si passa alla scelta delle soluzioni più consone a risolvere specifici problemi di security. Il processo si conclude con la valutazione della bontà delle policy e dei processi implementati, procedendo alla revisione e alla validazione periodica del piano attraverso il monitoraggio degli eventi e l’investigazione delle anomalie. Le tecnologie cambiano e i problemi aumentano ogni giorno; risulta ovvio, quindi, che qualsiasi policy non possa considerarsi definitiva ma debba essere continuamente "aggiustata". Un procedimento così complesso richiede consistenti investimenti in infrastrutture e personale qualificato che, a volte, risultano insostenibili per le aziende di dimensioni medie e piccole.
Il vero problema, in un contesto di generalizzata eterogeneità dei sistemi, non è l’implementazione quanto, piuttosto, il monitoraggio attivo e il continuo aggiornamento di skill e tecnologie, che richiede personale di alto profilo e costantemente presente. Le aziende che non dispongono di una struttura interna consona, stanno iniziando a rivolgersi ad Asp e fornitori di servizi di sicurezza gestita, soprattutto in merito alla gestione di macro tematiche.
L’outsourcing inizia a prendere piede, in particolare nel tessuto delle Pmi, perché la complessità di gestione dei servizi di sicurezza rende questo tipo di aziende inidonee a gestirli in toto. Per quanto attiene alla selezione dei vendor, le richieste dei grandi clienti prevedono generalmente la necessaria aggregazione di diverse offerte, in genere quelle ritenute "best in class" per la soluzione di specifici problemi. Le aziende che intendono affrontare il tema della sicurezza a 360°, dalla componente fisica a quella della rete, sino al mondo applicativo, chiedono che i grandi vendor affrontino queste tematiche in maniera complessiva ma con il contributo di produttori che vantano un’esperienza particolare in ambiti specifici. Se l’eccellenza tecnologica è, ancora oggi, uno degli aspetti prevalenti che orienta la scelta dei clienti verso l’uno o l’altro fornitore è pur vero, tuttavia, che negli ultimi mesi è cresciuta anche la sensibilità verso gli aspetti normativi, le policy e l’esigenza di dotare l’azienda di soluzioni coerenti dal punto organizzativo. Sotto quest’ultimo aspetto, le imprese di medie e grandi dimensioni tendono sempre più a strutturarsi internamente per affrontare le problematiche relative alla sicurezza. Ne è riprova la crescente diffusione della figura del security officer che, in futuro, avrà in carico il controllo della coerenza dell’accesso ai dati aziendali critici con le attività svolte dagli utenti all’interno dell’azienda. Queste incombenze, prima erano affidate agli amministratori di sistema mentre oggi, in un’ottica di gestione complessiva delle policy di sicurezza, devono trovare un referente interno unico.
