Le prospettive d’investimento del mercato allettano il trade, chiamato a svolgere un ruolo di semplificatore d’offerta per mettere in luce il valore delle tante soluzioni disponibili
Aprile 2009
Le minacce al business e la necessità di adeguarsi alle normative vigenti impongono alle imprese un’attenta riflessione sulle strategie di sicurezza da intraprendere e sulle linee da attuare nell’ambito della governance aziendale.
Che le minacce siano ormai all’ordine del giorno è cosa nota. I codici maligni, per esempio, sono in continuo aumento: all’inizio del 2008 Kaspersky Lab usava circa 500.000 impronte per rilevare malware, a fine anno il numero è salito a 1.500.000.
Un altro esempio? Secondo il Rapporto Microsoft 2008, i pc italiani infettati con Trojan sono stati 570.000, pari a un + 93,4% rispetto al 2007.
Seguendo il trend tecnologico, oggi va alla grande il Caas, ovvero il Crime as a service, una nuova pirateria lucrosa che moltiplica le botnet e, in generale, gli attacchi.
I dati raccolti da Cisco dicono che su 200 miliardi di messaggi inviati al giorno in tutto il mondo, il 90% delle e-mail è spam, il che fa ipotizzare introiti da capogiro per i cybercriminali, che hanno imparato a sfruttare le nuove economie di scala: rubano un euro alla volta, compromettono macchine e server in modo silenzioso, puntano a fare guadagni ripetibili nel tempo e affittano le infrastrutture delittuose che hanno creato.
Per tracciare il quadro della difficile situazione, si è recentemente tenuto a Milano l’evento eSecurityLab, organizzato da Bci Italia con il patrocinio di Aipsi (Associazione Italiana Professionisti Sicurezza Informatica) e Issa (Information System Security Association). L’incontro è stato l’occasione per stimolare un vivace confronto tra Cio, consulenti e protagonisti dell’offerta.
Dal punto di vista delle soluzioni, è emerso, per esempio, che l’integrazione delle piattaforme di Identity management di nuova generazione con le tecnologie di sicurezza relative al data & content protection nonché con le applicazioni Web 2.0 e le piattaforme di gestione dei sistemi stanno oggi costituendo un nuovo capitolo nelle problematiche aziendali.
La questione è che con il Web 2.0 e i nuovi servizi derivanti dal cloud computing, controllare gli accessi rappresenta oggi solo il punto di partenza per proteggere dati digitalizzati di ogni genere.
«La strada da seguire – ha evidenziato durante l’evento Bruno Degradi, country manager di Day Software – consiste nell’integrare i repository dei due ambienti, così come richiesto da un crescente numero di aziende di ogni parte del mondo, mediante una gestione dei contenuti d’impresa garantita da sistemi aperti e facilmente integrabili».
Un punto debole particolarmente segnalato dai Cio presenti all’incontro è che, a livello d’offerta, chi sviluppa il prodotto difficilmente si occupa della sua manutenzione e questo lascia qualche problema aperto.
Sul progetto di un’It security aziendale in linea teorica tutti concordano che l’ideale sarebbe coinvolgere diversi process owner, sviluppatori e sistemisti inclusi, anche se entrano in gioco alcune resistenze quando il fornitore cerca di entrare nell’area gestionale.
Il suggerimento per una migliore security governance è, dunque, quello di recuperare e sensibilizzare quanto più possibile tutti gli informatici che operano in azienda.
La sfida è quella di capire quali siano le funzioni aziendali avvantaggiate dal progetto sicurezza anche per ritagliare il budget sulle diverse funzioni coinvolte.
«È indubbio che tra le priorità aziendali ci sia un discorso di riduzione dei costi – ha puntualizzato Domenico de Angelis, marketing manager di Omnitech – e che quest’ultimo sia connesso con la creazione di una maggiore automazione, il che implica un aumento della sicurezza. Indubbiamente bisogna avere un’ottica globale di services management con l’obiettivo di ottimizzare i processi e di abbattere le spese».
Questo vale soprattutto quando un’azienda opera in un contesto multinazionale. Gli orientamenti della corporate governance, infatti, impongono al management di predisporre sistemi di controllo su tutte le attività aziendali che comportano rischi per i portatori di interesse, ovvero gli stakeholder.
Il circolo virtuoso
della security
«È indubbio che la responsabilità aziendale sia quella di proteggere i propri asset – conferma Elio Molteni, solutions strategist di Ca – e di assicurare la continuità operativa dei servizi It, la produttività del personale, la tutela delle proprietà intellettuali. Ma questo non basta, perché è necessario anche presidiare la correttezza delle applicazioni e dell’integrità fisica dei dati, nonché la conformità alle normative di legge e alle policy aziendali».
Non è un caso che iI 29% delle organizzazioni intervistate in una recente indagine svolta worldwide da Ernst&Young abbia affermato di non aver ancora definito una specifica strategia di Information security che, generalmente, in un terzo dei casi viene inclusa nell’ambito della strategia It dell’organizzazione.
Sebbene la privacy e la protezione dei dati personali siano considerati fattori critici per le organizzazioni, gli interventi in merito sono ancora limitati: solo il 67% ha implementato controlli per proteggere le informazioni personali, solo il 31% ha eseguito un censimento dati personali trattati nell’organizzazione e solo il 27% ha svolto verifiche e assessment in ambito privacy. Sotto questo profilo, i dati italiani sono più confortanti: l’87% rivela una forte consapevolezza e sensibilizzazione sulla tematica della privacy, con un 81% che aggiunge di aver inserito dei privacy requirement nei contratti con fornitori, partner esterni e clienti.
Rimane irrisolta la questione relativa alla gestione del ciclo di vita dei dati personali, in quanto gli analisti hanno rilevato un’assenza di assessement globali.
«A livello settoriale – ribadisce Andrea Mariotti, senior manager, technology & security risk services Ernst&Young -, le organizzazioni Tlc e le società del comparto bancario dichiarano di avere una chiara comprensione degli adempimenti privacy, con percentuali nettamente superiori a quelle riscontrate a livello globale e intersettoriale».
Proposizioni chiare
da parte dei fornitori
La confusione in tema di sicurezza non è solo normativa.
«Il ventaglio delle proposte è davvero consistente e variegato – ha obiettato Silvio Sorrentino, Cio di Corepia -. Per noi è difficile percepire il valore aggiunto di una soluzione. Dai fornitori vorremmo maggiore semplificazione e, soprattutto all’inizio, una breve descrizione della proposizione, tale da permetterci di trasmettere al Cda la tipologia e le caratteristiche dell’offerta e il suo valore aggiunto attraverso una sintesi efficace».
Effettivamente il panorama delle soluzioni è molto variegato e, al di là delle numerose intersezioni, con approcci alquanto differenti.
Si va dalle soluzioni specializzate, attraverso tecnologie e servizi che si trasformano in appliance verticali sempre più sofisticate che, a loro volta, diventano subcomponenti di forniture più consistenti, a piattaforme integrate in cui la sicurezza è parte del Service management, per arrivare a modalità di global outsourcing in cui la security include servizi e soluzioni specializzate proposte direttamente dai fornitori.
«In ogni caso non esiste una formula vincente – ha puntualizzato Stefania Castellana, senior sales consultant, Ibm Software Group -, dipende dalla sensibilità del cliente su certe tematiche piuttosto che su altre. La relazione intercorrente tra Security governance e Identity management, per esempio, viene percepita quando in azienda esiste un certo grado di maturità gestionale. Concordo con il fatto che il fornitore debba saper cogliere le esigenze del cliente e trasmettere in trasparenza la proposta. Mi è stato chiesto se ci sia incompetenza dei Cio sul tema della sicurezza. La risposta è che il grosso del lavoro non è su tecnologie puntuali e problemi specifici quanto, piuttosto, su problematiche più articolate, dove la maturità dei Cio è molto varia».
A questo si aggiunge il fatto che l’It è percepito come un centro di costo per cui è necessario aiutare il Cio a dimostrare la validità del progetto in modo da poter sbloccare i finanziamenti.
Questo considerando anche il fatto che oggi i progetti faraonici non si fanno più, per cui le pianificazioni devono avere un termine che va da 6 a 9 mesi, dimostrando nel breve-medio termine il Roi.
«A questo proposito le soluzioni di nuova generazione costituiscono un supporto prezioso – conclude Mauro Cicognini, Information Security marketing and communication Visiant Security -, suite, tool di strong authentication e servizi erogati da operatori esterni aiutano a garantire la sicurezza aziendale con la massima efficienza».
Per la gestione delle identità, in ogni caso la risposta ideale sarebbe quella di realizzare una piattaforma univoca tra i fornitori di servizi e i loro clienti, inaugurando una sorta di Identity federation capace di creare un associazionismo di filiera e una protezione dei dati nativa
