Grazie anche a leggi come la privacy, secondo l’esperta di Ibm le medio-piccole realtà italiane si stanno muovendo in modo più strutturato rispetto al passato
Sul fronte della sicurezza, attualmente le aziende italiane si trovano a dover fronteggiare da un lato problemi di incidenti e crescenti attacchi alla loro struttura It, dall’altro a dover ottemperare alle misure di conformità richieste in quest’ambito dalle normative in vigore. Sono prese, quindi, tra due fuochi, per fronteggiare i quali tutta l’azienda deve essere coinvolta. Ne parliamo con Mariangela Fagnani, Business Consulting Services Security & Privacy Service leader di Ibm.
Se le grandi aziende, che sono più strutturate, il problema della sicurezza l’hanno già affrontato, non si può dire lo stesso per le medio-piccole realtà, che fino a ieri erano le più restie ad avviare progetti di un certo peso in quest’ambito. Come vede, dal suo osservatorio, la situazione italiana?
«Oggi, anche le Pmi sono costrette ad affrontare il problema della sicurezza, per adempiere alle richieste di legge, e lo stanno approciando in modo più strutturato rispetto al passato, in quanto si sono rese conto che non basta più mettere qualche prodotto hardware o software per proteggere la rete aziendale. Infatti, i problemi negli ultimi tempi sono aumentati, perché da un lato le tipologie di attacco sono diventate sempre più insidiose, e dall’altro le aziende sono diventate più vulnerabili, perché sono sempre più aperte al mondo esterno, in quanto sono connesse sia con i clienti che con i fornitori, per cui corrono più facilmente il rischio di mettere in gioco i dati aziendali e la continuità dei servizi forniti. Di conseguenza, oggi, sono obbligate ad affrontare il problema sicurezza in un’ottica più aziendale e di business, che non di tecnologia, con un approccio globale che non si preoccupi più solo della rete ma che metta tutti gli asset strategici dell’azienda al centro del problema. E la scadenza a marzo della legge sulla privacy, ha dato un buon impulso in questa direzione».
In quest’ambito, quali sono i problemi più sentiti dalle medio-piccole imprese?
«Un tema sentito è quello della business continuity, cioè il garantirsi una modalità per far ripartire al più presto la propria attività a fronte di possibili situazioni di emergenza. Sta crescendo anche il ricorso ai managed security service, servizi di sicurezza gestiti da terzi, che di fatto, soprattutto per le aziende piccole che non hanno la struttura e le competenze interne adeguate, rappresentano la possibilità di gestire in sicurezza le infrastrutture. Diversamente, per queste realtà organizzarsi internamente rappresenterebbe un costo troppo alto, anche perché abbiamo visto in passato che quando si dotavano di apparati di sicurezza, poi però molto spesso non li aggiornavano. Questo problema ormai le aziende medio-piccole l’hanno abbastanza chiaro, però per affrontarlo servono delle risorse, per cui la modalità della gestione in outsourcing è sicuramente una soluzione ottimale per risolverlo».
In Ibm, abituati a seguire i progetti dei grandi clienti, come avete adeguato il vostro approccio a realtà medio-piccole?
«In quest’ambito i servizi che Ibm offre sono naturalmente strutturati in base alla tipologia dell’azienda, e quindi si tratta di servizi di gestione di firewell, di e-mail security, di gestione delle intrusion e prevention e via dicendo, il tutto modulato in base alle richieste del cliente. E a conti fatti, alla Pmi conviene appoggiarsi per questi servizi all’esterno, perché come ho detto prima, non sono strutturate per poterlo fare, anche in termini temporali, visto che i servizi di questo tipo richiedono un controllo di 360 giorni all’anno».
Un altro problema che coinvolge le aziende è quello relativo alla gestione degli accessi, cioè poter controllare le identità degli utenti abilitati all’accesso dei dati critici.
«Il tema è caldissimo per tutti i settori, in particolare per quelli finanziari. Questo problema è espoloso quando, nel 2005, sono aumentati tantissimo gli attacchi di phishing, che carpiscono le credenziali dell’utente a fini criminosi. Questi hanno colpito in modo particolare le banche, che si stanno organizzando per ridurre il rischio che corrono i clienti online e dar loro fiducia che le operazioni che effettuano possono essere sicure».
Mi può fare un esempio pratico di come intervenite in merito?
«Ce ne sono molti, ma posso citare un recente progetto che Ibm sta completando con una banca media del Nord che, per risolvere questo problema, ha deciso di utilizzare la tecnologia che è basata sul token. Si tratta di un oggetto grande come una chiave, che pigiando un bottone genera un numero diverso ogni 60 secondi, per cui la banca dà a ogni utente Internet questo dispositivo, in modo tale che quando il cliente accede ai servizi online, oltre alla propria password, in più deve aggiungere quella generata dal dispositivo, che viene associata al cliente. Il valore aggiunto di Ibm è quello di integrare il riconoscimento di questo dispositivo all’interno della propia piattaforma che controlla gli accessi Web. Alcune banche stanno adottando soluzioni con le smart card digitali, per cui anche noi nella fase di analisi della soluzione con il cliente abbiamo valutato questa possibilità, però è stata preferita quella basata sul token perché dal punto di vista gestionale è molto più semplice e meno onerosa. Infatti, la smart card si porta dietro anche un problema di gestione delle carte, dei certificati, validità, revoca e così via, che è molto più complesso, mentre invece con il dispositivo token, se uno perde l’oggetto la banca gliene attribuisce un altro e il problema è risolto».
È una soluzione che può valere anche per le aziende?
«Sì, può essere applicata in qualsiasi settore d’industria, soprattutto là dove ci sono applicazioni di tipo Web. Però nel caso in un’azienda ci sia un computer condiviso, per preservare l’accesso ai dati critici ai non autorizzati si può utilizzare soluzioni di impronta biometrica, per cui servono lettori ad hoc che riconoscano se l’utente è abilitato e quindi attivare il servizio. In questo caso, però, i costi sono più elevati».
Quando si parla di sicurezza è importante trasmettere anche agli utenti aziendali che un loro comportamento "leggero" mette a rischio i dati critici dell’azienda, per cui è necessario fare formazione. Le aziende ne sono consapevoli?
«Le Pmi questo aspetto spesso lo hanno trascurano, però va ricordato che la normativa sulla privacy richiede anche la formazione come misura obbligatoria. Per cui direi che oggi sono più sensibilizzate anche su questo problema, in quanto il garante può effettuare un controllo. In Ibm abbiamo fatto tanti progetti presso le medio-piccole imprese per l’adeguamento alla privacy, per cui abbiamo colto l’occasione della formazione legata alla legge per aggiungerci anche quella sulla sicurezza. Le aziende hanno quindi iniziato ad affrontare anche il problema sicurezza in modo molto più strutturato, in quanto le due esigenze sono strettamente correlate, dal momento che non si può garantire la privacy senza una base di sicurezza».
