Dave Hansen vanta oltre 20 anni di esperienza nell’informatica aziendale, prima vissuti nelle aziende utenti di soluzioni It e poi dal 2002 in Ca, dove ha iniziato come Chief information officer per poi diventare Corporate senior vice president e respo …
Dave Hansen vanta oltre 20 anni di esperienza nell’informatica aziendale, prima vissuti nelle aziende utenti di soluzioni It e poi dal 2002 in Ca, dove ha iniziato come Chief information officer per poi diventare Corporate senior vice president e responsabile della Security Management business unit. Il suo approccio alla sicurezza informatica si giova, così, della sua lunga personale esperienza sul campo, coniugata con le esigenze che gli manifestano gli utenti e i clienti con cui quotidianamente è in contatto.
Cosa è oggi la sicurezza informatica e come può un’azienda bilanciare l’esigenza di essere aperta all’esterno con quella di tutelare la sicurezza dei dati?
«Nel passato, la prima sfida da vincere è stata quella di “keep the bad guys out” e di salvaguardia dell’integrità dei dati, una sfida che in gran parte è stata risolta positivamente. Oggi il confine si è spostato verso l’Identity and access management, vale a dire la gestione e il controllo di chi ha accesso ai sistemi aziendali e a che cosa accede. La sicurezza It ormai è a tutti gli effetti un abilitatore dell’attività aziendale, che si esplica intanto proteggendo l’organizzazione e al contempo riducendo i costi, realizzando una miglior efficienza e facilitando la crescita dell’azienda. Per questo è necessario avere una visione a 360 gradi della sicurezza. Rispetto al passato, è più un problema di infrastruttura che di altro, una combinazione di infrastruttura e security architecture.
Purtroppo una parte del lavoro è ancora ripetitivo, mentre le persone, per avere tempo di dedicarsi ai problemi strategici, hanno bisogno di soluzioni per risolvere le difficoltà quotidiane e le esigenze del giorno per giorno. Ed è molto meglio investire in tecnologia che in persone impegnate in attività di routine».
E per quanto riguarda il Web 2.0 e il social networking?«Questo è un argomento intrigante. Il tema che sta emergendo è quello della creazione di un singolo database per utente, che possa essere utilizzato per molteplici scopi. Ca è in grado di lavorare su federation, user authentication, identity management e stiamo collaborando con vari partner che vogliono giocare il ruolo di “fornitori di identità”, quali le società di telecomunicazione, le banche, i service provider e le amministrazioni pubbliche. Tutte quelle organizzazioni che per ragioni legate alla loro attività gestiscono grandi database di utenti. È un tema molto importante, che si colloca a cavallo tra esigenze commerciali ed esigenze sociali, che hanno in comune la necessità di guadagnare la fiducia degli utenti, i quali sono molto sensibili quando si tratta di decidere a chi affidare i dati personali».
Come è cambiata l’idea di sicurezza, allo stesso modo è cambiato il ruolo del Chief security officer?«Certamente, il Cso è più un business manager che un technical manager e sta assumendo una funzione strategica per le future scelte aziendali. È necessario mantenere un contatto diretto tra Cio e Cso, se si riduce la distanza ne guadagna la conoscenza del Cio. Vanno evitati conflitti e al contrario è necessaria una forte relazione tra le due funzioni. I Cso vanno coinvolti maggiormente nelle scelte strategiche, più lavoro sulle strategie e meno sui problemi spiccioli quotidiani. Per esempio, nella definizione di una Security guide, che definisca le priorità e nella costruzione di un framework che consenta di integrare le applicazioni rapidamente, come può essere nel caso di aziende acquisite».
Ci deve essere più vicinanza tra sicurezza e general management?
«Il board, il consiglio di amministrazione, deve essere coinvolto nella sicurezza, deve sapere e capire cosa succede nell’azienda. Per questo Cio e Cso devono comunicare con differenti livelli di management rispetto al passato. E il board deve porre domande semplici ma precise, deve chiedere: possiamo perdere i dati degli utenti? Come proteggiamo le informazioni sulle carte di credito? Domande semplici che implicano risposte difficili. I general manager devono essere informati e documentati e per quanto riguarda i problemi di sicurezza le decisioni devono essere prese congiuntamente».
Quali sono le applicazioni più importanti?
«Le applicazioni in maggior crescita sono innanzitutto l’Identity management, in secondo luogo il Web access management legato alle problematiche di federation, e infine l’Host access control per la definizione delle regole di accesso. E per quanto riguarda l’identity management siamo in presenza di una esigenza che riguarda tutte le imprese, anche se quelle medio-grandi sono le prime che devono definire politiche adeguate».
