Lori Woehler, giovane “scommessa” di Microsoft per gestire la sicurezza, dice la sua sulla via, non esclusiva, alla security.
Lori Woehler è la responsabile della Security Technology Unit di Microsoft.
Non è nata professionalmente a Redmond, ma ci è arrivata dopo un excursus che l’ha fatta passare per il mondo aziendale (era in una società acquisita da Verisign) e per quello delle agenzie governative. In questo contesto si è fatta le ossa in Russia, terra anche di hacker, dove ha approfondito un’esperienza che per funzionare deve essere cosmopolita. Detiene le certificazioni Cissp (Certified Information Systems Security Professional) e Cisa (Certified Information Systems Auditor).
È venuta anche in Italia a diffondere il verbo della sicurezza di Microsoft, lo stesso del senior Vp, Bob Muglia, per il quale le aziende oggi hanno bisogno di sistemi integrati su una comune infrastruttura per la protezione delle risorse It.
Come Forefront Client Security, progettato per consentire la protezione dei sistemi dall’attacco di virus, spyware, trojan e altre minacce attraverso una gestione centrale, integrandosi nel farlo con le soluzioni centrali per la gestione dell’infrastruttura, quali System Center Essentials 2007.
Il senso dell’avere un “ombrello” di soluzioni di sicurezza è centrale nella visione Microsoft, il che non significa che anche altre tecnologie possano fungere allo scopo. Anzi, quasi debbono. Come il Nac (Network access control) di Cisco, per il quale Woehler garantisce una continua ricerca dell’interoperabilità (Microsoft ha un’architettura analoga, Nap, Network access protection). O come, perché no, la tecnologia di Symantec.
Woehler, infatti, ritiene che non esista una società che da sola possa risolvere il problema della sicurezza aziendale. La buona riuscita, se c’è, è frutto di un concorso di forze.
E per la manager va anche tenuto presente che la tecnologia da sola non basta, non può essere una panacea. Per fare sicurezza ci vogliono best practice (comportamentali) e anche la consapevolezza del management.
Non esiste nemmeno una, come si diceva una volta, “killer application”. A chi pensa, per esempio, che la strong authentication possa essere una disciplina risolvente, Woehler manda a dire il più classico dei “dipende”: sta al contesto micro e anche macro, ossia all’impiego sul campo e ai livelli di sicurezza dei network stabiliti anche a livello nazionale, determinare se i token e la generazione automatica di identificativi e password possano essere la soluzione più protettiva. Una via unica alla sicurezza, insomma, non c’è.
