L’approccio più corretto, in fatto di sicurezza informatica, è quello di cercare di mitigare i rischi e i danni a cui le imprese sono esposte. Va, quindi, applicata a ogni livello, a partire dai vertici aziendali. Le minacce non provengono da ragazzini …
L’approccio più corretto, in fatto di sicurezza informatica, è quello di cercare di mitigare i rischi e i danni a cui le imprese sono esposte. Va, quindi, applicata a ogni livello, a partire dai vertici aziendali. Le minacce non provengono da ragazzini, ma da associazioni a delinquere. Di conseguenza, le imprese devono proteggere quello che ha valore, in particolare le applicazioni critiche. La sicurezza non è un’aggiunta al sistema informatico, bensì è un anello importante della catena dell’It. Queste affermazioni sono di Ottavio Camponeschi, regional director per l’Italia di McAfee (i), che abbiamo incontrato per ricavare da un esperto di sicurezza alcune idee e consigli per le imprese.
Oggi, osserviamo, le minacce arrivano da organizzazioni specializzate, da altre aziende e perfino da Stati. «Ma non solo – sottolinea il manager – in quanto i pericoli arrivano anche dall’interno, magari spesso non volutamente. Basti pensare a persone in azienda che trasferiscono dati importanti su desktop e notebook, e-mail personali non protette e perfino chiavette Usb. C’è, quindi, l’esigenza di un approccio alla sicurezza diverso rispetto a cinque anni fa. Oggi moltissimi dati transitano su Internet e allora bisogna operare per gestire un flusso operativo che non deve essere intercettato da agenti esterni. Bisogna intervenire per ridurre il più possibile i danni, senza dimenticare che le aziende sono perseguibili penalmente per la perdita o l’uso scorretto di dati personali che sono stati loro affidati».
Come si può coniugare la flessibilità, che è inevitabile, con l’esigenza di protezione dei dati?
«La sicurezza è una disciplina rigida, che va applicata a tutti i livelli aziendali. Va vista come corporate governance e non come la protezione del singolo personal computer, soprattutto va applicata dall’altissimo livello aziendale fino al più basso. Bisogna disciplinare i comportamenti aziendali. Internet è uno strumento bellissimo il cui uso va governato: purtroppo, comporta dei rischi elevati, per cui è necessario dettare delle regole. Non si deve inibire l’ingresso in Internet, ma dare strumenti per valutare se un sito è affidabile, per esempio con un prodotto come il nostro SiteAdvisor. Poi ci vuole disciplina e cultura. Va regolato il processo: l’accesso ai siti, l’accesso ai dati, ci vogliono regolamenti comportamentali in base ai quali si possono fare o meno alcune operazioni anche semplici. Per esempio, stampare documenti, piuttosto che inviarli via mail».
La definizione delle regole comportamentali da chi dipende? Dal dipartimento It o dal management aziendale?
«In Italia il responsabile della sicurezza risponde al responsabile dell’It. Negli Stati Uniti non è più così, il Cso (Chief security officer, ndr) riporta sempre di più al general manager. Le regole le detta l’azienda, il responsabile della sicurezza vigila sulle regole perché vengano applicate».
In questo quadro, sia con ePolicy Orchestrator 4.0 che con la Security Innovation Alliance il vostro obiettivo è rendere integrabili strumenti diversi, aiutare a superare le fratture tra un sistema e l’altro.
«Sì, infatti, ePolicy Orchestrator è uno strumento che nasce oltre 10 anni fa, consente di avere un’unica console centralizzata che può integrare prodotti McAfee così come di terze parti. Oggi c’è l’esigenza di controllare sempre di più e allo stesso tempo mantenere un livello di controllo che rispetti gli standard delle varie aziende, livelli che sono diversi da azienda ad azienda. ePo 4.0 è lo strumento che può correlare dati, distribuire patch e firme, può essere abbinato a programmi di risk management e può integrare informazioni derivanti da strumenti eterogenei. Con la Security Innovation Alliance apriamo le Api e forniamo software development kit, in modo che terze parti e software house, anche italiane, possano sviluppare queste applicazioni con l’interfaccia verso ePo 4.0».
Così facendo è possibile andare incontro alle aziende, che hanno differenti esigenze di sicurezza l’una dall’altra?
«Gestire la sicurezza nelle varie aziende allo stesso modo è sbagliato. La sicurezza va gestita in funzione di quello che in ogni singola azienda si ritiene importante. Mi riallaccio al discorso iniziale: la sicurezza deve diventare una disciplina ferma, seria, con strumenti, metodologie e policy adeguate. Cercare di proteggere tutto è impossibile, anche perché non si sa la prossima minaccia da dove possa arrivare, bisogna dare delle priorità in funzione del business aziendale».
