Un’indagine Sirmi mostra limiti e mancanze del nostro Paese in tema di It security. Commenta i risultati Simon Perry, esperto del settore di Computer Associates.
27 giugno 2003 Di sicurezza si parla tanto, ma si fa poco. È questa la conclusione cui è giunto Enrico Acquati, direttore per la ricerca di Sirmi, dopo aver terminato una ricerca su un campione di 248 medio grandi aziende (divise per il 26,6% nella finanza, 22,6% nell’industria, 10,9% nel commercio, 16,9% nei servizi e per il rimanente 23% nella Pubblica Amministrazione).
L’indagine condotta tramite interviste telefoniche ha effettivamente messo in evidenza diverse contraddizioni e una certa mancanza di conoscenza delle problematiche, pur essendo gli intervistati direttori dei sistemi informativi.
«Con buona pace della produttività – ha affermato Acquati – l’82,6% dei responsabili di sistema effettua l’aggiornamento delle abilitazioni all’accesso manualmente una a una». Già di per sé sconfortante questo dato è abbinato alla preferenza del ruolo aziendale, espressa dal 55,5% del campione, quale criterio per il sistema di abilitazione, seguito dal gruppo di lavoro.
Come ha inoltre osservato Simon Perry, vice president Security Strategy di Computer Associates Emea: «In questo modo, non è possibile valutare la sicurezza in base al contesto. Per esempio, io stesso dovrei avere privilegi d’accesso diversi se mi collego dall’interno dell’azienda o da casa mia, perché non posso avere gli stessi livelli di sicurezza su entrambe le connessioni. La sede aziendale o il tipo di applicazione sono criteri più indicati per combinare accesso e contesto».
L’esperto di Ca ha inoltre osservato che ogni impiegato ricopre più ruoli, modificando molte volte nel tempo competenze e attività. Mediamente, secondo dati forniti a Computer Associates da società di analisi indipendenti, un utente di una media impresa ha accesso a 17 applicazioni. Quando lascia l’impiego il suo account viene rimosso da solo 11 di queste e, in generale, ciò avviene entro 4 mesi dalla sua partenza. Un sistema sicuro deve considerare, evidentemente, non solo il controllo degli accessi e degli account, ma anche quello della gestione dell’identità, che è spesso demandata a dipartimenti aziendali diversi da quello IT (per esempio, l’Ufficio del Personale) e va quindi affrontato con un approccio globale.
Anche la stessa percezione della password unica o del Single Sign On (Sso) come relativamente sicura (la ritiene poco sicura il 45,7% del campione) e poco necessaria (è utile per il 56% delle aziende) manifesta una scarsa considerazione delle problematiche connesse alla gestione delle identità d’utente. «Nella vita reale – ha sottolineato Perry – nessuno è in grado di ricordare anche solo sei coppie di user ID e password completamente diverse e queste finirebbero con l’essere tutte uguali o facilmente identificabili». Quando non sono tipicamente trascritte su un foglio di carta appuntato sulla scrivania o direttamente sul computer.
La realtà fotografata da Sirmi è quella di un approccio passivo alla sicurezza affidata esclusivamente ad antivirus e firewall (posseduti rispettivamente dal 99,2% e dall’84,3% delle aziende). Ma la sicurezza non si limita a questo, come ha rimarcato Perry proponendo la visione della propria azienda: «Quando si pensa all’Information Technology, con la mente si va subito ad hardware e software, che sono solo la parte tecnologica. Chi vende semplicemente antivirus e firewall si preoccupa di proteggere la tecnologia, mentre Computer Associates pensa a proteggere le informazioni».
Se, da un lato, l’approccio globale e sistemico è l’unico che possa garantire il successo di un sistema di sicurezza, dall’altro è necessario considerare che «le aziende di tutto il mondo sono alle presi con tagli di bilancio – ha dichiarato l’esperto di Ca -. È tempo per loro di imparare a gestire meglio e “intelligentemente” quello che hanno per aumentarne l’efficienza, aggiungere valore e guadagnare dei vantaggi competitivi».
La questione posta è dunque quella della gestione. La ricerca Sirmi a tal riguardo è sempre più sconfortante: il 72% degli amministratori intervistati ha dichiarato di svolgere personalmente l’analisi dei log. Una vera e propria mission impossible, considerando che in una medio grande impresa un solo firewall può arrivare a registrare un milione di eventi al giorno.
A detta di Perry, l’infrastruttura di gestione della sicurezza deve considerare tutto l’insieme delle variabili coinvolte (asset, policy, utenti, applicazioni, contesti, servizi, contenuti, vulnerabilità e così via), per fornire un pieno controllo e comando del sistema di sicurezza, migliorando l’operatività e allargando e approfondendo la copertura dello stesso.
L’obiettivo, alla fine, è o dovrebbe essere quello di «collegare l’utente alle informazioni e ai servizi», come ha concluso l’esperto di Computer Associates.
