Un’indagine Sirmi mostra limiti e mancanze del nostro Paese in tema di It security. Si evidenzia un approccio passivo affidato, per la maggioranza dei casi, ad antivirus e firewall. Commenta i risultati Simon Perry, esperto del settore di Computer Associates
Di sicurezza si parla tanto, ma si fa poco. È questa la conclusione cui è giunto Enrico Acquati, direttore per la ricerca di Sirmi, dopo aver terminato un’indagine su un campione di 248 medio-grandi aziende (appartenenti per il 26,6% alla finanza, 22,6% all’industria, 10,9% al commercio, 16,9% ai servizi e il rimanente 23% alla Pubblica amministrazione).
L’indagine condotta tramite interviste telefoniche, ha effettivamente messo in evidenza diverse contraddizioni e una certa mancanza di conoscenza da parte del campione sulle problematiche, pur essendo gli intervistati direttori dei sistemi informativi.
“Con buona pace della produttività – ha affermato Acquati – l’82,6% dei responsabili di sistema effettua l’aggiornamento delle abilitazioni all’accesso manualmente una a una“.
Già di per sé sconfortante, questo dato è abbinato alla preferenza del ruolo aziendale, espressa dal 55,5% del campione, quale criterio per il sistema di abilitazione, seguito dal gruppo di lavoro. Come, inoltre, ha osservato Simon Perry, vice president Security Strategy di Computer Associates Emea: “in questo modo, non è possibile valutare la sicurezza in base al contesto. Per esempio, io stesso dovrei avere privilegi d’accesso diversi se mi collego dall’interno dell’azienda o da casa mia, perché non posso avere gli stessi livelli di sicurezza su entrambe le connessioni. La sede aziendale o il tipo di applicazione sono criteri più indicati per combinare accesso e contesto“.
L’esperto di Ca ha, inoltre, osservato che ogni impiegato ricopre più ruoli, modificando molte volte nel tempo competenze e attività. Mediamente, secondo dati forniti a Computer Associates da società di analisi indipendenti, un utente di una media impresa ha accesso a 17 applicazioni. Quando lascia l’impiego, il suo account viene rimosso da solo 11 di queste e, in generale, ciò avviene entro 4 mesi dalla sua partenza. Un sistema sicuro deve considerare, evidentemente, non solo il controllo degli accessi e degli account, ma anche quello della gestione dell’identità, che è spesso demandata a dipartimenti aziendali diversi da quello It (per esempio, l’ufficio del personale) e va quindi affrontato con un approccio globale.
Anche la stessa percezione della password unica o del single-sign-on (Sso) come relativamente sicura (la ritiene poco sicura il 45,7% del campione) e poco necessaria (è utile per il 56% delle aziende), manifesta una scarsa considerazione delle problematiche connesse alla gestione delle identità d’utente. “Nella vita reale – ha sottolineato Perry – nessuno è in grado di ricordare anche solo sei coppie di user Id e password completamente diverse e queste finirebbero con l’essere tutte uguali o facilmente identificabili“. Quando non sono tipicamente trascritte su un foglio di carta appuntato sulla scrivania o direttamente sul computer.
La realtà fotografata da Sirmi è quella di un approccio passivo alla sicurezza, affidata esclusivamente ad antivirus e firewall (posseduti rispettivamente dal 99,2% e dall’84,3% delle aziende). Ma la sicurezza non si limita a questo, come ha rimarcato Perry, proponendo la visione della propria azienda: “Quando si pensa all’Information technology, con la mente si va subito a hardware e software, che sono solo la parte tecnologica. Chi vende semplicemente antivirus e firewall si preoccupa di proteggere la tecnologia, mentre Computer Associates pensa a proteggere le informazioni“.
Il problema dei tagli di budget
Se, da un lato, l’approccio globale e sistemico è l’unico che possa garantire il successo di un sistema di sicurezza, dall’altro è necessario considerare che “le aziende di tutto il mondo sono alle prese con tagli di bilancio – ha dichiarato l’esperto di Ca -. È tempo per loro di imparare a gestire meglio e “intelligentemente” quello che hanno per aumentarne l’efficienza, aggiungere valore e guadagnare dei vantaggi competitivi“.
La questione posta è, dunque, quella della gestione. La ricerca Sirmi a tal riguardo è sempre più sconfortante: il 72% degli amministratori intervistati ha dichiarato di svolgere personalmente l’analisi dei log.
Una vera e propria mission impossible, considerando che in una medio-grande impresa un solo firewall può arrivare a registrare un milione di eventi al giorno. A detta di Perry, l’infrastruttura di gestione della sicurezza deve considerare tutto l’insieme delle variabili coinvolte (asset, policy, utenti, applicazioni, contesti, servizi, contenuti, vulnerabilità e così via), per fornire un pieno controllo e comando del sistema di sicurezza, migliorando l’operatività e allargando e approfondendo la copertura dello stesso.
L’obiettivo, alla fine, è, o dovrebbe essere, quello di “collegare l’utente alle informazioni e ai servizi“, come ha concluso l’esperto di Computer Associates.
