Sicurezza. È l’ora del client management 2.0

Nel corso del primo Forum europeo organizzato sul tema, Forrester Research propone un approccio a livello di endpoint, anche per le Pmi

Come cambia il ruolo del responsabile della sicurezza It in azienda (Cso), e come le nuove tecnologie sono in grado di portare la sicurezza sul piatto delle Pmi, sono state le linee guida del primo Security Forum Emea di Forrester Research, che si è tenuto di recente ad Amsterdam. «Cresce l'importanza delle considerazioni legate al business nelle strategie di sicurezza informatica - esordisce Thomas Raschke, senior analyst di Forrester Research -, anche se l'opinione diffusa presso le Pmi è che forse si può evitare di investire in protezione e concentrare gli sforzi solo sul core business. Ovviamente, si tratta di un approccio sbagliato perché, al contrario, diversi sono gli angoli di impatto della sicurezza sul business. Un altro errore nel quale molte aziende incorrono è ritenere che la security sia una cosa di per sé complicata. In realtà, in queste organizzazioni si perde di vista il fatto che l'unica cosa che bisogna avere chiaro in mente sono gli obiettivi di protezione. Una volta identificati, la scelta delle tecnologie che si sposano al meglio con l'It esistente sarà un gioco da ragazzi». «Questo vale soprattutto - ci chiarisce durante un'intervista Natalie Lambert, senior analyst di Forrester Research - per quello che attiene alla sicurezza a livello di endpoint, ovvero alla protezione dei client, alla loro gestione e all'implementazione di sistemi di controllo degli accessi alla rete». La tutela del singolo desk_top, infatti, secondo l'analista, è una delle aree nelle quali meno è stato fatto in passato, perché si riteneva che la gestione di identità e accessi fosse “una cosa da grandi”, ovvero un grattacapo dei Cso di multinazionali e grossi gruppi industriali. Oggi non è più così e molti attacchi virulenti ai sistemi It delle medie aziende sono, sempre più spesso, favoriti dai comportamenti “leggeri” del personale che ci lavora. Molte informazioni sono scambiate tramite Dvd, chiavette Usb o e-mail e molti dipendenti scaricano file sul proprio desktop, si collegano a siti non autorizzati e utilizzano massicciamente i sistemi di messaggistica istantanea, noti veicoli per virus. Ma la tecnologia evolve in parallelo alle minacce e anche le Pmi non hanno più scusanti, perché le soluzioni ci sono e a costi contenuti. «La componentizzazione delle tecnologie di protezione dei client e della rete è una realtà - prosegue Lambert -. La sicurezza dei desktop è garantita, oggi, da molte suite che includono, preintegrato, un motore di protezione dalle minacce completamente automatizzato. E a livello di rete, le appliance hardware, ovvero le soluzioni plug and play che, una volta collegate al network aziendale, prendono in carico la protezione del perimetro, permettono anche ai meno esperti di implementare strategie di sicurezza complete». Ecco perché, sostiene l'analista, la tutela dei client non sarà più un problema e, in futuro, il Cio si dovrà occupare unicamente della loro gestione, mentre la sicurezza di desktop e notebook, così come la gestione degli accessi alla rete, diventeranno una routine.


Il ruolo degli agenti intelligenti


«La vera questione - conclude Lambert - è che non è più l'amministratore di rete a doversi occupare degli aspetti critici della sicurezza a livello di singolo desktop. Esistono, infatti, prodotti che utilizzano agenti intelligenti sparsi nei punti nevralgici del network, che identificano immediatamente le attività anomale, e tool che compiono la scansione continua. Anche la configurazione dei sistemi e la definizione delle policy di sicurezza è un'attività ormai quasi routinaria. L'unico problema che rimane al Cso è quello di riuscire a orchestrare al meglio, con una visione di lungo periodo e in ottica proattiva, le molteplici tecnologie implementate, con lo scopo ultimo di mitigare i rischi, secondo un approccio che noi di Forrester definiamo “client management 2.0”. La security, in futuro, sarà quindi sempre più una funzione di audit e di controllo interno».


Un secondo tema trattato al convegno strettamente correlato alla sicurezza, ha riguardato la continutà operativa. Secondo Forrester Research l'azienda deve creare una cultura organizzativa incentrata sulla business continuity e, soprattutto, sottoporre a revisione e test le procedure costantemente. Di solito le realtà che sperimentano la business continuity lo fanno, spesso, forzate dagli obblighi di carattere normativo o da questioni legate al business, quasi mai spontaneamente. La funzionalità del data center, 24x7 è, invece, una condizione fondamentale per chi lavora online, come ad esempio le banche, mentre molte aziende manifatturiere possono anche tollerare il fastidio di “un downtime ogni tanto”. Una strategia di continuità operativa non può essere disgiunta da un approccio completo, che investa la corretta gestione del data center. «Il lavoro più duro per il Cio - esordisce Bill Nagel, ricercatore di Forrester Research - è riuscire a conciliare le aspettative di business con le capacità It. Cosa non facile, visto che si tratta di condurre un'analisi dell'impatto sulle attività d'impresa del fermo macchine, cosa di per sé difficilmente stimabile, e di rivederla periodicamente, in linea con l'evoluzione delle minacce».


I rischi, infatti, non sono immutabili nel tempo, al contrario, occorre tenerli sotto controllo costantemente e aggiornare l'infrastruttura informativa in modo che sia sempre “tarata” al meglio sulla loro evoluzione. «Solo un approccio metodologico al risk assessment può assicurare risultati completi e riproducibili - chiarisce l'analista -. La formalizzazione di un piano è, infatti, fondamentale per gestire al meglio i cambiamenti che intervengono in uno spazio complesso quale quello del disaster recovery. Nulla può essere lasciato al caso o gestito in modo approssimativo. Ecco perché noi suggeriamo l'applicazione di metodologie plasmate sulle linee guida dei framework attuali, come Iso 17799 e 27001, o di quelli del futuro più prossimo, come Bs 25599». Adottare una metodologia formale o, almeno, avere un minimo di dimestichezza con queste linee guida condivise può, infatti, assicurare un percorso “in discesa” verso l'implementazione di un approccio di continuità operativa. Approccio che non può essere relegato a un “affare per l'It” ma che, al contrario, investe pesantemente tutta l'organizzazione. «Il budget It dedicato alla sicurezza - sottolinea Rudiger Krojnewski, principal consultant di Forrester Research - deve necessariamente essere gestito da un advisor con un ruolo di consulenza.» Questa figura dovrà farsi carico di offrire il servizio di operatività ininterrotta alle diverse aree funzionali dell'azienda. Per contro, in fase di definizione degli stanziamenti, l'azienda dovrà necessariamente garantire che una quota del budget venga destinata alla continuità operativa. Questa è una fase piuttosto critica, perché troppo spesso le aspettative dell'organizzazione sono irrealistiche rispetto ai soldi investiti, da un lato, e ai servizi ottenibili dall'altro. «Il vero problema - prosegue Krojnewski - è che la continuità operativa ha un'efficienza difficilmente quantificabile finché tutto funziona al meglio. Questo diventa un problema in fase di definizione dei budget, quando il disaster recovery si trova a competere con altri progetti It in grado di garantire benefici immediati, come una migliore gestione del magazzino e, di conseguenza una riduzione del costo di prodotto».


Definire la continuità operativa


Rudiger Krojnewski, principal consultant di Forrester Research intervistato in merito alla continuità operativa, suggerisce di utilizzare metriche apposite, per definirne i diversi gradi, misurando le spese in quest'area come percentuale dei costi operativi e, soprattutto, confrontando gli investimenti in business continuity con altre opzioni tecnologiche su periodi medi, ovvero su cicli temporali compresi tra i 2 e i 4 anni. «Bisogna, però, lavorare soprattutto alla creazione di un'organizzazione data recovery-centrica - puntualizza Krojnewski -. Questo servirà a evitare di introdurre tecnologie in modo silenzioso, di soppiatto, che, poi, magari non incontrano il favore dell'organizzazione. Ma servirà soprattutto a instaurare e mantenere un buon livello comunicazionale tra i team dedicati all'implementazione delle architetture e quelli dediti all'operatività quotidiana dell'It». In questo processo, la selezione dei partner gioca un ruolo fondamentale. Poche aziende, infatti, riescono a implementare la business continuity utilizzando solo personale interno. Generalmente la selezione dei partner avviene secondo due modalità. Da un lato c'è chi tende a privilegiare pochi partner fidati, selezionando quelli che rispondono al meglio alle esigenze contingenti. Dall'altro, c'è chi crea una procedura completa di definizione delle caratteristiche del servizio e provvede a confrontare i diversi vendor sul mercato. In ambo i casi, l'azienda dovrà dedicare una parte dello staff It alle attività di selezione e, soprattutto, dedicare risorse al test dei servizi sottoscritti, che è un male necessario, in quanto richiede, inevitabilmente, dei fermi macchina programmati e perché può esporre l'azienda a alcuni rischi. Risulta fondamentale, quindi, al di là di quelli che sono i test programmati su base annua, che le aziende sottopongano a test i propri data center ogni volta siano intervenuti dei cambiamenti.

CONDIVIDI

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here