Ibm: virtualizzazione, cloud e sicurezza aziendale

MILANO – Ibm (www.ibm.com) ha recentemente pubblicato i risultati del proprio X-Force 2009 Mid-Year Trend and Risk Report dal quale emerge che la maggior parte degli investimenti in ambito sicurezza è focalizzata a livello di infrastrutture ma ben oltre il 50% delle vulnerabilità vengono registrate a livello di applicazioni web. Secondo il rapporto, vi è stato un aumento del 508% nel numero di nuovi link web maligni scoperti nel primo semestre del 2009 con una crescita della presenza di contenuti maligni su siti considerati “fidati”, inclusi i comuni motori di ricerca, blog, bacheche informatiche, siti web personali, riviste online e siti con le ultime notizie. Non solo, analizzando gli scenari futuri, all’Ibm Security Day si è posto l’accento sulle problematiche legate ai temi della virtualizzazione e del cloud computing, nonché sulla mobilità e sul numero sempre maggiore di lavoratori che accedono ai dati aziendali da postazioni “domestiche” o da device mobili.
Cambiamenti, insomma, che impongono nuovi modi di indirizzare la sicurezza: pensare agli aspetti tecnologici non è più sufficiente, bisogna pensare anche alle persone (che possono, non necessariamente con scopi dolosi o volontariamente, trasformarsi in minaccia).
E le esigenze dei Cio vanno proprio in questa direzione. Secondo i dati dell’Ibm Cio Survey 2009, “Risk Management e Compliance sono considerati fra gli elementi più importanti del piano strategico delle aziende a livello mondiale”, afferma Mariangela Fagnani, risk management consultant leader di Ibm Italia. “La gestione del rischi e la compliance è tra i primi tre elementi considerati più importanti dalle aziende, con il 71% (è preceduto da virtualizzazione con il 76% e dalla business intelligence con l’83%)”.
La sfida oggi è quindi gestire i rischi connessi soprattutto in relazione alle opportunità di innovazione e cambiamento. “Tecnologie emergenti come virtualizzazione e cloud computing aumentano la complessità dell’infrastruttura; le applicazioni Web 2.0 e Soa introducono nuovi problemi essendo tali applicazioni vulnerabili agli attacchi. Questo però non significa che si debba cambiare strada e rinunciare, in nome della sicurezza, all’innovazione tecnologica”, afferma Fagnani. “L’obiettivo è riuscire a garantire una infrastruttura sicura e resiliente partendo dalla consapevolezza che l’approccio tradizionale adottato per la gestione dei rischi non è più efficace per gestire l’attuale complessità”.
La manager Ibm fa riferimento a una gestione del rischio affrontata a silos in modo non intergrato che comporta: disallineamento rispetto agli obiettivi di business; complessità organizzativa; ridondanza, sovrapposizione o carenza dei controlli; difficoltà nella valutazione di efficacia ed efficienza; difficoltà per le attività di mantenimento della sicurezza nel tempo; irrigidimento e complessità dell’operatività; disaffezione da parte delle persone oberate da segnali disordinati sui temi della sicurezza; difficoltà di conservazione ed esibizione delle evidenze per audit; difficoltà di garantire ed esibire le evidenze per obblighi contrattuali.
La vision di Ibm è quindi orientata alla gestione integrata e di convergenza del rischio ed è una vision che si concretizza in modelli di governo e strumenti di supporto. Due di questi sono l’Ibm Security Framework e l’Ibm Security Blueprint che insieme aiutano a valutare i rischi e a prendere le opportune decisioni non solo dal punto di vista It ma anche da quello business. Il primo, infatti, si traduce in una sorta di analisi e roadmap che evidenzia le esigenze e le prospettive di business; il secondo, invece, prende in esame la vista tecnologica. “Integrando i due modelli, possiamo favorire la convergenza della prospettiva di business della sicurezza con quella tecnologica e individuare le migliori soluzioni applicabili”, conclude Fagnani.