Quali sono i trend che impattano sulle strategie dei responsabili della sicurezza It in azienda nel 2012? E in modo particolare qual è l’impatto che esercitano su uno dei principali componenti della sicurezza It come lo Iam (Identity and Access Management)? La realtà sembra aver ridimensionato alcune visioni ‘idealistiche’ sul tema, come quelle di chi pensava ad organizzazioni con una forte ‘interazione dialettica’ tra business e It e ad una crescente incidenza delle trasformazioni del business sull’evoluzione delle strategie in ambito sicurezza. Al contrario, scrive Forrester in un suo recente report (“Iam: 2012 budget and planning”), a guidare le scelte in ambito sicurezza continuano ad essere una forte, anche se generica, sensibilità al tema e la necessità di adeguamento delle regole aziendali sulla sicurezza a normative e regolamentazioni di tipo generale o settoriale.
Il report di Forrester appena citato è dello scorso dicembre e focalizza l’attenzione sull’Identity and Access Management, uno dei temi classici della sicurezza in contesti entrerprise. In sintesi lo Iam comprende soluzioni e tecnologie che consentono di sapere e controllare, tra gli utenti aziendali, chi accede a cosa e di definire quello che ogni singolo utente o gruppo di utenti può o non può fare. Oltre a questo uno Iam allo stato dell’arte è anche in grado di adattare agevolmente le regole di sicurezza a ogni nuova normativa interna o esterna (le compliance di settore, per esempio).
Budget risicati
Un primo tema di fondo affrontato nel report di Forrester riguarda il peso che lo Iam ha assunto nel 2011 in termini di investimenti, nell’ambito dei budget destinati dalle aziende alla sicurezza It. Il peso dello Iam non è molto elevato: così hanno dichiarato oltre 2100 tra executive e decisori sulle tecnologie nordamericani ed europei agli analisti di Forrester. La spesa è infatti pari al solo 8% del totale del budget per la sicurezza It, superiore (ma di poco) solo alla spesa dedicata alla sicurezza dei contenuti, un tema che ha guadagnato attenzione in tempi molto più recenti.
E non dovrebbe cambiare granchè quest’anno. Infatti, anche se il 25% del campione prevede una crescita di questa spesa, per la maggioranza assoluta delle risposte (63%) i responsabili aziendali ritengono che il budget destinato allo Iam resterà invariato.
Un po’ come dire che nel mondo delle aziende non si attendono cambiamenti tali da determinare novità e giustificare una maggior attenzione allo Iam.
Ma è proprio così? Si direbbe di no, visto che nelle aziende molte cose stanno cambiando e tra questi cambiamenti ce ne sono alcuni che impattano, tra le altre cose, anche sulle modalità con cui vengono affrontate le problematiche strettamente inerenti lo Iam.
Novità di cui tenere conto
Sembrano infatti ormai consolidati alcuni trend, di tipo architetturale e tecnologico, che stanno interessando molte organizzazioni. Pensiamo in particolare al cloud computing e alla crescente diffusione di dispositivi mobili e di tipo personale come strumenti di lavoro per i dipendenti aziendali. Si tratta di novità non di poco conto, che oltre a molti effetti positivi in termini di produttività personale e flessibilità organizzativa determinano, sul fronte della sicurezza atteggiamenti di cautela e in qualche caso di timore; timore di perdere le capacità di controllo e di gestione su strumenti e risorse che pongono ai responsabili della sicurezza problematiche e incombenze di tipo nuovo.
Una qualche ragion d’essere questi atteggiamenti ce l’hanno, visto quanto emerge dai risultati di diverse indagini. Guardiamo per esempio al tema del cosiddetto Byod (‘Bring your own device’) e cioè alla tendenza da parte dei dipendenti più giovani a utilizzare come strumenti di lavoro gli stessi dispositivi utilizzati nelle attività del tempo libero. Un segnale di cambiamento sociale e una spinta positiva al rinnovamento tecnologico, certo, ma anche rischi e problemi nuovi. Diversi studi hanno per esempio evidenziato come altissime percentuali di giovani professionisti (fino a 7 su 10, secondo InsightExpress) ignorino spesso le policy It o manifestino un certo disinteresse, più o meno consapevole, nei confronti delle regole di security aziendali.
Il fattore ‘mobile device’
In generale, la proliferazione e la pervasività di questi nuovi strumenti di lavoro stanno portando i responsabili della sicurezza It alla necessità di riconsiderare in termini generali i propri modelli di controllo degli accessi utente. Più specificamente, spiegano gli analisti di Forrester, si comincia a valutare la possibilità di considerare i dispositivi mobili come cellulari e smartphone come strumento per il secondo elemento di autenticazione (la ‘two factor authentication’ o 2FA) attraverso una ‘one time password’ (Opt) generata attraverso un sms.
Tra le novità introdotte dal fattore ‘mobile device’ Forrester ricorda come i responsabili della sicurezza stiano cominciando a prendere in considerazione, nella definizione delle proprie strategie Iam, anche il contesto di una applicazione; per esempio, quando forniscono accesso o particolari privilegi agli utenti, i responsabili della sicurezza devono considerare se l’applicazione a cui gli utenti chiedono di accedere risiede su un dispositivo mobile; gli stessi responsabili stanno anche riesaminando il modo di dare accesso alle applicazioni mobili di un utente, alle credenziali memorizzate e ai dati dopo che un dispositivo mobile è stato smarrito o rubato.
Le complessità del cloud e le cautele delle aziende
Le prime esperienze di successo nell’adozione di architetture di cloud computing e il crescente utilizzo di applicazioni in modalità SaaS stanno portando molte organizzazioni a considerare con attenzione le promesse di benefici che potrebbero ricavare da questo modello in termini di efficienza, flessibilità e risparmio sui costi dell’It. Oggi la domanda non sembra più “cloud si o no?” ma piuttosto “quale tipo di cloud?”. È noto che il tema della sicurezza dei dati aziendali e il controllo sull’accesso ai dati in particolare è stato, e continua in parte ad essere, uno dei fattori di freno all’adozione del cloud. E gli stessi responsabili e professionisti in ambito sicurezza sembrano procedere con i piedi di piombo visto che, secondo Forrester, “ritengono sia ancora troppo presto per spostare lo Iam nella nuvola” e fruirne in modalità di servizio. E non a caso poi, continua Forrester “i fornitori specializzati nell’offerta di servizi Iam faticano a costruirsi una significativa base di aziende clienti”.
La nuova articolazione che nelle diverse varianti del cloud (pubblico, privato, ibrido) vengono ad assumere i sistemi informativi aziendali costituisce poi un elemento di ulteriore complessità che non può che incidere sulle tradizionali modalità di gestione della sicurezza, visto che il cloud colloca risorse, sistemi e applicazioni all’esterno del tradizionale perimetro aziendale ponendo così la necessità non solo di rafforzare il controllo su accessi, identità, privilegi e così via ma anche di articolare e graduare di volta in volta proposte e soluzioni di Iam alle specifiche realtà aziendali.
Analytics dovunque
La quantità enorme di informazioni che le aziende devono gestire comincia a creare problemi anche ai responsabili della sicurezza, che devono sapersi orientare in mezzo a un vero e proprio oceano di terabyte di informazioni presenti nei file di log. C’è una bussola che consenta di navigare in modo sicuro in questo ‘oceano’ e facilitare l’individuazione di segnali di rischio potenziale presenti in queste informazioni?
Sì, secondo Forrester, che indica gli analytics come possibile riferimento e spiega come questi strumenti consentiranno di rafforzare le possibilità di raffinare le tecniche di ‘autenticazione risk based’ (cioè di adottare livelli di protezione differenti in funzione dei livelli di rischio e degli utenti da proteggere). Attraverso un’analisi più approfondita di informazioni riguardanti l’indirizzo Ip del client, la sua localizzazione geografica, la velocità delle singole sessioni e così via, sarà possibile individuare i comportamenti sospetti da parte di qualche utente. Grazie alle risorse ‘analitiche’ nel set di funzionalità dei principali fornitori di soluzioni di ‘autenticazione risk based’, sono ormai presenti (o di prossima introduzione) soluzioni basate sulla definizione di modelli comportamentali tipici di gruppi specifici di utenti e sulla conseguente rilevazione di comportamenti anomali rispetto a questi standard.
Altri ambiti in cui Forrester vede le grandi potenzialità del contributo delle tecnologie analitiche sono quelle della gestione dei diritti e dell’accesso ai dati da parte di utenti ritenuti ‘a rischio’ e nell’integrazione di Iam e gestione delle frodi.
