Quando oggi si parla di sicurezza informatica non si tratta solo di proteggersi da un hacker o da un virus che infetta i nostri Pc, ma di una vera e propria salvaguardia del patrimonio aziendale necessaria al fine di continuare a operare e di mantenere il proprio vantaggio competitivo. L’informazione diventa protagonista nella vita dell’azienda; il dato contiene tutte le caratteristiche che contraddistinguono un’impresa e le consentono di avere successo sul mercato. Parlare di sicurezza oggi è molto più che trovare una soluzione a un problema tecnico e non è una tecnologia che risolve il problema. Garantire la sicurezza è un vero e proprio processo che, in quanto tale, deve essere organizzato e gestito.
La complessità crescente dell’ambiente di lavoro resa possibile da nuove tecnologie, ma anche dall’adozione a livello aziendale di tecnologie nate per l’ambito consumer – push, come il messaging peer-to-peer, le videoconferenze mobili, l’email mobile; e pull, quali i portali di documenti condivisi, i blog mobili e il podcasting – ha modificato radicalmente la percezione dell’attività lavorativa. Per il cosiddetto knowledge worker l’ufficio non è più un luogo fisico unico, ma l’ufficio è ovunque la persona abbia la necessità o il desiderio di impegnare il proprio tempo. L’orario non esiste più e la persona può e deve essere chiamata a produrre valore quando serve. Secondo Gartner, in tema di collaborazione mobile, le organizzazioni stanno cominciando a esaurire i processi strutturati da automatizzare, aumenta la distribuzione e la mobilità del personale e si riducono i costi delle comunicazioni wireless.
Tutto ciò si riflette sul modo in cui il dato, il patrimonio aziendale, viene utilizzato e gestito e di conseguenza sui metodi per salvaguardarlo. Da un lato vi sono normative che impongono l’adozione di specifiche misure di sicurezza con obblighi precisi di legge e che prevedono sanzioni penali in caso di mancato adempimento; dall’altro sono stati messi a punto numerosi strumenti che oggi permettono alle aziende di poter trarre vantaggio da tutte le più recenti tecnologie legate alla mobilità e alla collaborazione in totale sicurezza.
Quali sono queste forme di protezione? Parliamo di crittografia, di controllo degli accessi alle informazioni tramite l’uso di smart card, Vpn e firewall solo per citarne alcuni. Ciò che conta è garantire lo stesso livello di protezione su tutti i dispositivi perché contengono informazioni vitali per l’azienda.
Se la spesa dedicata alla sicurezza informatica continua a crescere a due cifre e, secondo dati Idc, rappresenta circa il 20% del budget It, si tratta comunque di un dato probabilmente ancora sottodimensionato rispetto alla criticità del problema. Si pensi che ogni azienda in media si trova ad affrontare sei incidenti gravi nel corso di un anno, e una sottovalutazione del problema, come dimostrano recenti casi esteri, può rivelarsi davvero critica e molto costosa. Una recente ricerca internazionale di Check Point ha mostrato come la quantità di dispositivi elettronici che viene dimenticata ogni anno sui taxi sia davvero impressionante. Solo a Chicago, in sei mesi, sono stati smarriti 85.000 telefoni cellulari, 21.000 Pda e 4.000 laptop. Ognuno di questi strumenti, ovviamente conteneva dei dati relativi a chi li a smarriti, ma anche a colleghi, clienti, fornitori e partner.
Non ultimi vanno considerati anche i costi di gestione, oggi non più trascurabili. È necessario adottare sistemi facili da gestire, in loco e da remoto, e prodotti che assicurano alti livelli di protezione, ma con un Tco ridotto. Serve una soluzione di sicurezza che non impatti sull’utente finale, ma che sia facile da utilizzare. Deve essere configurata, obbligatoria per tutti gli utenti e presente su tutti i dispositivi, mobili e non. In aggiunta, dovrebbe essere dotata di funzionalità di ripristino per permettere il recupero di qualsiasi file da parte di personale designato in caso di emergenza senza la collaborazione dell’utente che l’ha creato. Ma, ancora più importante, la tecnologia dovrebbe essere indipendente dal vendor e in grado di operare su qualsiasi dispositivo. Inoltre va sottolineato che il tutto è guidato dalla necessità di prevenire e gestire i rischi aziendali. Pertanto attività di Risk Management vanno considerate all’avvio di progetti in quest’area; ciò significa che gli owner degli asset e dei dati devono individuare i rischi associati al trattamento di quei dati e di quei beni, soprattutto per fornire le necessarie informazioni a chi è deputato a individuare le contromisure organizzative, procedurali e tecnologiche necessarie. Ciò comporta che tutti i soggetti, e soprattutto i membri del top management, debbano essere coinvolti nel processo di gestione del rischio.
Optare per una soluzione cross-platform gestibile centralmente garantisce un roll-out il più semplice possibile. Tutto viene gestito e controllato centralmente e non vi è alcuna necessità di installare client software su ogni dispositivo poiché viene crittografato in background. E neanche attendere mentre il software crittografa l’intero contenuto del dispositivo protetto. E poiché tutti gli aggiornamenti e il supporto sono compresi nel pacchetto, è facile calcolare il Tco del prodotto (inferiore rispetto al costo di un’attività di crisis management).
L’ubiquità di laptop, Pda, smartphone e memorie Usb in ogni dipartimento di ogni impresa significa che la rete non finisce al cancello principale, ma si estende verso la casa di ogni dipendente e l’ufficio di ogni cliente. Una policy di sicurezza valida garantirà che questa estensione riguardi anche la protezione dei vostri dati. Questo comporta la necessità di strumenti e competenze consolidate nell’introduzione e diffusione di queste soluzioni all’interno delle aziende, dove l’esperienza nell’uso e nella definizione di processi di introduzione e gestione, può rappresentare un elemento di differenziazione e di valore aggiunto all’uso.
*Loredana Mancini è Operation Director di Business-e e Paolo Ardemagni è Regional Director Southern Europe Check Point
