Esperienze di security: la centralità del fattore umano

La sicurezza è sempre più percepita come un problema da affrontare in modo olistico e non solo dal punto di vista tecnologico, bensì anche con insiemi di regole e processi. Questo trend implica cambiamenti importanti anche nell’implementazione di tecnologie per la sicurezza o nell’adozione di servizi gestiti sullo stesso tema.
Anche nelle Pmi, secondo Antonio Romano, Group Vice President e General Manager, South Europe Idc Emea, questo approccio ha cominciato a farsi strada e il fenomeno è uno dei driver che porteranno a una crescita degli investimenti in It security in Italia. “Nei prossimi anni – ha detto l’analista in occasione dell’Idc Security Conference 2010 – le piccole e medie imprese abbandoneranno gli approcci tattici, che prevedono l’acquisto di soluzioni di It security separate per ovviare a specifiche necessità, per passare a una visione più strategica, che consiste nell’affrontare il problema nel suo complesso e non a isole separate. Per questo ci aspettiamo che le Pmi investiranno sempre di più in sicurezza in una logica di soluzione e non di prodotto”.
Questa filosofia è già largamente abbracciata da medio-grandi e grandi organizzazioni. L’utilizzo sempre più pervasivo di Internet come canale di comunicazione e di business con il mondo esterno; l’aumento delle minacce non più mirate alla semplice violazione dei sistemi ma al furto di identità e di risorse finanziarie; la proliferazione degli end point connessi alla rete sia in azienda sia in mobilità (e spesso usati dagli utenti come client sia sul lavoro sia in ambiente domestico); la crescita delle compliance e lo sviluppo di nuovi modelli come il cloud computing, impongono alle imprese, indipendentemente dalla loro dimensione, di rivedere in modo più complessivo e non solo in termini di hardware e software l’approccio alla security. “Oggi – afferma Franco Cerutti, It Governance Compliance & Security Director di Costa Crociere – la sicurezza non può più essere solo tecnologia ma va intesa anche come un insieme di regole e processi. Nel nostro caso, per esempio, definiamo policy globali, poi le scomponiamo in sistemi più semplici, e poi controlliamo questi ultimi”. Anche per Paolo Asioli, Is Security Manager di Unieuro, “siamo impegnati sia sul fronte dei processi sia su quello delle tecnologie. La tecnologia è importante ma è solo un fattore abilitante; per affrontare le sfide della sicurezza di oggi occorrono cultura e processi. Paradossalmente ci dobbiamo preoccupare quasi di più dell’utente It che dell’hacker russo. L’implementazione di sistemi di protezione perimetrale è importante ma è fondamentale accrescere la cultura degli utenti. La cultura inglese della nostra azienda, per fortuna, considera la sicurezza una necessità e mette al centro l’utente, perseguendo la segregation of duty su tutti gli utenti. Come security manager devo fornire a ogni utente un ambiente protetto e far capire che non si può fare quello che si vuole con un pc aziendale. Certo, attuiamo misure come, per esempio, il Web filtering, ma più di tutto è cruciale far capire all’utente l’importanza della segregation of duty”.
La responsabilizzazione degli utenti, unita alla predisposizione di regole e sistemi di sicurezza, è attuata anche in Leroy Merlin. “Nel nostro gruppo – racconta Alessandro Tiretta, responsabile Innovazione Tecnologia e Sicurezza dell’azienda che recentemente ha incorporato il marchio Castorama – l’accesso a Internet da parte degli utenti deve essere il più libero possibile. Non deve esserci una differenza eccessiva tra come si usa il Web a casa e al lavoro. Il nostro board stimola ad aprirsi il più possibile sul mondo. Come It, però, noi dobbiamo garantire il supporto al business, costi certi, una certa ridondanza e determinati Sla. Un uso più libero di Internet può rappresentare un costo, indipendentemente dalle minacce. Basti pensare che il 30% della banda viene utilizzata dalla posta elettronica e che, molto spesso, il 90% di questa è costituita da spam. Per questo, da una parte puntiamo sulla responsabilizzazione dell’utente, dall’altro ci siamo resi conto che esternalizzare la gestione della sicurezza dell’email fosse l’opzione migliore. Con l’outsourcing di questo servizio – prosegue Tiretta – abbiamo ottenuto il 99% del blocco degli spam e il 100% di quello dei virus. Di conseguenza abbiamo più tempo e risorse da dedicare, per esempio, all’integrazione di Castorama. In uno scenario It che va sempre più verso il cloud computing, la centralizzazione di certe attività It va messa in discussione. Nel nostro caso, poi, se vogliamo portare Internet in tutti i punti vendita, questo diventa necessario. Con l’utilizzo di un servizio via Web per la sicurezza, inoltre, il nostro utente che si collega a Internet da casa con il pc aziendale gode della stessa protezione che ha in azienda”.
Più crescono i livelli e le complessità della sicurezza It in un’organizzazione e più si nota la tendenza a considerare l’opportunità di tenere all’interno la definizione dei processi e delle regole e ad acquisire i servizi tecnologici all’esterno. Sia per motivi di efficienza sia per ridurre i costi. È quello che ha fatto anche Costa Crociere. “Noi tendiamo a gestire internamente la governance e a delegare il resto a soggetti esterni, che ovviamente dobbiamo dirigere”, spiega Cerutti. “Gestire la sicurezza è costoso. Quindi per prima cosa definiamo all’interno le policy ed effettuiamo una pianificazione delle iniziative possibili. Quindi ci limitiamo a mantenere all’interno, per esempio, il controllo degli accessi e le configurazioni, mentre il resto – compresi patching, monitoring e anche il reporting – lo affidiamo all’esterno. Il cloud computing – continua però il manager di Costa Crociere – si presenta a oggi con pregi e difetti. Ci sono casi in cui ricorrervi può essere oneroso. Per questo, per esempio, stiamo ancora valutando se vale la pena o meno mantenere all’interno la gestione della sicurezza per le carte di credito”. Costa Crociere è soggetta a diverse necessità di compliance, da quella alle normative sulla Privacy allo standard Pci/Dss relativo ai sistemi di pagamento elettronici. In più, essendo Costa Crociere di proprietà del gruppo Carnival, è soggetta alla normativa americana Sox. In un contesto come questo, la scelta sui temi su cui focalizzarsi al’interno e per i quali invece ricorrere ai managed service richiede una certa attenzione. Un approccio che comunque si va estendendo sempre di più in tutti i tipi di aziende, in termini di attività e dimensioni.