Flexible security: focus su applicazioni, reti e utenti

Rendere le applicazioni e le reti sicure per gestire le variabili e le opportunità di mercato. È questa la nuova visione It che guarda alla sicurezza come elemento abilitante e non più come “blocco”. Un risultato tuttavia non semplice da raggiungere; molte le variabili in gioco (rischi, formazione utenti eccetera), ma i fabbisogni individuali stanno convergendo con quelli aziendali e anche la sicurezza deve diventare flessibile.

Pubblicato il 19 Lug 2013

Gli utenti aziendali sempre più spesso accedono ad applicazioni esterne che sfuggono al controllo dei dispositivi di sicurezza tradizionali, ma che sono strategiche per la produttività e la competitività. Rendere sicure le reti per abilitare applicazioni sicure e consentire al business di operare in modo protetto sfruttando le nuove opportunità generate da web, cloud, mobility, social business, è la nuova sfida della cosiddetta “flexible security”.

Ne abbiamo discusso nel corso di un recente Executive Lunch organizzato da ZeroUno in partnership con Palo Alto Networks dal quale è emerso che gli approcci tradizionali alla sicurezza, come il blocco delle “porte” attraverso i classici sistemi firewall, risultano ormai inefficaci rispetto alle nuove minacce come gli zero-day exploit, il phishing o gli Apt (Advanced persistent threat) e ai tentativi di intrusione che fanno ormai leva sulle applicazioni utilizzate dagli utenti.

I sistemi di security finora utilizzati, quindi, cominciano a dimostrarsi inadeguati non solo rispetto alle minacce attuali, ma anche in relazione ai nuovi scenari di business caratterizzati da una digitalizzazione sempre più spinta e articolata. “Abbiamo oggi una pervasività tecnologica all’interno delle aziende intesa come una sempre più forte digitalizzazione dei processi con cui l’azienda opera – esordisce Stefano Uberti Foppa, direttore di ZeroUno -. Un fenomeno che ci porta sempre più vicini a quella che Forrester preannunciava qualche anno fa come la Business Technology, ossia la capacità e la possibilità di modulare gli interventi dei sistemi informativi in funzione di una strategia che ha nella fortissima digitalizzazione dei processi di business il proprio riferimento primario. Una evoluzione che anche sul fronte della sicurezza, porta l’It a chiedersi come organizzarsi per agevolare una strategia digitale incentrata sulle esigenze di business a partire da questa”.

L'articolo continua nella pagina successiva

*BRPAGE*

(segue dalla pagina precedente)

Riccardo Zanchi, partner di NetConsulting, infatti, ha mostrato alcune slide tratte dalla Cio Survey 2013 dalle quali risulta evidente l’aumento dell'incidenza dei progetti aziendali che abilitano la digitalizzazione, in particolare di progetti di social enterprise, Ucc, Big data, cloud computing, mobile, Internet of Things (IoT). “A fronte di tali modelli evolutivi (perché tali dobbiamo definirli in quanto si tratta di scelte tecnologiche inserite però in nuovi disegni di business) – sottolinea Zanchi – c’è però da chiedersi quale sia la sicurezza a supporto: una strategia di security, oggi, non può prescindere da una strategia di business, anzi è proprio che si deve strutturare”.

La centralità dell’application security

Riccardo Zanchi, partner di NetConsulting

Dalle indagini di NetConsulting, così come dalle altre società di analisi internazionali, risulta ormai evidente che oggi i gateway digitali verso le applicazioni sono le principali fonti della perdita di dati aziendali. Questo significa un vero e proprio cambio di prospettiva che porta alla centralità dell'application security nelle strategie di digital security. “Una strategia che deve tener conto della sicurezza e protezione di endpoint, network e dati”, osserva Zanchi.

“Il primo passo per mettere in protezione i dati e le risorse It aziendali è ottenere una visuale complessiva delle applicazioni utilizzate, del modo in cui ciascuna di esse viene impiegata dai singoli utenti o gruppi e dei contenuti che transitano – interviene René Bonvanie, chief marketing officer di Palo Alto Networks -. Da una nostra ricerca del 2011 abbiamo riscontrato che il 90% degli utenti utilizza Facebook in azienda (dato che abbiamo estratto dall’analisi dei network aziendali), anche se la maggior parte degli intervistati aveva dichiarato di non utilizzarlo. Lo stesso dicasi per il peer-to-peer, il file sharing, Skype, l’instant messaging e così via: gli utenti affermavano di non usare questi strumenti, ma dall’analisi della rete era evidente che il 70/75% mentiva. Una volta accertato ciò che realmente avviene sul network aziendale, l’atteggiamento tipico delle imprese è quello di bloccare tutte le applicazioni, ma dalla nostra prospettiva non è l’atteggiamento migliore, soprattutto perché fenomeni come la consumerizzazione It, la mobility, il cloud e il social aprono oggettivamente nuove opportunità di business”.

René Bonvanie, chief marketing officer di Palo Alto Networks

Opportunità che vanno colte nella massima sicurezza dato che i rischi per le aziende sono moltissimi e vanno mitigati. “Ogni realtà deve trovare il proprio bilanciamento tra produttività e sicurezza – afferma Bonvanie – adottando la flessibilità e l’intelligenza delle nuove tecnologie, come ad esempio nell’ambito dei next generation intelligent firewall, che seguono i bisogni di business delle aziende e abilitano nuovi modelli di flexible security”.

“Le tecnologie di sicurezza tradizionali, a livello di network (che controllano il traffico Ip), non sono più efficaci perché ignorano del tutto l’utente e come questi utilizza le applicazioni (quindi con quale impatto sulla rete) – spiega ancora Bonvanie -. Ciò che serve oggi è un approccio integrato per bilanciare le esigenze di produttività (supportate dalla digitalizzazione accelerata dai fenomeni che abbiamo citato: consumerizzazione, mobility, cloud, social) con la necessità di proteggere i dati e gli asset aziendali, passando da una visione di ‘remediation’ a una di ‘proattività’ focalizzando le strategie sulla protezione degli utenti e dei servizi applicativi”.

Mobile: non solo tecnologia, ma governance

Silvio Fistetto, security manager di Enel Servizi

Diverse le problematiche che stanno affrontando oggi le aziende, ma comune la visione che porta a ragionare prima di tutto sulla governance. Una testimonianza arriva da Silvio Fistetto, security manager di Enel Servizi che spiega come, in questo momento, due siano le problematiche affrontate all’interno della sua realtà aziendale: “da un lato dobbiamo intervenire sul fronte dell’evoluzione applicativa (la fruizione via mobile è sempre più spinta), dall’altro dobbiamo ragionare sull’utilizzo dei device personali. La criticità è legata alla commistione delle applicazioni private degli utenti con quelle aziendali fruite dai propri device personali; dobbiamo impedire che i dati aziendali siano compromessi e questo significa non soltanto intervenire per bloccare gli attacchi esterni, ma anche sul comportamento degli utenti, non necessariamente doloso, ma che, anche per semplice non curanza o non conoscenza, potrebbe causare gravi danni all’azienda”.

Tale necessità implica una revisione importante delle policy di sicurezza con conseguente cambio organizzativo piuttosto impattante, soprattutto in un’azienda come Enel che conta 30mila utenti interni. “Per ora è l’azienda che sceglie i dispositivi da fornire a determinati utenti aziendali – spiega Fistetto –, ma non intendiamo bloccare il Byod, quindi stiamo valutando una strategia che ci consenta di controllare e gestire anche i device personali. Alla base però serve una chiara strategia di governance complessiva che tenga conto di tutti gli aspetti, anche dei cambi organizzativi e del change management necessario”.

Laura Milano Vieusseux, responsabile sviluppo applicativo dei Sistemi Informativi di Edipower

Che il mobile spinga verso un ripensamento delle politiche di sicurezza lo conferma anche Laura Milano Vieusseux, responsabile sviluppo applicativo dei Sistemi Informativi di Edipower che ribadisce l’importanza del change management per guidare correttamente il cambiamento. “Edipower ha solo clienti interni ma questo non significa che il mobile non ci riguardi – sostiene la manager -. Tutt’altro. Nel nostro disegno It le applicazioni rappresentano servizi con i quali fruire e condividere informazioni, soprattutto se guardiamo al mondo degli impianti produttivi. Le applicazioni mobili, in questa direzione, rappresentano un’importante opportunità, ma per l’It implica un irrobustimento del controllo e della sicurezza proprio a livello applicativo per evitare di compromettere o perdere i dati. Una security strategy che, per ora, focalizza l’attenzione sulle applicazioni aziendali: le applicazioni di derivazione consumer sono vietate ma è chiaro che i fenomeni alle porte potrebbero portarci a valutazioni diverse”.

Antonio Iannuzzi, country manager Italia di Paolo Alto Networks

“L’esigenza applicativa è quella che spinge verso nuove frontiere che necessitano però di altrettanto nuove strategie di sicurezza – interviene Antonio Iannuzzi, country manager Italia di Paolo Alto Networks -. L’elemento di visibilità è fondamentale per iniziare a capire le nuove vulnerabilità e le minacce, nonché a comprendere i rischi; solo attraverso una visione chiara dell’utilizzo delle applicazioni e delle reali necessità di business si riesce a disegnare un’opportuna strategia di sicurezza”.

Approccio alla mitigazione del rischio

Leonardo Casubolo, chief security officer di Kion Group

“Serve un cambio di passo su compliance e formazione delle persone – interviene Leonardo Casubolo, chief security officer di Kion Group -. È fondamentale creare la giusta sensibilità per evitare che nei comportamenti degli utenti vi siano errori che innescano vulnerabilità”. Una visione che, secondo Casubolo, sposta l’attenzione sul concetto di mitigazione del rischio. “Nel nostro caso, ad esempio, stiamo valutando una nuova security strategy che superi l’approccio al proxy non più efficace sia rispetto alle nuove minacce sia rispetto al ruolo dell’It di abilitare servizi a valore per il business – evidenzia Casubolo -. Il nostro approccio è quindi orientato alla misurazione del valore del servizio, dove rientra la valutazione del rischio (inteso anche come rischio del ‘non fare’), dal quale deriviamo quindi sia la strategia di erogazione del servizio sia la relativa sicurezza. Una visione che necessita però di una chiara governance strategica alle spalle che guardi anche alle infrastrutture e al loro adeguamento rispetto alle esigenze aziendali”.

Luca Fioletti, responsabile area canali di Banca Popolare di Sondrio

Ritorna sul fronte della formazione e del concetto di rischio anche Luca Fioletti, responsabile area canali di Banca Popolare di Sondrio che parla di tutela: “è fondamentale che l’istituto si tuteli da tutto ciò che entra pesantemente in azienda e che potrebbe rivelarsi un rischio per il business. Tutela significa fare formazione agli utenti innescando però anche processi di controllo che richiedono quindi un cambio di prospettiva anche sul fronte organizzativo. La mobility in questo senso complica di molto le cose e costringe a una ridefinizione marcata delle politiche di sicurezza, che però devono sempre riferirsi al business: l’approccio ideale è riuscire a bilanciare opportunità e rischi, ma sul fronte tecnologico significa ragionare su vari livelli di sicurezza (per esempio tra il livello applicativo e il backend)”.

Visione sull’utente

Ettore Galasso, responsabile area servizi web e di manifestazione di Fiera Milano

Come abbiamo visto, l’utilizzo di strumenti mobile, cloud, social e di vari servizi di derivazione consumer sta drammaticamente cambiando il modo di lavorare delle aziende con un impatto non banale sul fronte della sicurezza. Lo conferma anche Ettore Galasso, responsabile area servizi web e di manifestazione di Fiera Milano che, raccontando l’importante cambio aziendale in atto verso l’erogazione di servizi digitali in modalità sempre più proattiva, sottolinea “il necessario cambio di prospettiva rispetto alle problematiche di sicurezza”. “Gli utenti sono in genere più veloci delle policy aziendali nel cambiare strumenti di lavoro, tecnologie e nel richiedere servizi – osserva Galasso -. Per evitare di essere sempre alla rincorsa per mitigare i rischi, è fondamentale capire preventivamente quali sono le esigenze più rilevanti per gli utenti per studiare gli strumenti (sicuri e gestiti) più idonei che abilitino ciò che realmente serve loro (e quindi alla produttività del business)”.

“Altro importantissimo tema, che non può essere affatto trascurato, è la sicurezza intrinseca delle applicazioni che assume una criticità maggiore se lo sviluppo delle soluzioni è demandato all’esterno”, aggiunge ancora Galasso.

Paulo Morais, Cio di Prysmian Cavi Energia e Sistemi Italia

“La produttività è un concetto molto ampio, ma, di fatto, è la priorità numero uno per il business – incalza Paulo Morais, Cio di Prysmian Cavi Energia e Sistemi Italia -. Le richieste degli utenti, quindi, hanno solitamente la priorità perché direttamente collegate alla produttività del business. Tuttavia, i fabbisogni dei dipendenti devono sempre essere giustificati dalle reali necessità dell’azienda, che deve ottenere un ritorno, un valore concreto; il nostro approccio, infatti, è fornire strumenti abilitanti rispetto a fabbisogni effettivi, il che non significa bloccare l’utilizzo di determinate app o di servizi esterni, ma piuttosto valutarne davvero gli impatti, i rischi, le esigenze di sicurezza”.

Su questo fronte serve dunque, ancora una volta, una forte concentrazione sull’education perché non sempre gli utenti sono consci dei rischi derivanti dall’utilizzo degli strumenti tecnologici. “Tuttavia i fabbisogni individuali stanno sempre più convergendo con i fabbisogni aziendali e non possiamo non tenerne conto”, conclude Morais.


Palo Alto Networks: il firewall è 2.0

Identificare le applicazioni indipendentemente dall’utilizzo di porte, protocolli, Ssl encryption o qualunque altra tattica evasiva. È ciò che consentono di fare i firewall 2.0 di nuova generazione lanciati sul mercato da Palo Alto Networks. La tecnologia studiata dalla società americana consente di avere visibilità e controllo delle applicazioni Internet usate in rete grazie a una nuova piattaforma firewall che classifica il traffico basandosi sull’identificazione esatta dell’applicazione e del suo comportamento (indipendentemente dalle porte o dai protocolli di comunicazione utilizzati). Di fatto, la tecnologia lavora sull’identificazione delle applicazioni, permettendo il controllo e la visibilità su tutto il traffico Ip che transita nella Lan attraverso differenti tool: App-ID per l’identificazione delle applicazioni che classifica il traffico senza preoccuparsi di protocollo utilizzato, porte, encryption Ssl o tecniche evasive; User-ID e Content-ID per classificare gli utenti e i contenuti che transitano sulle applicazioni, in modo da poterne valutare la disponibilità o l’eventuale blocco; FlashMatch, motore in tempo reale di prevenzione del pericolo che blocca virus, spyware e vulnerabilità delle applicazioni in un unico processo; infine, una piattaforma dedicata con processori dedicati e risorse per migliorare le performance delle funzioni di sicurezza, networking, prevenzione e vulnerabilità e gestione della bassa latenza con un massimo carico di lavoro.

Recentemente l’azienda ha anche lanciato il dispositivo WildFire-500 (WF-500), un apparato per ambienti cloud privati che permette di individuare gli attacchi Apt (Advanced persistent threat). In abbinamento a un firewall next-generation, afferma la società, è in grado di garantire una prevenzione completa da attacchi con la rilevazione e l’analisi di tutto il traffico della rete e la capacità di bloccare in automatico malware e Apt.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati

Articolo 1 di 2