ABU DHABI – L’Emirates Palace, un sontuoso e massiccio palazzo in stile arabeggiante edificato su una collina artificiale che fronteggia i grattacieli dalle superfici a specchio e dalle forme bizzarre che sono il più recente simbolo dell’Emirato, ha ospitato nella prima settimana di novembre l’edizione 2015 della RSA Conference. Come si ricorderà, sotto il ‘brand’ Rsa operano due realtà strettamente integrate ma diverse tra loro.
La prima è la Security Division di Emc, che nel 2006 ha acquisito la società fondata nei primi anni ’80 da tre ricercatori del MIT (Rivest, Shamir e Adleman, da cui l’acronimo) per sfruttare l’algoritmo a chiave pubblica-privata da loro sviluppato partendo da un modello ideato dai crittologi Diffie e Hellman. Oggi Rsa presenta un’offerta di security a tutto campo, con sistemi di criptazione e gestione dei token e delle chiavi, di autenticazione e controllo degli accessi, di prevenzione delle frodi e di gestione della compliance e del rischio, oltre a servizi di consulenza e professionali.
La seconda realtà è invece quella di un’organizzazione non-profit impegnata nel proporre e sviluppare una ‘filosofia’ della sicurezza presso enti governativi, pubbliche amministrazioni e imprese private. Con l’attenzione particolare alla sicurezza della Rete (e di conseguenza del cloud) che le deriva dall’essere, nella veste di fornitore, coinvolta nelle tecnologie di sicurezza delle transazioni on-line e della firma digitale.
Rsa super partes
Questa premessa per spiegare come la Rsa Conference sia qualcosa di diverso rispetto agli analoghi eventi tenuti da altri vendor, per quanto importanti essi siano. È infatti un punto d’incontro rivolto a chi, nello Stato come nell’impresa, guarda alla sicurezza in tutte le sue forme, ne individua i problemi e ne propone le soluzioni prescindendo dall’offerta del mercato. Per la quale ci sono gli incontri con i fornitori presenti agli stand dell’area espositiva (una trentina quest’anno, compresa la stessa Rsa) e le oltre cinquanta ‘track session’ di approfondimento tecnologico.
Amit Yoran, presidente di Rsa, durante il suo KeynoteQuest’anno l’aspetto di conferenza super partes è stato accentuato dalla scelta della sede. Abu Dhabi è infatti il luogo dal quale è partita la paziente azione diplomatica che ha portato alla nascita, nel 1971, degli Emirati Arabi Uniti e, più della vicina Dubai, incarna il ruolo di guida politica e centro di potere. E, come ha detto Amit Yoran, presidente Rsa, nel salutare i padroni di casa: “non c’è oggi un paese come l’Arabia dove le nuove tecnologie saturino più rapidamente il mercato”. E dove, aggiungiamo noi, la sicurezza a difesa di un’economia rampante ma fragile (prima o poi il petrolio finirà…) sia più chiara alla classe dirigente.
Tre cose da cambiare
Tema generale della conferenza è stato il cambiamento. Nel senso che per affrontare i rischi portati dal web 2.0, dalla mobilità, dalle reti sociali, dal cloud e da quant’altro in pochi anni c’è bisogno di un nuovo modo di vedere la sicurezza. Tre sono le cose da cambiare: l’architettura dei sistemi di security, il modello dei servizi cloud e, soprattutto, l’approccio al problema. Il cambiamento su quest’ultimo punto, che è strettamente legato al cambiamento degli altri due, nasce dal fatto che con la connettività globale (tutti connessi a tutti e a tutto) e l’Internet of Things, il quadro delle minacce oggi si estende a persone, luoghi e cose ed il concetto di approccio olistico alla sicurezza assume una nuova dimensione. Stante la pratica impossibilità di impedire ogni attacco, lo scopo diventa quindi quello d’impedire o ridurre i danni riducendo il tempo tra l’attacco e i suoi effetti. Perciò occorre che tutti i dati su persone, luoghi e cose stiano in uno stesso posto e siano ugualmente accessibili (sul modello ‘data lake’, per intenderci) e che si possano analizzare in tempo reale o quasi con le tipiche tecnologie dei big data. In particolare, l’uso delle big data analytics e delle tecnologie semantiche, concepite per trattare dati di fonti e formati diversi e analizzare dati tabellari assieme a stream-data e dati non strutturati, è considerato fondamentale sia per la risposta sia per la prevenzione delle minacce.
Bob Griffin, Chief Security Architect di Rsa, durante il suo interventoQuanto ai sistemi, la constatazione che “il sistema è la rete”, e che questa va dal data center ai dispositivi degli utenti finali porta a rivedere un modello che interpone le soluzioni di sicurezza tra un centro che fornisce servizi e una periferia che ne fa uso. La sicurezza invece “dev’essere circolare”, distribuita tra il data center, virtualizzato e software-defined, e gli end point (pc, tablet e smartphone). Su questi elementi, visti come nodi di un unico sistema, agiscono le funzioni di autenticazione degli utenti, con sistemi biometrici, e di crittazione e decrittazione dei messaggi.
Infine, il cloud. Su questo punto, oltre a quanto detto dai ‘keynote speaker’ abbiamo anche parlato con Bob Griffin, Chief Security Architect di Rsa. In primo luogo, un service provider deve poter fornire un ‘trusted cloud’ che garantisca non solo la protezione dell’accesso, della segretezza e dell’integrità dei dati, ma anche la trasparenza sulle operazioni e la loro conformità alle leggi e ai regolamenti che le riguardano. Ciò detto, anche nel caso di un cloud ragionevolmente sicuro (nella sicurezza non esiste l’assoluto), restano i rischi delle connessioni wireless, alle quali non si può rinunciare, e dell’accesso dai social network: “Non è difficile creare una falsa rete wireless e gli account Facebook, dai quali leggere le e-mail, si vendono per pochi dollari”. Per questo, Griffin consiglia di implementare un sistema ibrido, gestendo i dati più importanti via Vpn su cloud privato o tenendoli ‘in casa’. Naturalmente, si perderà in facilità d’uso e questo agli utenti potrà non piacere. “Bisogna quindi – conclude Griffin – limitarsi all’indispensabile, avendo una chiara visione di ciò che vale e ciò che vale meno”.
Nuovo Archer GCR: più facile per tuttiNel rispetto dello spirito non commerciale della Conference, Rsa si è limitata a presentare la nuova versione di Archer GRC, la propria piattaforma di Governance, Risk management e Compliance, tramite un comunicato inviato ai giornalisti e blogger presenti. Ricordiamo che il software Archer permette di creare nuove applicazioni di sicurezza e di adattare quelle già presenti secondo le esigenze e soprattutto i processi organizzativi della singola impresa utente. Pertanto, definisce e automatizza i workflow di gestione di contenuti, stati, attività e autorizzazioni; fornisce report personalizzabili e dashboard di sintesi di questi quattro elementi e automatizza il movimento dei dati relativi a rischi e conformità normativa sui sistemi aziendali in funzione delle analisi e delle attività di process management. Nella nuova release del software, tutti questi aspetti sono stati variamente perfezionati nell’ottica di abilitare una gestione del rischio decentralizzata e trasversale all’operatività dell’intera azienda. Soprattutto, si è realizzata una interfaccia utente task-driven che permette agli utenti di quelle che Rsa chiama le ‘”tre linee di difesa”: business unit, risk management e auditing team, di focalizzarsi sui compiti più urgenti, siano essi per scadenze imposte o per impatto sul business. Di conseguenza, anche le funzioni di workflow del nuovo software sono rapidamente riconfigurabili per permettere agli utenti, soprattutto sul lato business, di intervenire sui processi di gestione del rischio senza intervenire sul codice. |
