Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Telecom Italia, il valore della security

pittogramma Zerouno

Telecom Italia, il valore della security

23 Giu 2009

di Giampiero Carli Ballola

Ecco il percorso effettuato dal maggior operatore Tlc italiano per adeguare i propri sistemi alle misure di sicurezza previste a protezione dell’integrità e della riservatezza dei dati personali. Ce lo illustra Giovanni Ciminari (nella foto), responsabile Security Engineering di Telecom Italia. Un sistema di Identity Access Management che, per gli aspetti qualitativi e quantitativi presentati, costituisce un esempio pressoché unico nel settore e la cui realizzazione ha dato all’impresa un prezioso capitale di conoscenza.

Telecom Italia non è certamente un’azienda che abbia bisogno di essere presentata più di tanto ai lettori. Numero uno delle Tlc in Italia, gestisce decine di milioni di linee telefoniche, fisse e mobili. Ciò può chiarire le idee, se non altro, sulla dimensione dei problemi che un grande operatore Tlc deve ogni giorno affrontare e risolvere. Infatti, anche se si dice spesso (e noi siamo i primi a sostenerlo) che le problematiche di una piccola o media industria non sono, dal punto di vista della qualità, molto diverse da quelle di una grande realtà, quando poi bisogna passare dall’analisi dei problemi alla loro soluzione la quantità conta. 

Per quel che riguarda l’esperienza di cui andiamo a parlare, gestire le linee telefoniche significa anche custodire e proteggere l’insieme dei dati che si genera ogni volta che facciamo o riceviamo una chiamata sul telefono o sul cellulare, mandiamo o riceviamo un messaggio, ci connettiamo ad un sito Web, inviamo o riceviamo una mail e così via. In breve: ogni volta che usufruiamo di uno dei tanti servizi di Tlc abilitati dalla tecnologia ed escogitati dal marketing per emergere in un mercato che si fa sempre più competitivo.
   
Un petabyte di dati sensibili
Che questi dati siano sensibili è evidente: ognuna delle azioni di cui si è detto avviene tramite un’operazione che lascia una “traccia digitale” in grado di rivelare una quantità di cose. Non solo, come è ovvio, parlano di noi i contenuti delle conversazioni, delle mail, dei messaggi e dei siti Web visitati, ma sono sensibili e vanno protetti, in quanto identificativi del contatto, anche i cosiddetti dati di traffico, cioè i numeri telefonici del chiamante e del chiamato, gli indirizzi Ip sorgente e destinazione e data ora e durata della comunicazione. Sono informazioni che, necessarie per l’erogazione del servizio (billing, troubleshooting, Customer Care,etc.), devono essere custodite con estrema cautela 
Prima le normative del settore, poi provvedimenti di legge conformi alle normative europee sulla protezione dei dati personali, da tre anni hanno introdotto una serie di restrizioni all’accesso ai sistemi informatici da parte degli stessi amministratori di sistema. 
Telecom Italia, il valore <br>della securityCome ricorda Giovanni Ciminari, responsabile Security Engineering di Telecom Italia, ”Nel 2006 l’Authority per la privacy emise un provvedimento che alzava in modo deciso l’asticella dei requirement. Il fatto di essere stati i primi a partire ci dà ora un significativo vantaggio”. La richiesta dell’Authority era di tracciare ogni attività degli addetti It, cioè di chiunque, come dice Ciminari, “abbia le chiavi di casa” dei sistemi di Telecom Italia, in modo non solo da impedire ogni accesso non autorizzato ma da avere una completa documentazione, dettagliata fino alla singola transazione, del loro operato. Inoltre, cosa importante, la tracciatura doveva essere, come si dice, “oggetto di non ripudiabilità”, cioè fatta in modo da non poter essere respinta o non riconosciuta dalla persona tracciata.
Una cosa semplice a dirsi ma molto difficile a farsi quando i sistemi interessati sono alcune migliaia, sui quali girano centinaia di applicazioni di business che trattano dati di traffico; con oltre 300 mila transazioni da autenticare e tracciare al giorno, e il volume dei dati da proteggere e conservare nei termini prescritti dalla legge è dell’ordine del petabyte. E ancora più difficile a farsi nei limiti di tempo a disposizione per effettuare l’adeguamento, che erano di 120 giorni.
   
Servizio sicuro ma non rallentato
Fortunatamente, Telecom Italia non partiva da zero. Vi erano piattaforme di Iam (Identity & Access Management) che, con un approccio lungimirante, erano già state poste in servizio e tra queste un ruolo importante l’aveva Ca SiteMinder Web Access Manager, adottato sin dal 2003 a garanzia di un accesso sicuro online alle applicazioni business da parte degli utenti interni. Occorre però premettere, come ricorda ancora Ciminari, che per com’era strutturata al tempo la società vi erano due aree di attività che incidevano sul mondo It: una orientata al supporto del business e una all’operatività e al governo della rete, per il controllo delle quali erano state scelte soluzioni di Iam che non erano omogenee tra loro. Era però un consistente ‘primo mattone’, che trasformava il problema nella necessità di razionalizzare le soluzioni esistenti per passare poi verso una terza tecnologia che potesse riunire i pregi di entrambe, e questa venne identificata in Ca Access Control.
“Nell’analisi di Ca Access Control – prosegue Ciminari – siamo stati prima di tutto molto bene impressionati dalla capacità di copertura delle diverse piattaforme, dato che Telecom Italia ha un parco installato che sposa tutte le principali tecnologie, da Solaris a Hp Ux, da Aix a Windows e Linux Red Hat. Poi, ancora più importante, dal fatto che nel momento in cui siamo andati a fare il deployment della soluzione sui server, Ca Access Control ha garantito un impatto sull’operatività degli stessi estremamente limitato”. Una dote preziosa, se si considera che controlli e registrazioni non possono avere un overhead sui sistemi tale da abbassare la qualità del servizio. “E’ stata quindi – conclude Ciminari – una grande soddisfazione l’aver inserito una tecnologia che dal punto di vista della copertura dei requisiti riteniamo assolutamente valida e averlo fatto preservando intatta l’operatività dei nostri sistemi”.
Le soluzioni di Iam hanno infatti interazioni molto forti con il sistema operativo, del quale vanno a sostituire alcuni moduli del kernel. C’è quindi sempre il rischio che vadano ad impattare sensibilmente sull’operatività del Data Center. “Ovviamente – aggiunge Ciminari – trattandosi di qualcosa molto vicino alle funzioni di base del sistema operativo, un maggior carico di lavoro sui sistemi c’è stato, ma inferiore al 10% e questo lo riteniamo un grande plus della soluzione adottata”.
   
Fare squadra per fare in tempo
Come si è detto, il progetto venne avviato nell’estate del 2006 e realizzato entro il termine di 120 giorni. Una vera sfida (“c’era di mezzo anche l’agosto”, ricorda Ciminari) che però, come talvolta succede, creò uno spirito di squadra capace di cementare gli sforzi sia dei gruppi responsabili dell’ingegneria del progetto [quelli che fanno capo a Ciminari – ndr], sia di quelli responsabili della messa in campo ed esercizio delle soluzioni. E nonostante la maggior pressione sulla funzione It dovuta alla necessità di mettere a punto anche i servizi a supporto delle varie operazioni di marketing che si fanno a fine anno, l’obiettivo venne centrato. Ma non era finita.
Nel 2008 infatti è stato emesso un nuovo decreto dell’Authority che prevede una ‘strong authentication’ a due fattori sia per gli utenti interni sia per gli amministratori dei sistemi informativi. Dovendo inserire questa funzionalità su un parco di centinaia di applicazioni implementate in ambienti e sistemi diversi, Telecom Italia ha adottato varie soluzioni. Le due più diffuse, e conformi alle specifiche dell’Authority, sono basate fondamentalmente  su chiavi digitali mantenute su chiavetta Usb eventualmente sbloccabili dalla lettura di impronte digitali; quest’ultima in particolare è prevista per i trattamenti di dati più critici. Anche qui, la principale sfida è il tempo. Ma non è l’unica. Mentre la comodità del single-sign-on è evidente a tutti, l’adozione della strong authentication viene accettata con qualche difficoltà da molti utenti. In particolare, i responsabili dei call center ed i loro operatori la percepiscono come una procedura che va ad incidere sul tempo di attesa del cliente, che è un parametro sul quale si misura la produttività del call center e la qualità del servizio. Un timore, secondo Ciminari, non del tutto giustificato, trattandosi di frazioni di secondo, ma che rappresenta comunque un problema che riguarda migliaia di persone e che va superato.
   
Un know-how che diventa business
La realizzazione dei progetti di cui abbiamo parlato, oltre a conformare l’operato di Telecom Italia alle normative del settore, ha portato all’impresa il vantaggio tangibile della riduzione del rischio operativo. Ma per quanto rilevante, in una realtà dove il maggior fattore di rischio è proprio quello derivante dall’attività quotidiana, questo vantaggio non è l’unico.
“Una volta acquisita familiarità con i nuovi strumenti di strong authentication – osserva Ciminari – c’è il vantaggio di avere un’autenticazione che non è più basata su password. Si evita quindi il problema di gestire il ciclo di vita delle password e ciò non solo semplifica la vita dell’utente ma riduce i costi delle operazioni per l’It. Inoltre l’utente finale può essere certo della sicurezza e riservatezza con la quale i suoi dati sono trattati”. E anche in questo caso sappiamo come un valore nominalmente intangibile come l’immagine di qualità globale (dell’impresa e del suo operato) che si crea presso gli ‘stakeholder’ si traduca alla fine in valori molto concreti. 
Un ultimo vantaggio, o per essere precisi, un’ultima opportunità che l’acquisita conformità apre a Telecom Italia, è quella di far leva sull’esperienza fatta per metterla a frutto nel creare nuovo business. “Seguendo chi propone i nostri servizi ai clienti corporate – spiega Ciminari – mi è capitato più volte di constatare come, specie in ambito Finance e Pubblica amministrazione, l’esperienza Telecom sia molto apprezzata e riconosciuta: c’è in Telecom un bagaglio di conoscenze maturato che abbiamo intenzione di sfruttare al meglio verso i nostri clienti”.

Giampiero Carli Ballola
Giornalista

Giampiero Carli-Ballola, nato nel 1942 e giornalista specialista in tecnologia, collabora con ZeroUno dal 1988. Segue i processi di digitalizzazione del business con particolare attenzione ai data center e alle architetture infrastrutturali, alle applicazioni big data e analitiche, alle soluzioni per l’automazione delle industrie e ai sistemi di sicurezza.

Articolo 1 di 5