Una questione di metodo

Lo studio di una soluzione di sicurezza è un’attività molto complessa, dove conoscenze tecniche, risorse e know-how vanno supportate da una metodologia capace di portare ad un progetto che non solo copra tutti gli aspetti del problema, ma li consideri nelle loro interrelazioni. Un’ ipotesi di metodologia

Pubblicato il 02 Giu 2004

La sicurezza delle soluzioni e dei sistemi informatici si caratterizza sempre più come componente nodale delle problematiche aziendali, perdendo la connotazione di strumento utile ma ‘accessorio’ avuta in passato a favore di una sempre più ampia considerazione in termini di strumento per realizzare gli obiettivi strategici dell’impresa. Parallelamente, gli It manager iniziano a ragionare nei suoi confronti in termini di investimento e non più di costo, come conseguenza di una cultura al riguardo che sta maturando.
Un aspetto fondamentale di tale evoluzione culturale è quello che intende la sicurezza come un problema globale e complesso, declinabile nelle singole componenti ma sempre in un’ottica di progetto complessivo. Tematiche distinte, quali la network security, la realizzazione di sistemi ‘robusti’ nei loro componenti, la protezione dai virus piuttosto che il controllo degli accessi sono intesi come singoli tasselli di un unico piano, che va opportunamente studiato in termini strategici, economici, organizzativi e funzionali.
È importante per un’azienda che vuole difendere la propria attività realizzare una soluzione completa, che includa assessment, analisi, progettazione e implementazione. Questo perché l’approccio alla sicurezza non si esaurisce nell’utilizzo di prodotti e servizi dedicati, ma è frutto di un concetto più esteso, che copre l’intera catena del valore di ogni azienda e si integra ad essa. In altre parole: elementi come la valutazione dei rischi e dell’impatto sul business, le procedure di sicurezza e la loro compliance alla politica aziendale, i controlli e la gestione degli incidenti e quant’altro ancora, non sono fini a sé stessi ma devono far parte del ciclo produttivo ed impattare su tutte le funzioni aziendali.
Possiamo quindi affermare che in questi anni sta cambiando l’approccio complessivo alla sicurezza indirizzandosi verso l’applicazione di un ‘metodo globale integrato’ per la creazione di una soluzione efficace. Si procede, secondo questo approcio, allo studio e alla pianificazione di un progetto complessivo che viene declinato in sottoprogetti tra loro sinergici e complementari, ai quali si applica iterativamente lo stesso metodo, lo stesso modus operandi.
Per fare un esempio, le differenze nello studio di un firewall, di un sistema d’identificazione e di una protezione antivirus si evidenziano solo nell’ultima fase dell’attività, quando si procede alla progettazione puntuale e all’implementazione della soluzione stessa, mentre le prime fasi di raccolta d’informazioni sul business e di assessment e analisi del rischio seguono lo schema generale, del quale in figura diamo un esempio volutamente molto semplificato.
È possibile parlare di metodo globale anche in riferimento alle dimensioni aziendali, in quanto esso si applica tanto a progetti complessi quanto a progetti semplici interessando aziende che vanno dalle piccole e medie imprese con una singola sede alle multinazionali presenti in decine di paesi. Tale modello è scalabile e adattabile alle specifiche esigenze pur mantenendo le proprie caratteristiche di generalità grazie alla copertura ad ampio spettro su tutti gli aspetti della sicurezza.

L’approccio ad un progetto integrato
Dopo una fase iniziale di raccolta informazioni sulle procedure aziendali e di valutazione dei rischi connessi, si procede con l’individuazione delle aree di intervento e dei sottoproblemi, quali per esempio la protezione dai virus, la protezione dagli attacchi esterni, la protezione dagli attacchi interni, il riconoscimento degli attacchi, il rispetto della normativa sulla privacy, il controllo degli accessi e così via. Questa fase, e quella successiva di studio dei singoli sottoproblemi, sono le più importanti per la produzione di una soluzione efficiente ed ottimizzata; poiché solo attraverso la minuziosa correlazione ed analisi delle informazioni precedentemente raccolte è possibile portare ogni elemento, sia esso un server piuttosto che un segmento di rete o il Pc di un qualsiasi dipendente, al livello di protezione desiderato con il minor dispendio di risorse.
Per fare un esempio pratico, è inutile installare un costoso firewall di front-end dalle elevate prestazioni e indicato per configurazioni molto complesse se si installa anche un proxy come unico punto di accesso ad Internet per gli utenti sulla Lan aziendale e se nell’area che sta fra la rete interna protetta e l’internet pubblica (che nel gergo del Web si chiama DMZ, ovvero ‘zona demilitarizzata’ e che di regola contiene i server Web ed Ftp e i mail server) ci sono esclusivamente poche informazioni non business critical, magari utilizzate in prevalenza dagli utenti interni.
Ogni sottoproblema viene quindi studiato applicando nuovamente il metodo illustrato, cioè affrontando ogni passo secondo uno schema ad albero (vedi figura) che ne parcellizza i singoli aspetti. Questi andranno poi risolti tenendo sempre in considerazione anche gli altri sottoproblemi, in un’ottica di perfetta sinergia ed eventualmente operando in modo retroattivo, cioè andando a toccare anche quanto fatto ‘a monte’ del sottoproblema che si va a risolvere.

Schema di realizzazione di una soluzione di sicurezza integrata
La figura mostra come la fase di individuazione generale delle aree d’intervento e dei sottoproblemi si ‘espanda’ in un diagramma che rappresenta questi sottoproblemi ordinati per tipologia, area e risorse aziendali, in modo da individuare i punti da coprire con soluzioni specifiche. Ad esempio, nel disegno, le aree colorate sono quelle interessate al sottoproblema ‘virus’

Fonte: ZeroUno

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati