Con queste soluzioni la IT consumerization non fa più paura

L’It consumerization è un fenomeno di crescente diffusione e i suoi impatti sulla sicurezza rappresentano delle vere e proprie sfide per i responsabili It. Abbiamo allora chiesto ad alcuni vendor di soluzioni per la security, la governance e la compliance, di raccontarci la loro visione su questa nuova

tendenza e alcune delle loro proposte concrete per rendere la consumerizzazione dell’It non un mal di testa ma un’opportunità.

“Dal nostro osservatorio – racconta Elio Molteni, Solution Strategist di Ca Technologies Italia – abbiamo rilevato che le prime aziende a riportare fenomeni del mondo consumer in quello professionale sono state quelle dei settori Finance e Telco. Anche in questo caso, come emerso con l’adozione del cloud computing, il timore per la sicurezza è risultato uno dei principali fattori di freno dell’innovazione”.

Da dove nasce e come si sviluppa la consumerizzazione dell’It?

“In base alle nostre esperienze – risponde Andrea Bellinzaghi, Technical manager di Check Point Software Italia – l’It consumerization copre essenzialmente due ambiti. Il primo è quello dei device mobili: ci capita sempre più spesso di incontrare i responsabili di sicurezza delle aziende alle prese con la definizione di politiche di sicurezza per l’utilizzo dei dispositivi degli utenti in azienda. Il secondo è quello del sempre maggiore utilizzo di applicazioni e strumenti nati per il mercato consumer negli ambienti di lavoro. Twitter, Facebook, LinkedIn, YouTube, Dropbox sono solo alcuni degli esempi di consumerization presenti nelle nostre aziende, dove strumenti consumer sono utilizzati per condividere, diffondere e promuovere le informazioni aziendali”.

L’utilizzo di tecnologie di derivazione consumer nelle imprese va a braccetto con un’altra tendenza: il dissolvimento dei confini fra vita lavorativa e vita privata. Se da un punto di vista della produttività questo fenomeno può costituire un vantaggio, da quello della sicurezza è proprio qui che troviamo una delle prime cause di criticità da affrontare da parte dei responsabili dell’It.

“Una delle conseguenze dell’It consumerization – spiega Marco Bavazzano, director Security Strategist Mediterranean Region presso Symantec Italia, “è la crescente commistione fra dati personali e aziendali.

Quando un dipendente in vacanza si collega a una rete wifi pubblica con il suo tablet utilizzato anche per motivi di lavoro, c’è il rischio che i dati business memorizzati sul suo dispositivo possano essere acceduti da persone non autorizzate”. “L’It consumerization – fa eco Massimo Vulpiani, country manager Rsa Italia – ha portato l’utente a considerare normale avere con sé un dispositivo con cui interagire sia in ambito privato che lavorativo con celerità e semplicità. Ciò ha spostato il confine fisico delle aziende, fino a rendere le persone il nuovo demarcatore dei perimetri aziendali.

Pensando alla mobilità delle proprie risorse, questa è sicuramente un’opportunità per le aziende per incrementare la produttività personale. D’altro canto gli impatti sulla sicurezza sono importanti, sia per l’esposizione di dati aziendali all’esterno dei confini canonici, con rischi di perdita di dati sensibili, sia per l’appetibilità che i dispositivi mobili esercitano sui fraudster che stanno concentrando su questi dispositivi la loro attenzione, considerata la diffusione in forte crescita”.

Quali sono le tematiche prioritarie dell’It security con riferimento al fenomeno della consumerizzazione?

“Per Hp – risponde Antonio Marsico, Security & Risk Management Practice manager Technology Services alla sede italiana del vendor – è importante la combinazione di persone, processi e tecnologie in una soluzione integrata di sicurezza, per ridurre i rischi e poter gestire la compliance a requisiti normativi e organizzativi. La consumerizzazione porta i Cio a rivedere i modelli di sicurezza tradizionali, ridisegnando l’evoluzione dei sistemi di Identity e Access Management. Hp ArcSight IdView consente di far evolvere l’Iam verso un potente sistema di correlazione che consente di capire chi è in rete, quali sono i dati acceduti e le azioni sui quei dati”. Sono d’accordo sia Vulpiani di Rsa sia Molteni di Ca: “È indispensabile affiancare ai classici modelli a ruoli (Rbac, Abac,…) – precisa il primo – sistemi di Identity Protection e Verification (Ipv) al passo con la flessibilità e la dinamicità cui gli utenti si sono presto abituati con lo stile Bring your own device (Byod). Dobbiamo quindi superare il limite dei permessi attribuiti staticamente alle identità per evolvere verso approcci risk-based capaci di valutare istantaneamente i rischi in funzione delle azioni che l’utente sta compiendo, del contesto operativo e dell’analisi comportamentale dell’utente stesso”. “Nell’affrontare l’It consumerization – afferma Molteni – occorre tenere presente due aspetti. Il primo è il tipo di device, rispetto al quale bisogna analizzare, per esempio, la modalità di user identification, la possibilità di cancellare le informazioni in caso di furto, come sono testate le applicazioni e così via. Il secondo è il processo di Identity e Access Management. La consumerizzazione impone maggiore attenzione alla strong authentication e alla gestione delle autorizzazioni di accesso. Un processo che non può essere attuato una sola volta all’anno. Non bisogna poi dimenticarsi degli utenti privilegiati. Anche nei loro confronti serve una più attenta verifica del contesto operativo in cui accedono ai sistemi. Ultimo ma non meno importante, è l’aspetto del reporting, necessario per audit sia interni che esterni”.

Dal controllo degli accessi effettuati con device eterogenei, al monitoraggio dell’utilizzo di social media e risorse “in the cloud”.

“Tradizionalmente – sostiene Giovanni Todaro, Security System manager di Ibm Italia – erano i firewall a controllare l’accesso alle applicazioni. Oggi i firewall sono più limitati nel controllo che possono fornire perché le applicazioni possono, ad esempio, cambiare porta/protocollo, se non riescono a comunicare. Inoltre, sono spesso nascoste mediante il tunneling in altri protocolli come http o con una sessione Ssl”. “Fornire visibilità sugli accessi alle applicazioni e controllare gli utenti – aggiunge poi – è possibile attraverso la convergenza di tre tecnologie chiave di sicurezza: identità, accesso e gestione delle minacce. Per identificare queste ultime è utile la Deep Packet Inspection (Dpi), una tecnologia già nota e utilizzata a livello di rete (intrusion prevention). Applicandola anche a livello applicativo, diventa possibile determinare quali applicazioni (sia web e non web) siano in uso e da chi. La sostanziale novità della soluzione Ibm Identity Access Manager sta nell’offrire un cruscotto integrato che riesce a dare un’unica visione di tutti questi aspetti, grazie a un approccio predittivo integrato a supporto delle esigenze aziendali. L’Ibm Identity Access Manager è una delle soluzioni di sicurezza nel portfolio della nuova divisione Ibm Security Systems, che ha consolidato le soluzioni Ibm Tivoli, Ibm Rational e il software Q1 Labs, di recente acquisizione, che raccoglie e analizza informazioni provenienti da centinaia di fonti in tutta l’organizzazione per segnalare eventi sospetti o anomali”.

Oltre che rafforzare le mura della cittadella dove si trovano i server, le applicazioni e i dati critici dell’azienda, non si può prescindere da una messa in sicurezza dei device, sia di quelli acquistati e gestiti dall’impresa sia di quelli più correlati al fenomeno Byod. “Uno dei nostri punti di forza – interviene Bavazzano di Symantec – è la forte focalizzazione anche sulla protezione del dispositivo. Un esempio è la tecnologia di Data Loss Prevention. Nel corso di quest’anno lanceremo una soluzione di Dlp per l’iPad. Un altro nostro ambito di eccellenza è la cifratura dei dati presenti sui dispositivi. Un’azienda può non opporsi all’uso dei device personali ma chiedere ai dipendenti di sottostare ad alcune regole, fra le quali l’installazione di applicazioni Dlp. Grazie alla Dlp, per esempio, è possibile impedire la copiatura di dati aziendali su Facebook”.

“La tecnologia Dlp – conferma Vulpiani di Rsa – riveste un ruolo fondamentale per la tutela dei dati, ma è soprattutto uno strumento per rendere consapevoli gli utenti del rischio indotto in azienda da un uso incauto di informazioni sensibili”. Un’affermazione che testimonia anche l’importanza fondamentale della formazione degli utenti. Conclude Bellinzaghi di Check Point: “Dai dati in nostro possesso, abbiamo visto che il fenomeno della consumerization nell’ambito dei device mobili nasce soprattutto da esigenze del management. Questo dato aumenta ancora di più l’esigenza di sicurezza sottesa al fenomeno. Le tecnologie introdotte da Check Point in questo ambito hanno un’importanza fondamentale. Le software blade che abbiamo sviluppato, come soluzioni di Data Loss Prevention (Dlp), Mobile Access, Web 2.0 Control, permettono di definire politiche di sicurezza granulari che aiutano l’azienda a controllare e proteggere i processi aziendali e sviluppare il business”. Che dovrebbe diventare sempre di più l’obiettivo dell’It consumerization in previsione del quale destinare risorse in security non è un costo ma un investimento.