Gli utenti (dipendenti, collaboratori occasionali, consulenti), oltre ad essere da un lato un asset di valore per l’impresa, rappresentano dall’altro un rischio per il patrimonio informativo dell’azienda, per le informazioni sensibili e strategiche che essa possiede. Investire significative somme di denaro nel tentativo di difendersi da attacchi esterni (antivirus, firewall, sistemi di intrusion prevention, ecc.) non è sufficiente.
Serve un approccio organico integrato alle problematiche di security governance. E anche nella dimensione Pmi è possibile, se si persegue una strategia coerente, ottenere risultati eccellenti.
Lo testimonia il caso Ims Deltamatic (www.imsdeltamatic.com/it) che, con 200 dipendenti e un fatturato 2008 di circa 36 milioni di Euro (registrando un +20%; nel 2007 ne ha fatturati 30), rientra in quelle medie aziende che, per garantire la crescita e lo sviluppo del business, hanno compreso l’importanza degli investimenti in area It; in questo caso, in ambito sicurezza.
Ims Deltamatic nasce nel 2001 dall’acquisizione di Ims, società attiva dal 1954 nel settore dei macchinari per la trasformazione della carta, da parte di Deltamatic, azienda la cui attività principale, iniziata nel 1975, è la produzione di linee di termoformatura per la realizzazione di interni per automobili. Con tre sedi operative (Calcinate, Mandello del Lario e Detroit, negli Usa), la società produce oggi macchine speciali di medie-grosse dimensioni, lavorando su commessa con due divisioni principali: Converting, che produce impianti tagliaribobinatrici per tutti i tipi di carta, e Automotive, che sviluppa linee di termoformatura per la produzione di rivestimenti interni di automobili; a queste due si aggiunge la divisione americana, specialista in torni verticali e strumenti di misura.
La sfida: proteggere la conoscenza
Il cuore del business per il gruppo di Calcinate consiste in progetti industriali di grandi macchine che vanno dallo studio preliminare e preparazione dell’offerta, passando attraverso la progettazione meccanica ed elettrica fino ad arrivare alla produzione ed al collaudo finale dell’impianto in casa e presso il cliente.
La sfida era, quindi, riuscire ad aumentare la sicurezza e il controllo dei documenti, per prevenire uscite di file sensibili non autorizzate ed evitare che il know-how finisse nelle mani dei concorrenti o comunque uscisse dal perimetro del business aziendale.
“Tra i dati sensibili più importanti di un’azienda come Ims Deltamatic vi sono i disegni e i progetti costruttivi delle macchine ideate, che vanno protetti in modo assoluto, a cui si aggiungono naturalmente i normali dati riservati comuni a qualsiasi azienda costituiti da informazioni sui clienti, fatture, contatti, ecc.”, esordisce Stefano Gritti, responsabile sistemi informativi di Ims Delatamatic (nella foto in alto). “Abbiamo quindi iniziato a porci il problema della protezione del patrimonio di conoscenza che circolava in azienda e dei possibili danni che avremmo potuto subire nel caso in cui ne avessimo perso il controllo”.
A settembre 2007, l’area sistemi informativi di Ims Deltamatic ha dunque iniziato a prendere in considerazione, in maniera preventiva, va sottolineato, l’opportunità di introdurre una protezione forte per i propri dati riservati.
Le fasi di “messa in sicurezza”
“Il processo di sicurezza si è articolato in diverse fasi – spiega Gritti -. Il primo step è consistito nella definizione – a livello di board aziendale – di un protocollo interno per la sicurezza, dove sono stati elencati tutti i comportamenti ammessi e, a garanzia della privacy, definite anche le policy per la gestione di log e delle procedure di registrazione degli utenti”.
In altre parole, il punto di partenza è stato caratterizzato dalla definizione di un approccio metodologico che ha permesso di identificare, in dettaglio, quali fossero le esigenze (proteggere i dati e le informazioni sensibili sia all’interno che all’esterno dell’azienda), stabilire le regole di sicurezza e identificare gli strumenti per la gestione del tutto.
L’area sistemi informativi di Ims Deltamatic gestisce un’infrastruttura tecnologica costituita da un data center centrale, collocato a Calcinate (BG), cui sono connessi circa 100 client utilizzati presso tutte le sedi dell’azienda, collegate tra loro da una Vpn (la sede Usa gode, invece, di maggiore autonomia – pur sempre nell’ambito di linee guida precise – ed è collegata alla casa madre con un’internet Vpn).
Per la sicurezza dei dispositivi periferici, Ims Deltamatic era già un cliente Symantec (www.symantec.com) con Enterprise Solution per antivirus e antispam.
La necessità di sviluppare una strategia completa di Information Security e di tradurla poi in scelte tecnologiche, ha spinto Ims Deltamatic a rinnovare la licenza della soluzione Symantec, non tanto per continuare ad avere protezione antivirus e antispam, com’è ovvio, quanto per l’opportunità di disporre della nuova release Endpoint Protection che, oltre ad aggiungere la funzionalità antispyware, consente la gestione e il controllo delle applicazioni e dei device collegati ad un pc.
“Questa soluzione ci consente di gestire il blocco di chiavette Usb, hard disk esterni, floppy, dispositivi di I/O e così via, grazie alla possibilità di impostare regole per l’apertura e la chiusura dei dispositivi stessi”, spiega Gritti, “e ci è quindi sembrata un’ottima opportunità di monitoraggio e controllo sulla circolazione delle informazioni sensibili”.
“Introdotta inizialmente in fase di test nella sede di Mandello del Lario (su circa 15 pc) – prosegue l’It manager -, abbiamo poi esteso il progetto al resto dell’azienda. L’opzione che ci ha particolarmente convinti è quella cosiddetta “location” che gestisce i profili aziendali anche in esterno (per le trasferte frequenti) attivando una serie di accessi e autorizzazioni (ad esempio per la copiatura di file in chiavette o cd su richiesta del cliente) ad utenti anche normalmente non autorizzati, sotto però un monitoraggio costante”.
Una fase importante del progetto globale è stata l’introduzione dell’Appliance 8340 per gestire lo spam e bloccare l’invio e la ricezione di file non autorizzati. “Si tratta di un dispositivo hardware intelligente che analizza le mail in arrivo a due livelli: contenuto e tipologia, eliminando il traffico spam dal server di posta e, di conseguenza, nella fase di back-up. Oggi, nella pratica aziendale, ogni utente riceve una mail giornaliera, contenente l’elenco di tutte le mail di spam ricevute, ha la possibilità di gestire e di recuperare mail utili erroneamente catalogate come spam”, asserisce Gritti.
L’appliance introdotta, inoltre, analizzando i contenuti degli allegati presenti nelle mail, consente di impostare policy specifiche per tipologia di utente che bloccano automaticamente l’invio esterno di mail con file sensibili da parte di utenti non autorizzati e controllano, tramite la registrazione delle mail e dei log, anche chi, per ragioni di servizio, è autorizzato all’invio esterno di file.
I benefici
“I vantaggi più evidenti sono la possibilità di utilizzare un’unica consolle di controllo per la sicurezza”, spiega Gritti. “Riuscire attraverso un unico strumento ad avere la visibilità di ciò che succede e, quindi, di poter intervenire in tempo e anche di prevenire eventuali “errori” e “perdite/fuoriuscite di dati” (controllo del log e tracciabilità di ogni pc) è sicuramente un aspetto importantissimo non solo per la parte It ma anche, e soprattutto, per il business”. Il business driver principale era infatti quello di poter controllare e mantenere il know how in azienda.
“Quanto ai benefici “più tecnici” – conclude Gritti – in termini numerici abbiamo eliminato dal server di posta e dalla rete circa 6.000 mail di spam giornaliero e ridotto la locazione di memoria di circa 4 volte rispetto al periodo precedente l’uso di Endpoint. Il tutto con evidenti ricadute sia a livello operativo che economico (il saving sul prezzo, con l’estensione a tre anni del contratto, è stato del 33%)”.
Quanto ai tempi di attuazione, il progetto, nella sua totalità, ha richiesto complessivamente circa cinque mesi di preparazione e un mese per istallazione, debug e test.
