Esordisce ricordando il costante impegno di Microsoft nel creare sistemi operativi, applicazioni e un ambiente Internet robusti, più sicuri e affidabili già a partire dagli anni ’90, Feliciano Intini, Security and Privacy Lead di Microsoft Italia, recentemente intervistato da ZeroUno.
Erano i primi anni del 2000 quando Bill Gates dichiarava che la sicurezza sarebbe diventata una delle principali priorità dell’azienda, e, anche se resta ancora molto lavoro da fare, certo è che Microsoft ha compiuto notevoli passi avanti in direzione dello sviluppo di prodotti che trovano nella sicurezza e nelle tecnologie di protezione tasselli importanti (il lancio di Windows 7 punta molto, per esempio sui concetti della sicurezza e della virtualizzazione che nel nuovo sistema operativo hanno un peso rilevante).
“Il nostro percorso nel mondo della sicurezza inizia proprio dal cuore delle tecnologie software, dallo sviluppo e test – sottolinea Intini -. Nei primi anni del 2000, Microsoft lanciò un’iniziativa che ancora oggi garantisce la sicurezza delle applicazioni già a livello di codice. Parlo del Security Development Lifecycle, un processo per la formazione dei dipendenti sullo sviluppo di codice più sicuro, che si aggiunge al testing e ai controlli dei prodotti per la valutazione della protezione”.
Non solo; nel processo Security Development Lifecycle vengono regolarmente integrate le best practice e le informazioni ottenute dal Microsoft Security Response Center, sistema di classificazione della gravità per i problemi di protezione nel quale vengono convogliati tutti i problemi di vulnerabilità riscontrati su prodotti Microsoft.
“Nel gennaio del 2002 partì il vero e proprio percorso di Microsoft nell’ambito della sicurezza – sottolinea ancora Intini ricordando il cammino compiuto dalla multinazionale di Redmond – con un’iniziativa chiamata Trustworthy Computing che nacque proprio dalla riconosciuta necessità e urgenza di far diventare la Sicurezza e la Privacy elementi imprescindibili all'interno di tutto il ciclo di sviluppo del software”.
Da quel periodo in poi, molte cose sono cambiate e “benché il primo tassello della sicurezza per Microsoft continui ad essere quello legato alla sicurezza del codice e, dunque dello sviluppo software”, tiene a precisare Intini, “oggi indirizziamo la sicurezza in modo decisamente più ampio, sia attraverso l’offerta di soluzioni specifiche, sia nell’ambito di progetti It complessi, come nel caso della virtualizzazione e del cloud computing”.
“Il cloud presenta indubbiamente molti vantaggi rispetto ai metodi più tradizionali di distribuzione del software, tuttavia, tutte le nuove opportunità (e quindi non solo di cloud computing ma anche di It as a service, di virtualizzazione, ecc.), portano con sé anche una serie di rischi”, osserva il manager di Microsoft.
“Nel valutare i rischi, non ci si deve dimenticare della Governance”, evidenzia Intini. “Nel caso della virtualizzazione o del private cloud, il rischio è che la semplicità, la flessibilità e velocità con cui si possono orchestrare le infrastrutture ed erogare i servizi It faccia perdere il controllo sull’infrastruttura stessa”.
“Nel caso di public cloud – aggiunge Intini – i rischi poi sono legati anche ad aspetti di business non trascurabili. La perdita di governance può avere un impatto negativo sulla strategia generale di sicurezza dell’azienda andando, per esempio, ad accentuare criticità legate alla confidenzialità delle informazioni, all’integrità e alla disponibilità/accessibilità del dato, oltre al rischio sulle performance e sulla qualità del servizio (che però esiste anche nel caso di private cloud e virtualizzazione) nonché a tutte le problematiche connesse a normative e regolamentazioni varie”.
Ecco dunque emergere l'importanza delle tecnologie di gestione e controllo delle infrastrutture, nonché delle soluzioni di gestione degli accessi e delle identità. Recentemente c’è stato il rilascio di Microsoft Forefront Identity Manager 2010, una delle soluzioni di punta che concretizzano quella che Microsoft chiama la strategia Business Ready Security, il cui scopo è aiutare le aziende a gestire i rischi e aumentare la produttività dei dipendenti. Si tratta di un componente fondamentale della soluzione di gestione dell'accesso e delle identità che garantisce un accesso più sicuro alle applicazioni locali e in the cloud, praticamente da qualsiasi ubicazione o dispositivo (offre agli utenti finali una serie di funzionalità self service e agli amministratori It strumenti per automatizzare le attività che vanno dalla creazione e gestione degli account utente e degli accessi, alle credenziali basate su password e certificati, nonché ai criteri relativi alle identità in ambienti Windows ed eterogenei).
E se i rischi non vanno trascurati, è anche vero che il cloud rappresenta un ottimo trampolino proprio per i servizi di sicurezza. “La gestione della sicurezza è infinita – commenta Intini -. Un progetto di sicurezza ha un inizio ma poi deve continuare nel tempo dato che le minacce e le vulnerabilità evolvono, le richieste di adeguamento normativo cambiano, le esigenze stesse dell’azienda si diversificano. Ecco allora che poter fruire di servizi di sicurezza attraverso il cloud computing potrebbe rappresentare un ottimo strumento per godere appieno dei vantaggi legati alle economie di scala. Godere di soluzioni di sicurezza anche su larga scala fruendone come servizio già oggi ha un costo decisamente inferiore rispetto alle implementazioni in house. Certo, sono diversi i fattori da prendere in considerazione: affidabilità del provider; analisi e mitigazione dei rischi; accentuare l’attenzione alla parte contrattualistica e definire in dettaglio i livelli di servizio e i costi degli eventuali disservizi; ecc.”, conclude Intini che agli eventuali freni psicologici che ancora bloccano molte realtà risponde così: “Le aziende dovrebbero iniziare a guardare al cloud computing con più ottimismo, focalizzando l’attenzione sulla possibilità di utilizzare per la gestione delle proprie informazioni un soggetto che per capacità ed esperienza, sia in grado di offrire livelli di sicurezza che per il cliente sarebbe troppo oneroso indirizzare in autonomia”.
Vai al blog di Feliciano Intini NonSoloSecurity