La prima cosa da fare per non correre rischi è ancora e sempre una: non aprire la porta di casa a uno sconosciuto e questo vale sia nella vita quotidiana sia nei sistemi informativi. Regola d’oro, ma purtroppo tanto fondamentale quanto disattesa. Sia chiaro: non è che delle persone conosciute ci si possa sempre fidare. Tutte le statistiche sui responsabili dei danni ai sistemi aziendali mettono infatti al primo posto i dipendenti stessi (vedi articolo precedente), utenti abilitati che, talvolta per dolo, più spesso per incuria, mettono a rischio il patrimonio d’informazioni dell’impresa. Il compito delle soluzioni di Identity & Access Management (Iam), base e punto di forza di ogni sistema di sicurezza It aziendale è proprio quello di impedire agli sconosciuti di entrare e di gestire l’accesso di chi è autorizzato all’ingresso.
Il nuovo volto degli sconosciuti
Chiudere la porta agli sconosciuti, dunque. Ma chi sono costoro? Se per ‘sconosciuti’ intendiamo qualsiasi persona, sistema o applicazione che non sia autorizzato, per ruolo o per compito, ad accedere ai dati e/o ai sistemi che intendiamo proteggere, vent’anni fa nessuno era sconosciuto: i tecnici in camice bianco erano gli unici ad entrare nella sala dove troneggiava il mainframe del Ced aziendale e se qualcosa andava storto si sapeva a chi chiedere. Poi il mondo è cambiato. In occasione della Security User Conference 2006 organizzata da CA a Milano e a Roma, Mauro Orlando, director di Gartner, ha ricordato come ognuna delle rivoluzioni tecnologiche che hanno investito l’It, con i Pc, le Lan e l’architettura client-server prima e Internet e le architetture Web based poi, ha aperto sempre di più il sistema aziendale a nuovi utenti, moltiplicando, con il numero degli accessi ‘legali’, anche quello dei possibili intrusi. D’altra parte, di pari passo con le tecnologie e grazie ad esse, non solo i sistemi, ma la stessa azienda si è aperta all’esterno. L’impresa-rete, con partner, fornitori e clienti inseriti nei processi e connessi ai sistemi, è sempre più una realtà e con l’avvento di Internet questa realtà ha assunto dimensioni, letteralmente, globali. E non è finita: una nuova rivoluzione tecnologica sta avvenendo e un’altra è alle porte, ed entrambe faranno salire di un ulteriore livello il rischio di indebite intrusioni nei sistemi aziendali. Alludiamo alle applicazioni wireless e alle architetture orientate ai servizi (Soa). Le prime, che sono già diffuse, eliminando la ‘fisicità’ della connessione via cavo rendono il nostro flusso d’informazioni intercettabile come qualsiasi altra comunicazione radio, operazione oltretutto facilitata dal numero relativamente limitato delle frequenze destinate alla trasmissione dati. Le seconde, che inevitabilmente si diffonderanno, introducono con l’uso dei servizi applicativi (vedi il servizio dedicato alla Soa in ZeroUno di dicembre), un nuovo tipo di accesso ai dati aziendali, potenzialmente molto pericoloso. Un servizio Web che accede ad un dato per svolgere la propria funzionalità si comporta infatti né più né meno come un utente che vi acceda per eseguire un’elaborazione locale, ma non essendo associato né ad una persona né ad un Pc o altro dispositivo hardware identificati, risulta trasparente ai sistemi di gestione degli accessi che non siano dotati di soluzioni specifiche.
Dalla fortezza all’aeroporto
Come conseguenza dell’evoluzione dell’It aziendale, anche le architetture per la sicurezza devono evolvere. Secondo Gartner il modello classico del sistema protetto come una fortezza, dove magari è difficilissimo entrare ma dove una volta entrati ci si può muovere liberamente, poteva funzionare quando gli utenti erano pochi e selezionati. Sta quindi emergendo quello che Gartner chiama il “modello aeroporto”, dove cioè, superata comunque una prima barriera perimetrale, l’accesso ai dati e alle applicazioni è regolato dai diversi profili assegnati agli utenti. Questo modello è oggi adottato dalle soluzioni di access management più avanzate, che danno accesso alle risorse informatiche in base a policy che definiscono gli utenti, i sistemi, le applicazioni e i file che possono essere acceduti nonché le operazioni che vi si possono fare; eliminano accessi ed userID duplicati e/o inutilizzati (tipicamente, gente che ha lasciato l’azienda ma continua ad avere accesso al sistema) e registrano gli eventi inerenti le operazioni fatte elaborando report utili ad individuare aree a rischio e comportamenti scorretti.
In futuro, sempre secondo Gartner, si affermerà poi un modello, le cui tecnologie peraltro sono in parte anticipate nelle suite di Identity & Access management più avanzate, che sarà caratterizzato da due fattori. Il primo è che l’accesso alle risorse It avverrà punto-a-punto, dando cioè ad ogni singolo utente (dipendente, collaboratore, partner, fornitore, cliente e servizio Web), accesso alla risorsa di cui ha bisogno e solo a quella. Il secondo è che tale provisioning avverrà in modo dinamico, nel senso che le regole varieranno in funzione dei mutamenti delle attività e/o delle regole di business che riguardano l’identità, il ruolo e i rapporti di relazione del singolo utente. Così, se a un dipendente o a un collaboratore viene assegnato un certo lavoro, avrà automaticamente accesso alle risorse necessarie, ma cesserà di averle a compito terminato o se sarà spostato ad altro incarico. Per tornare alla metafora da cui siamo partiti, gli apriremo la casa, ma non i cassetti. E staremo a guardare quello che fa. (G.C.B.)
Tutti in rete ma controllati
Idc, che ha dedicato al tema della gestione delle identità e degli accessi un ampio spazio nell’ambito dell’Idc Security Conference 2006, evidenzia una domanda ancora bassa di soluzioni Idm (gestione delle identità), sentita dal 26% delle aziende italiane sopra i 50 dipendenti che accedono ad Internet. Per quanto riguarda l’offerta di soluzioni Iam (Identity & Access Management), Idc evidenzia una torta dove CA e Ibm hanno una quota di mercato del 17% ciascuna con altri grandi vendor poco presenti (Hp e Oracle al 2,2%, Sun all’1,7%) seguiti da uno stuolo di piccoli vendor solo italiani (58%).
Chris Christiansen, vice president Prodotti e Servizi Sicurezza di Idc, ha evidenziato alcune tendenze di fondo della sicurezza in generale: “Il tempo fra la scoperta di una vulnerabilità e l’attacco in massa con virus è ormai azzerato, il che impone di migrare a strategie proattive, lasciando progressivamente spazio solo a prodotti o soluzioni ‘nativamente’ sicuri; è continua la crescita di numero e sofisticazione degli attacchi per sottrarre informazioni a scopo di lucro (il mercato nero dell’informazione arriverebbe a 3 miliardi di dollari annui), il che impone una crescente complessità e convergenza delle soluzioni per difendersi; infine, le aziende, dalle medio-grandi in su, si concentrano sulla sicurezza intraperimetrale, preoccupate ormai più che dalle minacce esterne, da quelle interne”. Secondo Christiansen è evidente la spinta alla domanda di soluzioni Idm derivante dagli ultimi due trend, oltre che dalla compliance (altro tema fondamentale che ruota intorno a quello della gestione delle identità e degli accessi). La tendenza, sempre secondo Christiansen, è quella di integrare l’Iam con il Threat Management (gestione delle minacce) in una Policy Enforced Client Security (Pecs): l’accesso è consentito solo a utenti riconosciuti e dotati di dispositivi trovati in ordine con credenziali e/o livelli software o forzati a mettersi a posto. In prospettiva Christiansen vede un’infrastruttura di Networked Admission Control (Nac), con tutti in rete: l’amministrazione It della sicurezza, la “scoperta” e la riconciliazione di asset, l’individuazione di “delinquenti” e la gestione e la riparazione delle vulnerabilità,.
Chi coglie al balzo lo spunto di Idc sul Networked Admission Control è Bruno Degradi,
Direttore Security Management di CA: “L’Idm è l’infrastruttura logica che individua chi fa che cosa, perché, e autorizzato da chi, abilitando la gestione dell’identità di dipendenti, partner e clienti dell’azienda estesa”. La sua integrazione con il Threat Management e con il Security Information Management, mettendo in comune tecnologie e servizi, rappresenta la suite di gestione della sicurezza, che a sua volta si fonde nell’Enterprise It Management (Eitm), la piattaforma lanciata da CA per fornire ai Cio una vista unificata e “business service oriented” (vedi l’articolo a pagina 16 di ZeroUno di dicembre). “La compliance – ha detto Degradi – ha “drogato” il mercato italiano di Iam (quel 58% di vendor solo italiani): attenzione, le direttive evolvono a livello internazionale (con elementi anche comuni nelle fasi di autenticazione, autorizzazione e specialmente di auditing), richiedendo investimenti ben superiori a una routine di verifica delle password. E poi l’Idm deve funzionare sempre, quindi – aggiunge Degradi – meglio un vendor che sia in grado di garantire il supporto evolutivo a livello mondiale, con un help desk per risolvere i problemi nelle più svariate configurazioni”. Altro importante tema affrontato da CA, e al quale pongono grande attenzione anche gli altri vendor, è quello della federazione del controllo accessi al fine di condividere le informazioni di identità con partner e collaboratori in modo sicuro, controllato e automatizzato. Si tratta di un argomento che richiederebbe però uno specifico approfondimento, soprattutto per quanto riguarda il problema degli standard di comunicazione per garantire l’abbinamento federato di persone a risorse in un unico Idm, ancora non completamente condivisi.
Cosa bolle nelle pentole dei vendor
“La soluzione per affrontare le problematiche di sicurezza in modo globale e integrato – ha detto
Mariangela Fagnani, Security & privacy Service Leader di Ibm – va oltre l’It e investe i processi di business diventando business security, intesa come il (difficile) punto di equilibrio fra necessità di crescita di un business sempre più interconnesso, condiviso e normato e i rischi complessivi che corre. Per la business security non basta più rinforzare il perimetro o tappare falle in modo reattivo e puntuale: serve una visione d’insieme, applicativa e processuale, sui rischi di sicurezza, fino alle soluzioni e all’organizzazione necessaria”. La prosposta Ibm, annunciata alla Rsa Conference di febbraio a S. Francisco, è centrata su un modello, l’Information Security Framework (Isf), che inquadra gli obiettivi critici nell’ottica della business security: da quelli infrastrutturali (Threat Management, Idm e Iam, sicurezza fisica, integrità dei dati e transazioni, sicurezza applicativa e del personale), alla privacy e alla governance. Per valutare il proprio livello di sicurezza rispetto ai vari obiettivi, a loro volta declinati in Principi, Politiche, Processi e Architetture, Procedure e Prodotti e Standard relativi, Ibm offre un Maturity Model su cinque livelli e naturalmente un “tool di assessment” che indica anche il percorso di miglioramento processuale e organizzativo per aumentare il proprio livello. E intanto della soluzione Tivoli Identity Manager è stata annunciata anche la versione Express per la Pmi perché il problema non riguarda certo solo le grandi aziende…anzi!.
Mario Nicosia, Security & Identity Management Solutions, Oracle, si è focalizzato sull’utente come soggetto beneficiario delle politiche di protezione e abilitazione della Protected Enterprise. Cruciale è individuare chi accede a quali dati attraverso quali applicazioni e in quali processi (non sapendo cioè, da quando c’è la Soa, con quali altre applicazioni potrebbero interoperare le applicazioni alle quali si cerca di accedere). L’obiettivo è garantire al soggetto la sicurezza nativa, in una visione olistica del sistema informativo e al di là degli stessi prodotti infrastrutturali o applicativi Oracle. L’approccio vale sia per il “dove” risiedono i dati che per il “come” si accede alle risorse, ci si autentica e viene gestito il ciclo di vita dell’utente. Ecco dunque i vari prodotti di Controllo accessi e single Sign on (CoreId Access and Identity), Federazione delle identità (CoreId Federation), Controllo accessi e sicurezza servizi Web (Web Services Manager), Amministrazione delle identità per ruoli, User Provisioning e Life cycle management (Xellerate) e di infrastruttura di gestione dell’Identità (la directory virtuale delle identità, che utilizza le informazioni sulle identità aziendali senza trasferirle dai database dove risiedono, e il repository delle identità Internet).
“La pervasività per tutte le risorse aziendali trasforma la sicurezza da costo in investimento differenziante per il business. Oltre alla compliance (a dir poco sottostimata visto che l’una tantum della famigerata Section 404 della Sarbanes-Oxley in certe fasce di imprese Usa ha pesato quasi quanto il loro fatturato annuo), i motori di business dell’Idm sono Risk Management, Efficienza operativa e Agilità e produttività – ha detto Francesco Vecchione,
Senior Manager Soluzioni Hp Security presentando la suite HP OpenView Idm. “Un Idm che orientato ai servizi di business consente un raggruppamento delle identità per attributi e un’ingegnerizzazione dinamica dei ruoli, che riconcilia gli approcci top-down (i ruoli definiti sulla base delle strutture business possono non adattarsi ai modelli di sicurezza It) e bottom-up (i ruoli astratti dall’analisi della sicurezza delle risorse operanti su dati e applicazioni mettono a rischio l’integrità dei processi di business)”, ha specificato Vecchione.
Tra i grandi vendor internazionali, la proposta Idm di Sun, che si declina in Identity e Access Manager, Enterprise Directory Server, Identity Auditor e Federation Manager, è il risultato finale dell’acquisizione di Waveset avvenuta nel 2004. “Il valore della nostra proposta – ha detto
Emanuela Giannetta, Product Manager Software e Identity Management di Sun – sta essenzialmente nella semplificazione della gestione delle identità (il modello sul quale si basa rende superflui repository aggiunti di memorizzazione dei profili, evitando duplicazioni di dati sensibili, e l’identità virtuale riconduce a un unico oggetto gli account che devono essere associati all’identità di un utente) e nella bassa intrusività (il sistema Idm non richiede l’installazione di agenti nelle risorse da gestire). Un motore di workflow con autorizzazioni multi punto automatizza i flussi; la soluzione è flessibile e integrabile grazie all’architettura basata su standard aperti come Java e Xml; la compliance alle varie normative, infine, è risolta con l’implementazione di processi di controllo accessi governati da specifici profili autorizzativi (ruoli).
IL RISCHIO DEL FURTO DI IDENTITA’: COSA FA L’ABI
Fuori dal linguaggio tecnologico, phishing vuol dire furto di identità ai danni del consumatore. Non è l’unico sistema, ma quello più percepito. Al di là delle varianti sia nell’attacco che nelle difese, qui interessa il “gap fra sicurezza reale e sicurezza percepita”, che, anche secondo lo stesso sistema bancario si sta allargando. Il problema di vero e proprio “Relationship Management di sicurezza” è delicato e richiederebbe ben altro spazio, ma condensiamo qui l’indirizzo attuale dell’Abi nell’affrontarlo, attraverso l’intervento di Massimiliano Magi Spinetti, Responsabile Settore Tecnologia e Sicurezza Abi, a un Convegno Forrester sulle “Sfide sulla sicurezza nel settore Finance” in relazione al canale Internet delle banche; e i suggerimenti sul fattibile pervenuti da Martha Bennet, Vp & research Director, Servizi Finanziari, Forrester Europa.
L’impegno del sistema bancario sul complesso scenario della sicurezza, ricorda Magi Spinetti, è testimoniato dalla conformità a normative come Privacy, Basilea2 per il Rischio operativo e a Business continuity (la più avanzata in Europa, emessa da Bankitalia); e in un’analisi comparata rispetto ad altri settori d’impresa, ha la migliore riuscita nella difesa rispetto agli altri settori a fronte di tutti gli attacchi portati. Preso atto dell’andamento di fiducia non positivo da parte degli utenti bancari, il problema, nel suo giudizio, è una comunicazione da migliorare sui livelli di sicurezza disponibili, per alzare quello percepito da parte dell’utenza e, attraverso questa azione stimolare un maggiore uso dei sistemi. Del resto ci sono strutture operative come una Centrale Allarmi per il presidio degli attacchi informatici attraverso la rete, in collaborazione tra polizia postale (accordo Abi – Ministero degli Interni) e consorzio Bilab tra Banche e Partner tecnologici di livello internazionale, che dirama istruzioni su attacchi in corso e sulle azioni per presidiare o reagire quando si è sotto attacco. Quanto alle best practice per la sicurezza del rapporto Internet con il cliente, Abi ha fatto emanare un “decalogo” con linee guida sul fronte del comportamento sia della banca che del cliente, lasciando alle banche il compito di divulgarlo secondo le loro logiche di marketing. Il principio per comunicare sicurezza è un difficile equilibrio fra non allarmare e non minimizzare, e va perseguito dando messaggi contenuti, seri, semplici ed efficaci, e indicazioni di buon senso, come per esempio: “la banca non vi chiederà mai informazioni personali attraverso un’e-mail: se lo ricevete, per lo meno, sospettate”. Ma non è estendibile dai prodotti/servizi bancari alle proposte di collegamento sicuro un approccio tipo Patti Chiari (il consorzio le cui banche aderenti mettono in atto azioni finalizzate ad aumentare chiarezza e trasparenza del sistema bancario)? A questa domanda Magi Spinetti ha risposto con una cauta apertura: “Non è escluso. Patti Chiari potrebbe includere la componente collegamento sicuro, ma sempre nel rispetto dell’approccio competitivo delle banche, evidenziando, come con i conti correnti, regole chiare per cui il cliente riesce a compararle e a valutarne costi e convenienze. Lo spirito deve rimanere non appiattire, ma promuovere trasparenza, nel rispetto della concorrenza, anche per le proposte di sicurezza”. Martha Bennet, con un realistico pessimismo (“la situazione dovrà peggiorare ancora prima di migliorare”), ha aggiunto spunti concreti per il sistema bancario: spingere la collaborazione con gli Isp per far chiudere i siti che emettono e-mail di phishing; consigliare l’allargamento del supporto delle banche a browser diversi da Explorer, come Firefox e Mozilla (Explorer è di gran lunga il più sottoposto ad attacchi, ma i clienti più avanzati con browser diversi dipendono dal supporto non limitato a Explorer); sponsorizzare in Italia un’iniziativa come quella dell’Abi inglese (Apacs), che col sito www.banksafeonline.org.uk promuove la formazione generale del consumatore, fermo restando il principio che le banche sono libere nelle loro campagne per differenziarsi sulla sicurezza, ma con il forte invito a esporne un link nel proprio sito. E, per esempio, sconsigliare accessi al proprio sito bancario da … un Internet cafè. (R.M.)
IL BOOM DELLA COMPLIANCE DETTATA DALLA PAURA
Provocatorio e fuori del coro è “l’appello al manager pensante” di Ian Angell, Professor of information systems della London Business School e keynote speaker all’Idc Conference 2006. L’invito è a riflettere sul “rendere sicuro il lato oscuro della tecnologia”. All’Ict chiediamo di strutturare le nostre azioni, cioè di trasformare l’incertezza in rischio, a costo di misurarci con la nuvola di complessità che questo passaggio introduce. Ma l’incertezza è piena di singolarità emergenti che non si conformano a una chiara logica di calcolo, e restringono la validità delle tecniche di forecasting a condizioni di stabilità e di breve termine. Secondo Angell, il “manager pensante”, tra complessità e incertezza, deve resistere alla tentazione di affidarsi solo alle risposte di un calcolatore o all’ultima metodologia: una vigilanza intelligente sui dati è cruciale per decidere quando fidarsi della tecnologia e quando no.
Ma il messaggio liberista è che la minaccia, più che dalla complessità, viene dall’interferenza dei governi, che impone di dedicare enormi risorse alla conformità alle normative e “costituisce il vero denial service attack”, ha detto Angell. Stiamo entrando in una decade di “Re-regulation” e de-liberalizzazione su vasta scala, con una sindrome di “compliance dettata dalla paura”, innescata dalla reazione dell’opinione pubblica alle prevaricazioni delle corporation, nonché ai vari 11 settembre, traffico di droghe, pedofilia, riciclaggio di denaro sporco. Dopo Sarbanes-Oxley, il Ceo che firma i risultati trimestrali sa di rischiare il carcere, se ha sbagliato qualcosa. L’imperativo di conservare per il tempo prescritto documenti riferibili al business ha già fatto pagare multe salate ad aziende Usa per la violazione di una legge del 1934, dato che l’ignoranza non è una scusa per gli Enti Regolatori: Angell predice che i governi presto chiederanno di garantire ritenzione, sicurezza e privacy di ogni documento o comunicazione elettronica da qualunque supporto (floppy, hard disk, Cdrom, Pda, cellulare), rendendoli accessibili solo a richieste legali. Un incubo amministrativo, e la felicità dei vendor di soluzioni di storage. “Siamo all’inversione dell’onere della prova: l’accusato è colpevole finché non provato innocente, e prova dell’innocenza non è nulla di meno che la consegna di ogni informazione business e finanziaria dell’azienda. E il cittadino con le leggi antiriciclaggio? Il bancario in Uk è tenuto a riempire un Suspicious Transaction Report (Str) sui movimenti di un asset che destano sospetti. La compliance dettata dalla paura è un’industria in pieno boom”, ha dichiarato Angell. Ma con quali risultati? A fronte di un riciclaggio per 250 miliardi di sterline in Uk, con il sistema Str il governo ha recuperato appena 46 milioni, a un costo di 400: un affare catastrofico. (R.M.)
