MILANO – Incontriamo a Milano Dave Hansen, corporate senior vice president e general manager della Security Management Business Unit di Ca, durante un press tour europeo. Hansen ha un passato come Cio di Ca, responsabile della strategia It globale, dello sviluppo applicativo e dell’infrastruttura, nonché della compliance e dell’organizzazione internazionale dell’It. Ad Hansen abbiamo rivolto alcune domande su come Ca intenda la sicurezza e quali futuri sviluppi prevede in quest’area. I suoi commenti e le sue risposte sono particolarmente significative proprio in virtù del ruolo di Cio svolto, dove ha sperimentato dal vivo anche gli aspetti della sicurezza informatica applicata ai circa 14.000 dipendenti mondiali della società.
ZeroUno: Come vede Ca, in generale, l’evolversi della tematica della sicurezza?
Hansen: Ca identifica la sicurezza in tre principali aree: la gestione delle minacce (Threat Management), delle identità e degli accessi (Identity and Access Management) e delle informazioni (Security Information Management). Ciascuna di queste è a sua volta suddivisa in specifici indirizzi funzionali. Oggi la prima area è quella che ha una disponibilità di prodotti molto ampia e matura, prodotti che indirizzano le funzioni antivirus, antispam, firewall, intrusion detection, antispyware, intrusion prevention, antivirus per i Pda e quant’altro. È questa un’area di prodotti che sono ormai una commodity intendendo con ciò che sono prodotti funzionalmente ben definiti, con prezzi in forte concorrenza e abbastanza conosciuti nelle loro funzioni dal mercato. Sono prodotti che hanno un prezzo variabile in proporzione alle funzionalità richieste, indirizzano un mercato che si approssima alla maturità e sono venduti in genere attraverso il canale dei partner. Ca opera molto bene in quest’area dove l’elevato uso di questi prodotti da parte delle aziende riduce significativamente i rischi della sicurezza. Per questa prima area abbiamo creato una Business unit separata. L’area dell’Identity and Access Management (Iam) è l’altra business unit ed è dal punto di vista del business quella più interessante (indirizza un mercato che si sviluppa ad un ritmo del 15% annuo e Ca è oltre a questo valore).
È un mercato trascinato dall’opportunità e dalla necessità di espansione degli accessi ai sistemi e alle informazioni. I servizi basati sul Web per i clienti, l’accesso alle informazioni per i dipendenti operanti sul territorio, o quello per i fornitori, hanno generato la necessità di proteggere il patrimonio informatico differenziando e controllando i livelli di accesso. In quest’area il rischio della sicurezza è fortemente dipendente dall’apertura dell’azienda e la difesa sta nella capacità di gestione e di controllo degli accessi. Iam è un area in forte sviluppo grazie alla strategia scelta dalle imprese nell’utilizzo dei servizi, del Crm, del Scm (Supply Chain Management) e del self-service. Siamo passati in questi ultimi anni da un ambiente di sistema It costruito per pochi utenti interni ad uno orientato ai multi utenti che accedono ai dati via Web dall’esterno del firewall, oggi in una proporzione 10-esterni/90-interni, ma che nei prossimi due o tre anni potrà raggiungere il rapporto 40/60. Questa evoluzione dell’utenza richiede un sostanziale cambiamento nell’orientamento alla protezione, bisogna cioè passare dalla “protection by technology” alla “protection by intelligence”.
ZeroUno: Ma in quest’area esistono numerosi prodotti di altri concorrenti. Quali sono i vostri elementi differenzianti?
Hansen: Con la forte crescita del numero di utenti le password e il controllo degli accessi stanno diventando punti critici; gli elementi essenziali sono la velocità e la rapidità con cui i business partner, i clienti e gli utenti self-service possono accedere ai dati, come questi accessi possono essere tenuti sotto controllo e come lo stato di questi è documentato e notificato con rapidità ai responsabili dei servizi e della sicurezza.
I prodotti devono avere le caratteristiche adeguate per rispondere a queste esigenze.
ZeroUno: Ma in tutto ciò c’è il punto debole del system administrator che può accedere a tutto…
Hansen: con Ca Access Control si elimina questo rischio, i dati vengono trattati solo dalle applicazioni e ad essi non è consentito l’accesso da parte dal system administrator. Con Ca Identity Management poi si gestiscono le autorizzazioni per gli accessi individuali in modo da togliere quelle del personale che lascia la società, o del personale che cambia ruolo; si gestisce la mappatura di questi con i corrispondenti nuovi livelli di autorizzazione richiesti. Questo meccanismo combinato di “preventing and tracking” e di “partitioning and control” consente il tempestivo aggiornamento delle autorizzazioni, cosa che peraltro è anche richiesta dalle “best practice” di Cobit e degli altri Audit Standard Body che promuovono norme analoghe relative alla gestione ed estinzione delle autorizzazioni. Questa esigenza è tutt’altro che banale; casi recenti di dati trafugati sono successi proprio a causa del mancato aggiornamento a seguito di dismissione del personale.
ZeroUno: Come ci si protegge dagli attacchi definiti “social engineering” dove la mancanza di sensibilità induce a cedere le password in modo sprovveduto?
Hansen: Ciò che è veramente importante è la “security awareness”; noi abbiamo avviato da tempo un programma di education di ben 4 ore per tutti i 14.000 nostri dipendenti e ora continuiamo con programmi di richiamo annuali sull’importanza della sicurezza. Ma ciò non è sufficiente poiché questo tipo di attacchi si manifesta anche via spam di e-mail; noi oggi siamo in grado di fermarne l’85%, inoltre abbiamo in atto un programma di “teach and test mechanism” che ci consente di verificare l’efficacia dell’azione di sensibilizzazione svolta.
ZeroUno: Può darci qualche indicazione circa gli investimenti Ca in R&D e nello specifico in area sicurezza?
Hansen: il totale di R&d di Ca è di oltre 700 milioni di dollari annui con 6000 sviluppatori. La parte relativa alla sicurezza sostiene dai 600 ai 650 ricercatori (engineers, quality assurance, product management, product marketing, business development, ecc.), che operano nei nostri laboratori in USA, Australia, Israele e India. Dopo l’ultima operazione di “technology by acquisition” compiuta negli anni scorsi con l’acquisizione di Netegrity, la parte più rilevante di R&d è fatta in casa con contributi anche di partnership e acquisizioni minori.
ZeroUno: Come vede il ruolo del Cso nelle imprese, un ruolo riconosciuto o in crisi?
Hansen: Purtroppo il Cso è quasi sempre inserito in un livello basso nell’organizzazione, pur ricoprendo una carica di elevata responsabilità. La domanda di fondo del Cio è: “quanto siamo in linea con la compliance?”, ma tale domanda non ha una risposta precisa; l’approccio più consono consiste nell’automatizzare i controlli, le autorizzazioni, ecc. il più possibile e svolgere il resto con intelligenza. Il Cso dovrebbe lavorare, seppur in modo indipendente, in perfetta sintonia e sincronizzazione con chi si occupa di compliance, evitando la burocratizzazione dell’attività.
