La sicurezza dei dati aziendali è sempre più cruciale per lo stesso business dell’azienda, ma nel contempo sempre più difficile da realizzare, a causa di molte tendenze (cloud computing, consumerizzazione dell’It, outsourcing, crescita continua dei dati da gestire), che aumentano la vulnerabilità delle informazioni più sensibili. Vediamo quindi una ‘fotografia’ di come le aziende nel mondo stanno investendo in It Security e come l’It aziendale può cercare di uscire dalla dicotomia tra importanza della sicurezza e difficoltà di realizzarla.
Protezione dei dati sensibili: le priorità delle aziende
Secondo l’indagine Enterprise and Smb It Security Survey di Forrester Research , condotta in Nord America ed Europa su circa mille Cio e responsabili It Security di aziende oltre i 1.000 addetti, gli investimenti in sicurezza It non sono calati nel periodo di massima crisi economica (2008/09), e nel 2010 hanno ripreso a crescere.
In sintesi, le aree prioritarie d’investimento sono data e network security, cresce l’interesse per i servizi esterni di gestione della sicurezza, e guardando alle nuove tendenze, le aziende temono la ‘consumerizzazione’ dell’It (dispositivi mobili, social networking, ecc.) più del cloud computing in termini di difficoltà nel proteggere i dati.
Scendendo nei dettagli dell’indagine, i budget per l’acquisto di nuove tecnologie di sicurezza sono in aumento: il 42% parla di tassi di crescita oltre il 5% e solo il 10% di riduzioni. Le aree più in crescita sono network security e Grc (governance, risk & compliance), ma in generale la sicurezza del dato rimane la prima priorità (89%) seguita dalla gestione di vulnerabilità e minacce complesse (85%).
Il maggior ostacolo per l’It Security è la difficoltà di integrarsi con le strategie di business. Secondo il 74%, iniziative come outsourcing, cloud computing, applicazioni mobili vengono implementate prima di analizzare le misure di protezione dei dati che esse richiedono. Il secondo ostacolo citato è la scarsità di risorse e budget, che si può vedere come un’altra prova della poca sensibilità del top management per la sicurezza.
Come accennato, il trend tecnologico che preoccupa di più per la sicurezza è la consumerizzazione dell’It, cioè l’uso di smartphone personali (40%) e strumenti web 2.0 (38%) in azienda, seguito a ruota da cloud computing (indicato dal 37%) e virtualizzazione dei data center (34%). La consumerizzazione è ritenuta pericolosa perché impedisce un controllo completo dell’infrastruttura aziendale, creando ‘brecce di vulnerabilità’.
Notevole è l’interesse per i servizi di sicurezza gestita. Il 18% vuole affidare entro un anno all’esterno il vulnerability assessment, tra il 10% e il 14% intende fare lo stesso per altre attività: firewall, intrusion detection, content filtering, compliance monitoring, identity management, endpoint security. Questo trend è motivato soprattutto dalle garanzie di migliore protezione (63%), grazie agli skill specialistici dei fornitori, alla copertura 24 x 7, all’esternalizzazione di patch e upgrade; solo il 54% indica il risparmio di costi.
Passando all’identity-access management (Iam), il 49% cita la sicurezza come motivo primario dell’investimento: solo il 15% e il 7% citano rispettivamente compliance e governance. Le iniziative Iam si stanno concentrando sulla restrizione dei privilegi di accesso, attraverso soluzioni di single-sign-on e provisioning.
In campo client, dopo anni l’attenzione passa dalla sicurezza sul desktop al threat management, con investimenti in patch management (31%), network access control (27%), host intrusion prevention (22%) e personal firewall (20%).
In campo application security continua a prevalere l’uso di strumenti post-sviluppo: i più diffusi sono application firewall (37%) e strumenti di test e scan delle applicazioni (31%). Le pratiche di application security mostrano però segni di evoluzione, per esempio la responsabilità primaria della qualità del software è dei team di sviluppo applicativo (32%) e dell’It (22%) più che della It security interna (20%).
In generale, nelle strategie di data security emerge più attenzione per la pianificazione rispetto ai progetti non coordinati degli anni scorsi. Tra estensioni e piani entro 12 mesi, l’area a maggior crescita è la Data Loss Prevention, seguita da e-mail e database encryption, e suite di gestione centralizzata. “Probabilmente – afferma Forrester – molte aziende hanno concluso l’analisi dei rischi e ora stanno risolvendo le carenze di controllo in funzione delle priorità decise, invece di stare dietro alle tecnologie più evidenziate da fornitori e media”.
Responsabilizzare il business
Nonostante anni di investimenti e di lavoro sui processi, comunque, la sicurezza dei dati a livello enterprise rimane un obiettivo difficilissimo. Inoltre, accanto agli elementi di complessità prima citati, norme, regolamenti e vincoli contrattuali mettono sempre più sotto pressione i responsabili della It Security mentre i fornitori non aiutano, offrendo moltissime categorie di soluzioni che spesso confondono le idee.
Una situazione in apparenza senza via d’uscita, che invece secondo Forrester Research c’è, come spiega l’analista Andrew Jaquith. “La tipica reazione di molti Cio e Cso a questo quadro è sobbarcarsi interamente il problema, mettendo in atto una strategia ‘totale’ basata su Data Loss Prevention, encryption, network access control, formazione del personale”. Un approccio destinato però a fallire per alcune caratteristiche intrinseche del problema data security.
Prima di tutto, dati e informazioni sono per loro natura destinati a circolare: cercare di impedirlo è illogico. Secondo: non sono i dipendenti che possono decidere della strategicità dei dati; non hanno le competenze e spesso neanche il tempo di deciderla ogni volta che maneggiano un dato. D’altra parte le classificazioni proposte dai fornitori non sono standard, ciascuno ha la sua. E infine – spiega Jaquith – la gestione delle iniziative di sicurezza come progetti pilota guidati dall’It che poi si estendono all’intera impresa va bene solo se non sono richieste personalizzazioni, come nel caso della full-disk encryption. “Ma per la data loss prevention, per esempio, l’It non ha le conoscenze per capire come il business vuole proteggere le sue informazioni, individuare le violazioni, definire i rischi”.
Occorre insomma un lavoro di profonda revisione delle più diffuse pratiche di gestione della data security. Il Cio, o il Chief Security Officer dove c’è, “deve abdicare dal ruolo di guardiano che controlla ogni accesso ai dati, delegando molte responsabilità alle business unit”.
Prima di tutto occorre decidere quali categorie di dati vanno protetti; non ha senso parlare in genere di data security o proprietà intellettuale. Ogni reparto e business unit deve indicare quali sono i propri dati più sensibili: bilanci preventivi, roadmap di prodotto, disegni Cad, modelli finanziari, piani di vendita, informazioni sui clienti ecc.
Dopodiché la responsabilità va delegata dove è più logico, cioè dove si usa il dato: alle business unit. Classificare le informazioni, decidere chi debba accedervi, analizzare le conseguenze se vengono violate: tutto questo deve farlo l’ufficio progettazione per i disegni Cad, l’amministrazione per i dati contabili, e così via. L’It deve fare il consulente, implementare le tecnologie, offrire servizi di monitoraggio dei flussi di dati alle business unit e tenersi la responsabilità degli strumenti di base di data security, che non richiedono personalizzazioni.
Infine vanno riprogettate le postazioni di lavoro in modo che il personale non prenda decisioni che possono impattare sulla sicurezza. I maggiori rischi di violazione nascono dai dipendenti: laptop persi, mail inviate per errore, vendette di persone licenziate, ecc. Puntare troppo sulla formazione, sul far capire i gradi di rischio non è sufficiente e neppure vietare le chiavi Usb o vincolare la navigazione web. Meglio progettare posti di lavoro ad hoc, basati su thin client e applicazioni web: se i dati non si trovano sul dispositivo è impossibile perderli!