Infrastrutture It, reti e apparati, applicazioni critiche: parlare di sicurezza informatica oggi significa prendere in esame tutto l’ecosistema informativo dell’impresa e verificarne l’affidabilità in un contesto di insieme. Il paradigma che accompagna la maggiore e generalizzata consapevolezza rispetto alle tematiche di business continuity e disaster recovery si fonda infatti su una logica integrata di security, che a livello di offerta sembra accantonare del tutto l’era dei prodotti “stand alone” per privilegiare soluzioni di system management a valore aggiunto, dal cuore della rete aziendale alle unità remote più periferiche. Lecito quindi chiedersi, nell’ottica di inquadrare il rapporto in essere fra aziende utenti e vendor di tecnologie, se effettivamente la security è sempre una voce prioritaria nell’agenda dei responsabili It e, soprattutto, come la presunta maturità delle imprese in tal senso si manifesti con progetti concreti. ZeroUno ha chiesto ad alcuni protagonisti del settore di fotografarne l’evoluzione cercando di capire la rispondenza effettiva di nuovi modelli e soluzioni di sicurezza all’esigenza di una protezione estesa dei sistemi It.
L’open source per offrire flessibilità e immediata integrazione
La nostra analisi è cominciata con il chiedere a Giuseppe Gigante, Marketing Manager di Novell Italia, come una realtà ormai pienamente votata all’open source può rispondere al “nuovo” paradigma di security It integrata che abbiamo sopra definito. “La filosofia che crediamo vincente – ci ha confermato Gigante – contempla la libera circolazione delle informazioni in totale sicurezza rispetto a vari fattori: disponibilità e accesso ai dati aziendali; protezione garantita della riservatezza degli stessi rispetto a ruoli e responsabilità; interoperabilità e non invasività delle soluzioni; multicanalità e approccio multipiattaforma. Parliamo quindi di vantaggi reali in fatto di costi e flessibilità operativa, anche in un’area critica quale è certamente la sicurezza dei sistemi”. Il messaggio di Novell trova quindi concretezza in soluzioni applicative (come Nsure Identity Manager) che poggiano su infrastruttura Linux per garantire la gestione sicura delle identità degli utenti e in altre (come Security Manager) orientate alla sicurezza delle reti a livello perimetrale. Perché e come le aziende possono trovare nei sistemi “aperti” la risposta alle esigenze di maggiore integrazione e di protezione estesa ce lo ha spiegato Gigante con queste parole: “Le imprese vogliono spendere in sicurezza il minimo indispensabile e soluzioni capaci di garantire la business continuity integrandosi con qualsiasi ambiente di rete, sistema operativo e applicazione già esistente e livelli di servizio commisurati alle esigenze delle aziende non possono che rispondere a queste aspettative. Basti pensare, per esempio, alla flessibilità relativa al porting delle applicazioni da Unix a Linux rispetto ai vincoli insiti nell’aggiornare in chiave sicurezza sistemi proprietari”. Uno dei punti di forza di questo approccio “aperto” verso l’It security sono i partner, soprattutto nell’ambito delle Pmi, e il recente accordo che Novell ha raggiunto con Computer Associates per distribuire Suse Linux Enterprise Server 9 in bundle con Brightstor Arcserve Backup for Linux ed eTrust Antivirus ne è un esempio importante.
Si parte dalla rete
“In seno alle grandi imprese ci sono esigenze di servizio relativamente ai dati cosiddetti sensibili e alla riservatezza degli stessi nel rispetto delle normative vigenti che presuppongono di fatto una visione estesa del problema della sicurezza”. Nelle parole di Dario Zerbi, Distribution Manager Enterprise di Nortel per l’Italia, è probabilmente riassunto quello che dovrebbe essere l’approccio medio delle aziende italiane rispetto al “dovere” di proteggere reti e dati da attacchi esterni e malfunzionamenti di sistema. Ma la maggiore consapevolezza verso il tema della security, dal 2001 in avanti, non sempre si è concretizzata in nuovi progetti e iniziative dedicate. L’obiettivo di offrire un pacchetto completo di soluzioni che spaziano dal traffic e system management alla sicurezza informatica vera e propria è, almeno nella visione di Nortel (che opera in tal senso in stretta collaborazione con Symantec e Microsoft), la ricetta migliore per rispondere a una domanda sempre più articolata di “disponibilità sicura” a livello di infrastruttura It. “Lavorare in un’ottica di protezione estesa dei sistemi – ha concluso Zerbi – si deve tradurre in soluzioni di intrusion detection da implementare nel cuore di reti che saranno sempre più convergenti per abilitare voce e dati in modalità sicura e integrata”.
Giulio Barki, Senior territory manager corporate and government di Juniper Networks, ha puntualizzato invece l’aspetto della protezione estesa sottolineando l’evoluzione in corso degli strumenti di sicurezza adottati dalle aziende a livello di network, partendo dal presupposto che “in una rete vanno curati gli accessi, verificate e bloccate le anomalie, protette le interazioni con l’esterno con strumenti flessibili per poter adattare in maniera semplice eventuali modifiche di politiche e profili”. I sistemi di prevenzione dalle intrusioni, che hanno raffinato il loro compito per identificare anomalie in tempi molto ristretti, sono l’esempio migliore di come sia cambiata la funzione delle soluzioni di security: “Nel tempo – ha spiegato Barki – i firewall si sono evoluti e concentrano spesso attività che vanno oltre le competenze specifiche per le quali sono nati, come sessioni crittografate di reti private virtuali, analisi dei pacchetti dati, funzionalità antivirus e collegamento con sistemi di autenticazione più o meno evoluti”.
Rispondere al paradigma di una logica integrata di sicurezza in sede di offerta significa, secondo Juniper, saper garantire “un approccio multi-layer che consenta di scegliere la soluzione più idonea per gestire le problematiche critiche con funzionalità avanzate di protezione della rete, dal core fino al perimetro, degli accessi di dipendenti e partner e dei vari strati applicativi”. Un approccio che in concreto deve portare “a sostituire reti Wan di tipo legacy con reti private virtuali che supportino i protocolli di sicurezza IPSec e a rimpiazzare i firewall basati su software proprietario con appositi dispositivi intelligenti orientati alla protezione di nuove applicazioni di rete, quali voice-over-IP, wireless Lan ed extranet”, ha concluso Barki.
È Finita l’era del reselling del prodotto
Se quella sopra descritta è l’impressione di due grandi attori del mondo delle reti, come vivono la tendenza a una visione integrata dell’It security gli specialisti del settore e i loro partner commerciali? ZeroUno ha risposto alla domanda parlando con Fabrizio Bressani, direttore marketing di Itway Vad, ed Emilio Turani, country manager di Stonesoft Italia, la filiale locale del produttore finlandese di soluzioni firewall e Vpn per la sicurezza perimetrale di reti e applicazioni. Il primo ha fotografato l’attuale rapporto esistente fra domanda e offerta sottolineando come “la percezione delle aziende circa i vantaggi insiti nelle nuove tecnologie non sta certo crescendo in relazione alla maggiore disponibilità di soluzioni dedicate: l’offerta rischia troppe volte di essere ridondante e questo può generare cali di interesse da parte delle realtà di piccole e medie dimensioni”. Decisivo, quindi, il ruolo dei system integrator che lavorano sul territorio per diffondere maggiore cultura rispetto alla problematica e stimolare policy e progetti di sicurezza informatica degne di questo nome. “Il compito di un vendor cross-selling come ItWay – ha precisato in proposito Bressani – è quello di analizzare le esigenze dell’azienda utente e presentare di conseguenza la soluzione più appropriata in una logica di offerta a valore aggiunto che presuppone spiccate dinamiche di servizio e di assistenza, competenze consulenziali e costi accessibili”. Interpretando tale messaggio si potrebbe quindi derivare che le soluzioni best of breed su cui poggia il modello di system integration in ambito enterprise hanno generato nell’ambito della sicurezza It un percorso di scalabilità verso il basso. “Non è più possibile parlare di soli prodotti – questo il parere di Turani – perché si deve ragionare sul fronte delle soluzioni: la competenza su una specifica area della security di ogni singolo fornitore deve oggi completarsi con una visione improntata alla totale interoperabilità multivendor e a un concetto di piattaforma dinamica che va ben oltre la classica implementazione del prodotto, software o apparato che sia”.
In uno scenario che si presenta molto cristallizzato quanto a soluzioni adottate e tendente alla fidelizzazione del rapporto fra azienda e vendor, l’evoluzione della sicurezza di reti e applicazioni passa dunque anche attraverso l’attività dei business partner e modelli d’offerta soggetti a cambiamenti sostanziali. Il reselling “puro” di prodotto non basta più e il valore aggiunto a livello di integrazione diventa una dote prioritaria là dove emergono più o meno evidenti esigenze di business continuity, disaster recovery e data management tese al miglioramento dei processi aziendali. “Pensare alla sicurezza dei sistemi – ha concluso in merito Bressani – deve essere sinonimo di semplificazione dei processi e riduzione dei costi di possesso e gestione ed è anche per questo motivo che le medie imprese sono il vero mercato di riferimento per lo sviluppo della security in azienda, anche se l’intero mercato delle imprese, nonostante le normative in proposito non manchino, dimostra una percezione del rischio ancora limitata”.
“La tendenza a una visione di sicurezza estesa – questo il commento conclusivo di Turani – ha già degli esempi eccellenti in applicazioni che contemplano la gestione del traffico dati in mobilità fra sedi remote e centro ma in genere solo dove c’è capacità di percepire le proprie esigenze attraverso l’offerta del vendor si creano i presupposti per progetti realmente integrati”.
Networking, software e servizi
Il giro d’orizzonte che ZeroUno ha compiuto sul tema della sicurezza rispetto al paradigma auspicato di soluzioni ispirate a una protezione estesa dei sistemi (reti, applicazioni, apparati) ha infine visto l’intervento di vari altri nomi noti del panorama It internazionale, da Getronics a Microsoft, da Cisco e 3Com. Lucilla Mancini, Security Country Practice Manager di Getronics, ci ha detto in proposito come “le nuove tecnologie recepiscono continuamente le esigenze legate alla sicurezza dei dati, adeguandosi abbastanza velocemente all’evoluzione delle minacce: il ricorso su scala mondiale a sistemi di correlazione e interpretazione condivisa dei “log” al fine di prevenire attacchi distribuiti è un esempio eccellente di come si possano combinare servizi volti ad assicurare la performance ottimale della rete con altri che guardano alla salvaguardia della stessa”.
Per Luca Maiocchi, invece, Enterprise Network Consultant in 3Com Italia, “la nuova frontiera della sicurezza, frutto di un approccio proattivo alla security estesa, si identifica con le tecnologie di Network Intrusion Prevention System (3Com ha di recente acquisito uno dei principali fornitori di soluzioni Nips, TippingPoint, ndr), che permettono di racchiudere in un unico sistema la protezione completa delle applicazioni, dell’infrastruttura Lan e Wan e delle performance di quest’ultima tramite un’analisi completa dei pacchetti in transito nei vari strati della rete”.
Dichiaratamente impegnata nel voler proteggere in maniera estesa i sistemi aziendali è anche Microsoft e Francesco Orrù, responsabile programma sicurezza della filiale italiana del gigante del software lo ha confermato elencando le varie componenti dell’offerta (dal Firewall installato di default in Windows XP a quello di Isa Server 2004 fino a strumenti avanzati per autenticare l’origine delle e-mail) destinata al mercato corporate.
Il problema, secondo Orrù, risiede in realtà da un’altra parte: “Nella maggior parte delle aziende si registra ancora una scarsa consapevolezza dei vantaggi insiti nell’avere una rete sicura, a cominciare dalla possibilità di ridurre i costi di fermo operativo causati da virus o attacchi informatici. Gli strumenti e le tecnologie che garantiscono una sicurezza estesa esistono; si tratta solo di sensibilizzare le aziende sull’importanza di adottarli”.
Roberto Mircoli, infine, Business Development Manager – Security & Wireless Networking di Cisco Systems Italy, ha puntato il dito sul fatto che “le problematiche di sicurezza con cui conviviamo hanno avviato un fondamentale mutamento di approccio da parte dei fornitori: nessuno parlerà più di singoli prodotti perché tutti hanno ormai preso atto che una visione integrata e multilivello è l’unica realmente efficace per rispondere alle esigenze e perché nessun singolo prodotto o sistema oggi disponibile può essere considerato sufficiente per soddisfare i requisiti di sicurezza delle organizzazioni attuali. Occorre pensare a modelli di sicurezza come Network Admission Control (un programma che coinvolge, oltre a Cisco, Trend Micro, Symantec, McAfee, Ibm Tivoli, Computer Associates e Microsoft finalizzato alla creazione di architetture e soluzioni funzionalmente integrate, ndr) che si poggiano su meccanismi di interoperabilità tra tecnologie proprietarie e di terze parti e che completano un’offerta pensata in un ottica collaborativa a livello di sistema. La vera via per rendere globalmente sicure le infrastrutture informatiche è la sinergia tra le diverse componenti del sistema di security aziendale”.
La sicurezza in outsourcing
Akhela è la sussidiaria che gestisce in full outsourcing l’intero sistema It del Gruppo Saras: come ci hanno spiegato Ilaria Mura e Stefano Atzei, responsabili della comunicazione e dell’area marketing e vendite della società cagliaritana, potersi proporre in veste di partner affidabile in fatto di It security significa poter vantare un approccio verso la sicurezza “logico e fisico”, che presuppone il ricorso all’outsourcing di alcune attività critiche, ma che non esclude policy operative gestite all’interno. Se garantire la business continuity dei sistemi è in ogni caso l’esigenza prioritaria della maggior parte della aziende, la risposta che offre Akhela in tal senso, destinata alle esigenze delle grandi e delle piccole imprese, ha le proprie fondamenta nel data center proprietario sul quale si appoggia un’offerta di soluzioni e servizi trasversali in fatto di disaster recovery e backup remoto, load balancing dinamico e mirroring-site. “La logica integrata – spiega Atzei – dovrebbe essere una componente strategica di chi lavora sul fronte della sicurezza: per questo parliamo di convergenza reale fra assessment della rete, a livello hardware e software, protezione dagli attacchi esterni e prevenzione dai malfunzionamenti interni”. “In realtà, – dice Mura – il paradigma della logica integrata quanto a It security è difficile da creare anche in relazione a due fatti: i grandi vendor sono essenzialmente concentrati sul lato infrastruttura e meno su quello applicativo mentre per le Pmi il ricorso a soluzioni dedicate promosse da distributori e system integrator non è ancora sentito a sufficienza”. Chi della propria server farm ne fa uno “strumento” di lavoro quotidiano per erogare servizi It è I.Net, che al mondo della sicurezza It si propone con la veste di gestore in outsourcing dell’infrastruttura di rete. Antonio Santangelo, Responsabile Corporate Marketing della società che fa capo a British Telecom, ha detto in proposito come “anche in tema di security va ribadita l’opportunità di esternalizzare alcune attività critiche per ottimizzare costi e processi. Dominare tecnologie complesse e garantire l’affidabilità dei sistemi investendo in competenze dedicate presuppone analisi e scelte accurate che in sostanza dipendono da quanto può valere il rischio del fermo macchina”. Citando alcuni dati di Idc relativi al grado di sensibilità delle grandi aziende verso il tema della sicurezza, Santangelo ha quindi rimarcato come l’affidabilità della soluzione It sia la caratteristica più “richiesta” (siamo nell’ordine del 79%) da Cio e responsabili area sistemi informativi ma anche come siano frequenti, ed è questo un punto critico, i casi di strutture sottodimensionate quanto a specificità di risorse e utilizzi inadeguati delle stesse. “Ottimizzare la propria infrastruttura It e renderla efficiente e sicura – dice Santangelo – è un impegno importante e molte medie e grandi imprese hanno sentito l’esigenza di rispondere a tale bisogno affidandosi a specialisti esterni in grado di poter servire, come fa I.net in partnership con Ibm ed Etnoteam, una gestione della business continuity sia a livello di rete che di applicazioni. Ciò che deve ancora crescere è la consapevolezza delle imprese sulle proprie reali esigenze in fatto di sicurezza, un percorso che si completerà, anche per le Pmi, di pari passo con la diffusione delle nuove tecnologie di rete basate su Ip”. (G.R.)