Condotta su 50 aziende che rappresentano un campione significativo dell’universo italiano, la ricerca sulla Sicurezza informatica realizzata da NetConsulting in collaborazione con Ca Technologies, e giunta alla quarta edizione, ha l’obiettivo centrale di capire il livello di adozione delle soluzioni di sicurezza sotto vari aspetti come il livello di spesa, o le specificità per settore d’industria, e misurarne il progresso annuo. In questa edizione si è aggiunto un ulteriore elemento di ricerca: “In che misura le aziende del campione sono pronte all’adozione del cloud, secondo il loro livello di maturità e con le soluzioni di sicurezza attualmente utilizzate. Soluzioni di sicurezza che andranno comunque rafforzate per il cloud”, come ci spiega Elio Molteni, Senior Solution Strategist di Ca Technologies, presentando la strategia dell’azienda per la sicurezza specifica in ambito cloud (vedi in basso).
“Un paradosso del cloud, o se vogliamo della tecnologia come servizio – dice Rossella Macinante, Practice Leader di NetConsulting – è che nel suo insieme si tratta di tecnologia poco matura in termini di livelli di adozione, ma molto matura se pensiamo alle varie componenti tecnologiche costituenti, virtualizzazione e automazione in testa, che hanno già penetrato una parte significativa delle aziende del campione”.
Così, la maturità visibile è bassa: il cloud computing, malgrado l’alto grado di interesse (figura 1) è molto indietro rispetto alle strategiche It Governance e Unified Communication, o alle stesse Soa e Green It. Anche se correrà nei prossimi anni, oggi è relegato, con adozione vicina a zero, a livello di “tecnologia emergente”, come Virtualizzazione dei desktop (lenta ad assumere un sempre più forte interesse) e Rfid. Più matura Hpc, nicchia che interessa una fascia alta di mercato, ma in rapido allargamento verso il basso.
Figura 1 – Livello di adozione del cloud computing in relazione ad altre tecnologie
(cliccare sull’immagine per visualizzarla correttamente)
Ma il “potenziale” è alto: perché è alto il livello di adozione delle tecnologie “propedeutiche”, in primis la virtualizzazione di server e storage e i rispettivi consolidamenti, condizione sine qua non per muovere verso il cloud. Messa bene è anche Soa, che alza il livello di standardizzazione delle applicazioni e ne semplifica la gestione. Un po’ in secondo piano l’automazione, di cui si sottostima l’importanza, dato che per il cloud serve un sistema altamente automatizzato, che consenta, per esempio, il provisioning e il deprovisioning in “self-service”.
La Sicurezza dei dati sensibili è invece il primo degli inibitori tecnologici per il cloud. Un’indagine Ca Technologies a livello europeo la colloca al secondo posto (22%) fra i fattori di freno all’adozione del cloud, seconda solo alla Assenza di business case (al 30%) che, per inciso, “riflette, più che un problema di costi, la difficoltà a dimostrare il Roi di un progetto Cloud”, aggiunge Molteni. E sì che nella stessa indagine, proprio la capacità intrinseca del servizio cloud di ribaltarsi in servizio It, con chargeback al business, è un fattore abilitante.
Esigenze strategiche e tecnologie abilitanti
L’indagine NetConsulting è stata condotta tra settembre e dicembre 2009 presso i Chief Information Security Officer di 50 aziende: sono aziende medio grandi per un contesto italiano (maggioranza oltre i 5000 dipendenti, tre quarti oltre i 2000); e coprono oltre il 50% della spesa It in Italia. Netta la prevalenza del Finance (36%), con Industria/retail, Telco/media, Pal e Pac più o meno equamente distribuite (sul 15%).
Essenziale un distinguo fra le Esigenze strategiche e le Tecnologie abilitanti. Le tre Esigenze strategiche (Gestione di identità e ruoli, Tracciabilità e gestione degli accessi e Sicurezza del dato) dipendono da sei tecnologie: User provisioning, Compliance management, Identity federation, Data loss prevention, cruciale per la sicurezza del dato), Strong authentication e Identity & access management (Iam) nelle sue varie accezioni riportate in figura 2.
Figura 2 – Tecnologie abilitanti la cloud security
(cliccare sull’immagine per visualizzarla correttamente)
I rispondenti hanno attribuito a tutte le tecnologie una priorità, in scala da 1 a 5, vicino alla massima, ma è chiaro che senza Iam e Data loss prevention è impossibile soddisfare le tre esigenze strategiche.
Beninteso la sicurezza, oltre che del dato, è storicamente anche di perimetro, contro le minacce. Senza un sistema di Threat management, è impossibile mettere in sicurezza la rete e i sistemi, anche solo per il grado di apertura che le aziende hanno nei confronti del Web oggi. L’indagine fotografa un mercato ormai maturo dove restano margini di crescita specifici: sono al 30% l’application firewall (ulteriore livello rispetto al normale firewall), o l’antivirus per Pda o smartphone; un’area di insufficiente consapevolezza per le aziende, data la grande diffusione che ormai ha in azienda un Blackberry, in cui circola anche solo posta che può contenere dati sensibili. In ambiente cloud, la Sicurezza perimetrale resta importante, ma è chiaramente meno cruciale rispetto alle Gestioni identità e controllo accessi.
Nella Gestione delle identità le aree scoperte sono considerevoli, vedi figura 3. Al di là della directory (tutti hanno un repository degli utenti aziendali o autorizzati), e all’identity management stabile al 69%, crescono User & Resource provisioning (51-67%) e Single sign-on (47-55%).
Figura 3 – Aree scoperte nella gestione delle identità
(cliccare sull’immagine per visualizzarla correttamente)
Più bassa l’adozione delle soluzioni biometriche, salvo in ambienti considerati particolarmente critici (come l’Ict delle Tlc). La Strong authentication si sta diffondendo sia come smart card (28-33%) che come token (39-48%). L’utilizzo come smart card è tipico in Pac/Pal, dove la carta nazionale/regionale dei servizi viene usata dai dipendenti per la loro Gestione Identità nell’accesso ai sistemi aziendali. Il token ha punte assai alte di adozione nelle Tlc e nel Finance (Internet banking o trading online), ma è un costo di gestione e distribuzione; solo i grandi gruppi bancari (Bnl/Bnp, Intesa, Unicredit) hanno scelto di dotarne gratis i propri clienti; le banche solo online lo evitano o scelgono alternative di verifica via cellulare (Allianz), altre lo mettono come opzione a pagamento, che il cliente vede come ulteriore balzello. È allora in arrivo la Strong authentication software (una smart card virtuale distribuibile in modo sicuro) che dà le stesse garanzie di smart card e token (è del 30 Agosto l’annuncio della tecnologia Arcot, di cui CaT è reseller per l’Italia).
Il livello medio di adozione per la Gestione e il controllo degli accessi mostra una crescita moderata per Access management (55-69%) e Web access management (51-55%). Ancora molto basse le soluzioni di Identity federation (8-17%), molto utili per abilitare l’accesso unico a una serie di enti. Infatti è al 33% in Pal e Pac, in cui la federazione è implicita.
C’è una chiara esposizione nella Data loss prevention : salvo un 30% nelle Pal, è paurosamente basso il livello di adozione, anche nel Finance (dove almeno c’è un 31% in via di realizzazione) mentre servono i sistemi che consentono di evitare l’uso fraudolento di dati da parte dei dipendenti.
La governance della sicurezza
Ma ciò che consente di adottare una strategia di sicurezza a 360 gradi, in grado correlare tra loro tutte le informazioni provenienti dai sistemi, è la Governance della sicurezza, con cruscotti integrati per la gestione e il monitoraggio di eventi significativi per la sicurezza. Si arriva a una prevenzione efficace sulla base degli alert che vengono filtrati e generati sui cruscotti, all’attenzione del livello giusto di personale cui spetta agire. Qui c’è stata una robusta crescita fra 2008 e 2009, più dello stesso Finance di Pac e Pal, trainati dai livelli di sicurezza adottati dai loro outsourcer, cui più di altri hanno fatto ricorso. Industria e servizi rimangono fanalino di coda.
La spesa in sicurezza delle 50 aziende del campione? Nel 2009 c’è stato un calo frazionale, da 3,5 a 3,3 milioni di euro, contro un calo dell’8,9% della spesa complessiva It, a riprova di una certa incomprimibilità delle spese di sicurezza. La sicurezza perimetrale (Threat Management), era prevalente sullo Iam, ma negli anni è scesa al 31% contro il 35% dello Iam. Il resto è Consulenza al 17% e Security (info) Management al 17%.
Alla fine c’è una “predisposizione al cloud” che nel campione è stata misurata in termini di sufficiente adozione di tecnologie propedeutiche e di sicurezza, vedi figura 4. Sono così emersi quattro livelli di readiness. Un 26% di aziende è “pronto”, con un grado di virtualizzazione dei sistemi oltre l’80% e tutte le tecnologie di sicurezza in pista. Si tratta prevalentemente di aziende grandi. Il grosso (54%) è in una situazione “intermedia”, cui per andare al cloud serve un salto per completare l’adozione di tecnologie abilitanti e “coprirsi” con soluzioni di sicurezza complete. Ma c’è anche un 12% di aziende “non sicure”, dove è buono il livello di virtualizzazione ma manca ancora un piano di sicurezza adeguato o un controllo identità degli accessi. E infine c’è un 8% che non è pronto tout court, senza piano di sicurezza e virtualizzazione.
Le soluzioni di Ca Technologies
Elio Molteni, Senior Solution Strategist, Ca Technologies (e Presidente del Capitolo Italiano della System Security Association, che in vista del cloud sta creando una sua “costola”, la Cloud Security Alliance), ci racconta che sono sostanzialmente due le mosse di Ca Technologies nel rafforzare le tecnologie di sicurezza in vista del cloud.
Con la prima, che è per la sicurezza in generale, viene introdotto il Content aware Identity access management (Content aware Iam), una gestione della identità e degli accessi che protegge il dato in funzione del suo livello di importanza, anche se acceduto da identità autorizzata. Il che consente: di verificare in che modo un utente, ottenuto l’accesso al dato, utilizza le informazioni; di bloccare azioni non autorizzate dal livello di protezione del dato, se i privilegi dell’identità identificata non sono adeguati; ed eventualmente di attivare un’azione di contrasto prestabilita. Caso classico, ma non certo unico, diventa impossibile copiare su chiavetta, se l’azione non è ammessa per l’identità individuata e può, per esempio, scattare un alert e/o una registrazione di un tentativo indebito a carico dell’identità.
La seconda mossa introduce una strategia di sicurezza che estende l’Enterprise Security a coprire le condizioni in cui l’azienda si troverà ad operare col cloud. Vengono identificate le tre possibili modalità di utilizzo del cloud, garantendone le corrispondenti sicurezze, con l’opportuno ricorso, tra l’altro, al Content aware Iam. Così c’è una Sicurezza al Cloud (To) che protegge il Sourcing di servizi It e garantisce un Content Aware Iam per un’azienda che acceda a servizi It o a dati protetti messi in cloud. C’è una Sicurezza per il Cloud (For), per i cloud provider che devono garantire un adeguato livello di sicurezza per gli ambienti virtualizzati e i cloud privati che servono. E infine c’è una Sicurezza dal Cloud (From), che garantisce la coesistenza degli ambienti/servizi on premise e in cloud; l’Identità e a monte l’autorizzazione del profilo (cui si associano i privilegi) potranno essi stessi essere Servizi in Cloud.
Leggi anche: “Sicurezza e cloud: questione di fiducia”
e “Un approccio strutturato alla sicurezza nel cloud“