All’It Security Conference 2004 è intervenuto quest’anno anche Frank Gens, Senior Vice President Research di Idc e uno dei maggiori analisti della casa di Framingham, estensore sia degli ‘Idc Executive Insights’, che mensilmente fanno il punto sullo stato corrente e futuro dell’It, sia delle note ‘Idc Predictions’, dove ogni anno vengono esaminati quelli che si prevede saranno, nel medio termine, i più importanti sviluppi della tecnologia informatica.
Dato il tema del convegno, buona parte dell’intervento di Gens è stato dedicato all’analisi dei principali cambiamenti, sia tecnologici sia di business, che nei prossimi anni avranno un’influenza significativa sul modo di operare delle aziende nelle problematiche attinenti la sicurezza. Un’analisi che è stata preceduta dalla presentazione di alcuni dati circa la possibile evoluzione del mercato.
Frank Gens
Senior Vicepresident Research Idc
“Negli Stati Uniti come in tutto il resto del mondo – esordisce Gens – il tema della sicurezza sta diventando prioritario non solo a livello dei governi ma anche a quello del business e dell’It. Da un’indagine che abbiamo effettuato in Europa e negli Usa è emerso con tutta evidenza che il settore verso il quale nel 2004 verranno indirizzati gli investimenti maggiori è proprio quello riguardante la sicurezza delle informazioni e dei sistemi It, che con il 46% delle indicazioni precede sia il settore dei servizi al cliente (42%) sia quello del monitoraggio delle performance aziendali (29%). Nelle due aree geografiche c’e’ inoltre una sostanziale identità di vedute per quanto riguarda le possibili sub-aree di investimento, con una sola differenza: negli Stati Uniti le aziende sembrano essere più interessate alla protezione delle infrastrutture, mentre l’Europa sembra più orientata a privilegiare quella dei dati e delle informazioni.”
Quest’attenzione al ‘problema security’ fa sì che la stima di crescita Idc del mercato mondiale dei prodotti e dei servizi per la sicurezza It e la ‘business continuity’ sia tale da portarlo, nel 2006, a valere 116 miliardi di dollari, una cifra colossale, pari a quasi il 10% della spesa totale per l’It. Ma ciò non significa che ci si possa sentire davvero sicuri.
“Le aziende continuano a considerare la sicurezza qualcosa che riguarda in modo prevalente l’It e non il business, – osserva Gens – perdendo cosi’ di vista il problema nel suo complesso. Vi è poi il fatto che il mercato delle soluzioni riguardanti la sicurezza e la business continuity è relativamente frammentato e presenta evidenti buchi nell’offerta, il che tende a creare confusione nei potenziali clienti. Inoltre i vendor nel proporre le loro soluzioni usano spesso una strategia basata sulla paura, che tende a spaventare il cliente invece di portarlo a considerare i vantaggi legati al fatto di disporre di ‘security policy’ ragionate e d’infrastrutture capaci di far fronte in modo efficace agli eventuali problemi. Infine, si ha l’impressione che la dimensione del rischio e dei costi che potrebbero derivare dal possibile collasso dei loro sistemi non sia molto chiara alle aziende, che non sono quindi particolarmente motivate ad affrontare questa problematica. Senza rendersi conto che nel tempo difficilmente le cose potranno migliorare, mentre diventerà invece sempre più complesso il gestirle.”
Le tendenze, sia della tecnologia informatica sia del modo di fare business, che nei prossimi anni si riveleranno fondamentali per lo sviluppo delle imprese, sono diverse. Gens cita l’utility computing, la diffusione di Linux e del software open source, i Web service, le comunicazioni wireless, l’e-commerce B2B, l’istant messaging e il pervasive computing. Ognuna di esse ha possibilità potenzialmente enormi di migliorare la flessibilità, l’efficacia, la competitività delle aziende in un environment che sarà sicuramente sempre più complesso. Ma ognuna di esse presta anche il lato a nuovi attacchi, dai quali occorre necessariamente proteggersi.
Open source, servizi Web, wireless… Comodità che si pagano
“Non c’è dubbio – porta ad esempio Gens – che l’utility computing, come continuano a ripetere Hp, Ibm, Sun, Microsoft e Ca, apporterà miglioramenti fondamentali al modo di gestire le risorse informatiche in un ambiente distribuito, riducendo i costi e aumentando le performance delle infrastrutture It delle aziende. Ma ogni componente di questi sistemi che sia accessibile attraverso un network pubblico è suscettibile di attacchi esterni, dai quali dovremo cercare di proteggerci nel modo più efficace”. Questa considerazione vale anche per Linux e per tutti i prodotti open source, la cui adozione in applicazioni business-core presenta il potenziale pericolo dato dall’ esistenza di una comunità molto ampia di persone in grado di accedere e manipolare il software, con tutte le possibili conseguenze del caso.
“Vi sono poi i Web service, che molti – dice Gens – non sanno nemmeno molto bene che cosa siano. Questa tecnologia, che consente di mettere un involucro attorno alle applicazioni per far sì che queste diventino di impiego più facile sia all’interno di un’organizzazione sia tra organizzazioni diverse, consente di sfruttare in modo più efficace e flessibile il patrimonio applicativo esistente, in quanto semplifica l’integrazione dei software. Ma anche qui esiste una contropartita: nel momento in cui si mettono assieme questi pezzi di software, specie se di provenienza esterna, è lecito domandarsi se le funzionalità non possano essere state compromesse in modo intenzionale”.
Sicurezza e B2B, una crescita a due velocità (tassi di crescita cumulativi worldwide rapportati al 1998)
Fonte:IDC
Riguardo l’e-commerce, Idc mostra un grafico (vedi figura) che evidenzia come la crescita delle transazioni B2B e delle vulnerabilità con le quali le aziende devono confrontarsi (che ovviamente dipende dall’apertura dell’impresa a clienti, fornitori e partner) sia superiore a quella degli investimenti in sicurezza. Ovviamente, reti distribuite e modelli di business condivisi fanno ormai parte integrale delle strategie aziendali, in particolare per lo sviluppo dei prodotti, l’approvvigionamento delle materie prime, l’outsourcing della produzione; ma l’aumento del gap tra vulnerabilità e protezione non potrà non essere visto, nel tempo, come una fonte di pericolo.
Anche l’utilizzo delle comunicazioni wireless, per il quale Gens prevede nei prossimi anni una crescita esponenziale, dalla produzione sino ai ‘piani alti’ delle aziende, presenta possibili vulnerabilità. “Molti dei prodotti wireless supportano il protocollo 802.11b, quello iniziale, che ha notevoli limiti per quanto riguarda la sicurezza. Un primo livello di protezione in questo caso consistera’ nell’utilizzare le generazioni piu’ avanzate del protocollo.”
Un’altra innovazione importante è l’instant messaging, destinata a diventare una componente fondamentale della comunicazione all’interno delle imprese, affiancandosi all’e-mail e alla video conferenza. “Un’applicazione – osserva Gens – che ai numerosi vantaggi contrappone il fatto di essere notoriamente insicura. Dato il suo potenziale i vendor interessati stanno mettendo sul mercato nuove versioni più sicure, ma è chiaro che le aziende dovranno sviluppare security policy che comprendano, ad esempio, la cifratura dei messaggi e l’autenticazione degli interlocutori”.
Proteggere ciò che vale davvero
Il pervasive computing, infine, è una evoluzione dell’It che sta creando tante attese quanti incubi ai Cio, perché significa che ad Internet e alle intranet aziendali si collegheranno sempre più dispositivi. In Idc si pensa che nei prossimi otto anni il numero di apparati (Pc, telefoni cellulari, Pda, console per i giochi, device Rfid…) collegati alla Rete sarà sei volte quello attuale. “Un grosso problema non solo dal punto di vista della sicurezza – osserva Gens – ma anche da quello delle infrastrutture della Rete, per l’enorme quantità di dati che su di esse si riverseranno”.
In definitiva, da tutto questo emerge la necessità di concentrarsi sulla sicurezza. Il che, nella maggior parte dei casi, significa aumentare gli investimenti in quest’area. Ma tenuto conto delle dimensioni del problema ci si potrebbe chiedere se si potrà mai spendere abbastanza per rendere un’azienda veramente sicura. In realtà sul problema è in corso una fase di ripensamento, poiché ci si sta rendendo conto che una sicurezza al 100% è un obiettivo impossibile da raggiungere. Si va quindi verso una filosofia della gestione della sicurezza secondo la quale è importante capire che non tutte le informazioni hanno lo stesso valore. Il che porta a dover individuare non solo i punti di vulnerabilità e le misure che bisogna prendere, ma anche quale sia il valore delle informazioni che si vogliono proteggere, in modo da concentrare l’investimento su ciò che ha un valore maggiore, accettando un ragionevole margine di rischio per ciò che ne ha meno.
