La sicurezza aziendale deve essere integrata a livello logico nel business di appartenenza e non può essere demandata unicamente ai responsabili di rete
In questa intervista a Stefano Sali, Senior Principal Consultant Security di CA Technologies, affrontiamo il tema della sicurezza partendo dall'Identity and Access Management per arrivare al Secure Cloud mettendo in evidenza le indicazioni di CA e le soluzioni in ambito business.
Come si coniuga la logica di sicurezza rispetto a trend emergenti quali cloud, mobile, big data e IoT?
Cloud, Mobile, Big Data e IoT non stanno trasformando solo il mondo dell’IT, ma anche e soprattutto il modo in cui si interagisce con l’ecosistema delle informazioni. L’utilizzo massivo di smartphone a tablet ha cambiato sostanzialmente il modo di interpretare le applicazioni e l’accesso ai dati. Con questo scenario, bilanciare le priorità del business con la protezione degli accessi può risultare un compito non facile se ci si focalizza sulla sicurezza perimetrale, ma se si guarda all’unico elemento che rimane invariato in tutte le interazioni tra azienda e utente allora il punto di vista cambia. E’ infatti l’identità digitale il nuovo perimetro della sicurezza. diventa necessario avere una visione olistica delle identità e degli accessi, adottando un modello di gestione basato su standard aperti e federabili, con processi anche più formali, che permettano di estendere l’esercizio al di fuori dei perimetri convenzionali.
Quali ritenete siano oggi le maggiori vulnerabilità in termini di sicurezza cui è esposta un’azienda?
Oltre alle classiche minacce di virus e malware stiamo assistendo ad un aumento delle APT (Advanced Persistent Threats), il cui obbiettivo è spesso il furto delle identità digitali e l’ottenimento dei privilegi di accesso sufficienti a effettuare frodi finanziare o furti di informazioni riservate, cito ad esempio i recenti Christmas Hack di Amazon, Xbox e Playstation.Le tipologie principali di attacco possono concentrarsi sui device di nuova tecnologia, ancora ad uno stadio di maturità dove la sicurezza non è un fattore discriminante di scelta per gli utenti finali, e sulle identità digitali, non sempre protette con la dovuta attenzione e oggetto di molti traffici illeciti.I device mobili, come le applicazioni per essi sviluppate, non sempre mettono la sicurezza al primo posto. Vi sono diverse piattaforme con caratteristiche di sicurezza anche molto diverse tra loro, e applicazioni con doti estetiche e di usabilità che privilegiano l’esperienza d’uso per l’utente rispetto alla sua sicurezza.Ogni persona può utilizzare servizi da molteplici società, spesso è richiesta una registrazione di un account per accedere ad un servizio o ad una applicazione, purtroppo non tutti i fornitori di servizi hanno la stessa cura e attenzione per la privacy dei propri clienti o delle identità degli stessi. Secondo un recente sondaggio, negli USA molte società dichiarano di aver già subito un furto di identità, ma altrettante non sanno di averlo subito….
Gestione delle identità, quale sfida per il Cloud?
Quanto detto finora in merito alle minacce informatiche e ai nuovi confini dell’IT vale anche nel mondo Cloud, con maggiori preoccupazioni dei possibili clienti relativamente all’integrità e alla riservatezza delle loro informazioni e delle loro identità, in un ambiente per natura privato distribuito e aperto al mondo.La previsione di crescita del mercato IAM SaaS fino al 2017 è pari a 800 milioni di dollari, ovvero un aumento del 16.9%; questo dato non poteva essere certo trascurato dalle grandi aziende di software.La sfida della gestione delle identità nel Cloud vede delle soluzioni già disponibili, sia on-premise sia tramite servizi Cloud specifici per la sicurezza delle identità digitali e degli accessi, capaci di integrarsi con le soluzioni on-premise delle società e con le altre realtà SaaS.Non sarà più necessario registrare le nostre informazioni personali in ogni service provider, con il rischio che vengano trafugate o compromesse, né demandare alle applicazioni o di nuovo ai singoli service provider l’autenticazione e autorizzazione all’accesso. L’utilizzo di protocolli sicuri di federazione quali SAML 2.0 e di tecnologie di autenticazione innovative, sicure e semplici da utilizzare, quali le Smart Card Virtuali, renderà l’esperienza d’uso sicura oltre che semplice.Una soluzione SaaS confrontata con l’equivalente on-premise presenta diversi benefici, in termini di funzionalità, ma soprattutto in termini di riduzione dei costi. I servizi IT IAM on-premise continueranno a essere indispensabili quando saranno richiesti alti livelli di personalizzazione, che per natura non sono considerati nelle soluzioni SaaS. Le proposte Cloud offrono infatti servizi con casi d’uso ben definiti e difficilmente modificabili, anche per poter dare chiarezza su SLA e termini dei contratti. In sintesi, la gestione delle identità e degli accessi è sicuramente un’ottima opportunità per la sicurezza IT.
In base ai concetti sinora espressi, come si posiziona la vostra offerta?
CA Technologies, già leader nella sicurezza per l’area Identity and Access Management, da tempo concentra i propri sforzi esattamente sulle aree di Mobile e Cloud Security; inoltre è stata tra le prime a proporre una soluzione Cloud per la gestione delle identità e degli accessi da Cloud, verso Cloud e on-premise, denominata CA Secure Cloud (conosciuta in precedenza come CA CloudMinder).CA Secure Cloud è un’infrastruttura integrata per la gestione degli accessi e delle identità di livello enterprise, erogata da Cloud e che può gestire sia applicazioni Cloud che on-premise. E’ una soluzione completa, che eredita l’esperienza di CA Technologies nel settore dell’Identity Management e del controllo accessi web e API, che permette di indirizzare i bisogni attuali del mercato, ed è già pronta per soddisfare le esigenze del prossimo futuro, grazie al supporto di tecnologie all’avanguardia.
ChannelCity e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como , n. 21/2007 del 11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.