La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
22<br />
Security<br />
Redazionale<br />
Determinare il TCO di una soluzione<br />
di autenticazione a due fattori<br />
Daniele Zappelli<br />
Channel Account Manager<br />
daniele.zappelli@rsa.com<br />
Le organizzazioni da sempre richiedono<br />
la verifica delle identità degli utenti prima<br />
di consentire l’accesso a risorse strategiche<br />
aziendali. Il fine <strong>è</strong> sempre il medesimo:<br />
prevenire l’accesso non autorizzato. Le<br />
modalità di identificazione utilizzate/scelte<br />
dipendono dall’importanza e dal valore<br />
delle risorse da proteggere e offrono<br />
differenti livelli di sicurezza, praticità per<br />
l’utente e costi.<br />
L’autenticazione a due fattori richiede<br />
all’utente di utilizzare ciò che lui conosce,<br />
la sua password, unitamente a ciò che<br />
possiede, un token, una smart card, una<br />
immagine biometrica. L’identificazione a<br />
due fattori <strong>è</strong> il metodo più utilizzato per<br />
l’accertamento dell’identità.<br />
I fattori che comprimono il total cost of<br />
ownership (TCO) della soluzione e forniscono<br />
un framework di comparazione<br />
per offerte simili costituiscono l’oggetto di<br />
questo articolo e sono:<br />
Il costo d’acquisto del prodotto, che può<br />
essere un token, una smart card, un telefono<br />
cellulare… Alcuni apparati hanno<br />
aspettative di funzionamento (durata) che<br />
impattano sul costo iniziale. Ad esempio,<br />
il costo di un token che ha un’aspettativa<br />
di vita maggiore, potrebbe essere<br />
inizialmente più costoso, ma avrebbe un<br />
costo annuale inferiore rispetto ad uno<br />
con durata più breve. Perché un token,<br />
o un qualsiasi device, ha un aspettativa<br />
di durata predeterminata? Sulla base di<br />
quanto confermato dai clienti, RSA ha<br />
rilevato preferibile prevedere e pianificare<br />
la scadenza di ogni device piuttosto che<br />
trovarsi in balia di scadenze improvvise.<br />
Altro aspetto da considerare <strong>è</strong> la qualità<br />
del device e la garanzia offerta dal vendor.<br />
Device di scarsa qualità si rompono facilmente<br />
e i costi di sostituzione erodono il<br />
risparmio iniziale. <strong>La</strong> perdita di produttività<br />
del dipendente, i costi di help desk,<br />
quelli di implementazione aggiuntivi e di<br />
riacquisto aumentano considerevolmente<br />
il TCO.<br />
Il server di autenticazione <strong>è</strong> la componente<br />
che riceve e verifica le informazioni<br />
fornite dall’utente, autorizzandolo o meno<br />
all’accesso. Il server dovrebbe fornire l’interfaccia<br />
amministrativa per la gestione di<br />
funzioni basilari quali l’inserimento o la<br />
cancellazione di utenti e/o l’assegnazione,<br />
ri-assegnazione di device. Inoltre, grazie<br />
alla console self service, gli utenti possono<br />
effettuare in autonomia azioni quali<br />
il reset del codice PIN o richiedere una<br />
password di emergenza. E’ importante<br />
prevedere funzionalità di alta affidabilità,<br />
e verificare se la soluzione scelta le include<br />
nel costo iniziale. Alcuni vendor perseguono<br />
la tattica dell’unbundling, vendendo<br />
certe funzionalità separatamente e con<br />
costi aggiuntivi.<br />
Il costo di manutenzione, solitamente<br />
calcolato come percentuale sul prezzo del<br />
server di autenticazione, può variare da<br />
vendor a vendor. Considerando l’offerta<br />
di manutenzione siate sicuri di valutare il<br />
costo orario del supporto tecnico, dei servizi<br />
online e delle policy relative al rilascio<br />
di nuove software release. Alcuni vendor<br />
potrebbero prevedere costi aggiuntivi<br />
per nuove release di prodotto. I costi di<br />
system integration sono quelli associati<br />
alla personalizzazione della soluzione sulla<br />
base di specifiche esigenze. Un vendor che<br />
offre un certificato di assoluta interoperabilità<br />
con molti sistemi terze parti contribuisce<br />
ad eliminare dei costi addizionali di<br />
servizi professionali, riducendo il TCO.<br />
I costi giornalieri associati all’operatività<br />
dei servizi di autenticazione. Spetta ad un<br />
amministratore la gestione dei task di assegnazione<br />
dei device e il relativo supporto/<br />
help desk (PIN dimenticato, sincronizzazione<br />
del device o del server…). Questi<br />
costi amministrativi e di staff possono<br />
essere ridotti offrendo funzionalità self<br />
service.<br />
<strong>La</strong> necessità di sostituire un device danneggiato<br />
o smarrito rappresenta un costo,<br />
non solo per il ri-acquisto ma anche per<br />
le spese di distribuzione. Per i device<br />
danneggiati <strong>è</strong> bene prestare attenzione alla<br />
qualità e alla garanzia offerta dal vendor.<br />
Prodotti che frequentemente si danneggiano<br />
fanno lievitare i costi. Alcuni vendor<br />
offrono una garanzia limitata nel tempo<br />
mentre alti potrebbero richiedere dei costi<br />
addizionali per questo servizio.<br />
RSA SecurID<br />
RSA SecurID, viene utilizzato da oltre<br />
40.000.000 di persone al mondo. Facile<br />
comprendere come RSA sia ben posizionata<br />
nel mercato e sia la guida naturale per<br />
quelle aziende che vogliono proteggere<br />
identità, infrastrutture e informazioni da<br />
attacchi esterni.<br />
Per ulteriori informazioni:<br />
www.rsa.it