La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
26<br />
Security<br />
la parola ai Partner<br />
I rischi per la sicurezza di Cloud Computing<br />
e Social Media analizzati da Emilio Turani di Stonesoft<br />
e Massimo Turchetto di SecureGate.<br />
Emilio Turani<br />
Country Manager Italy ,Greece,Turkey &<br />
Italian Switzerland<br />
info.italy@stonesoft.it<br />
Un vendor e un system integrator, legati<br />
da un decennale rapporto di collaborazione,<br />
si confrontano sulle evoluzioni dello<br />
scenario di sicurezza a fronte delle nuove<br />
minacce provenienti da Cloud Computing<br />
e Social Media<br />
D: Quanto il ricorso all’Outsourcing o il<br />
boom dei Social Network hanno inciso<br />
sull’evoluzione e l’incremento delle<br />
minacce?<br />
Turchetto: Enormemente e sempre più<br />
incideranno. Cloud Computing e Social<br />
Network sono utilizzati in maniera crescente<br />
dalle aziende per ottimizzare le<br />
risorse o per interagire e cercare nuovi<br />
clienti, soprattutto in questo momento<br />
di recessione. Ma se da un lato si rivelano<br />
straordinarie opportunità, dall’altro<br />
introducono nuove minacce, che si stanno<br />
diffondendo in maniera esponenziale. Nel<br />
caso del Cloud Computing, ad esempio,<br />
può capitare che le aziende che offrono in<br />
outsourcing servizi on-line appartengano<br />
ad un network. Il fornitore di servizi in<br />
contatto con il cliente finale, infatti, può<br />
a sua volta riferirsi ad altre aziende che<br />
erogano lo stesso servizio on the cloud.<br />
Di conseguenza, il cliente finale si troverà<br />
a far gestire i propri dati sensibili non<br />
solo dal fornitore principale, ma anche<br />
dalla rete di provider esterni che si viene<br />
a creare, perdendo percezione e controllo<br />
delle informazioni. Gli accordi sul livello<br />
del servizio non risolvono in toto questo<br />
problema, in quanto vengono siglati tra<br />
il fornitore principale e il cliente finale,<br />
ma restano esclusi tutti gli altri eventuali<br />
componenti del network di Cloud Computing.<br />
<strong>La</strong> sfida <strong>è</strong> pertanto quella di regolamentare<br />
la fornitura di questi servizi,<br />
attraverso standard di mercato condivisi<br />
da tutta la rete di Cloud Computing. A<br />
questi vanno aggiunti strumenti interoperabili<br />
di autenticazione, di controllo degli<br />
accessi, di cifratura dei dati, di Data Loss<br />
Prevention che consentano di ricorrere in<br />
maniera sicura a questi nuovi strumenti.<br />
Anche le minacce che si diffondono attraverso<br />
i Social Network sono in sostanziale<br />
aumento e si possono paragonare all’impatto<br />
che lo spam via mail ha registrato<br />
fino a qualche anno fa. <strong>La</strong> sicurezza diventa<br />
pertanto il fattore abilitante all’utilizzo<br />
professionale di queste nuove tecnologie,<br />
ma devono essere definiti standard di interoperabilità<br />
tra i vari fornitori di servizio.<br />
Turani: Mi trovo assolutamente d’accordo.<br />
Vorrei porre l’attenzione però anche<br />
sull’aspetto culturale, che a mio avviso si<br />
trova alla base dei rischi generati da Social<br />
Network e Cloud Computing. Nel primo<br />
caso, aumentando l’interazione tra utenti<br />
e applicativi Web 2.0, cresce sensibilmente<br />
l’esposizione per una realtà aziendale alle<br />
minacce che si diffondono tramite Internet.<br />
I dipendenti spesso utilizzano il PC<br />
aziendale anche al di fuori del luogo di<br />
lavoro, magari durante il week-end, ma<br />
nel momento in cui si riconnette alla rete<br />
aziendale esso può diventare il vettore<br />
principale di tutta una serie di pericoli<br />
che possono essere causa di ingenti danni<br />
per un’organizzazione. Dal momento<br />
che il fattore umano in questo caso <strong>è</strong> il<br />
protagonista, ecco come l’educazione dei<br />
dipendenti all’utilizzo dei Social Network<br />
sia fondamentale da parte dell’azienda,<br />
rispetto ad un atteggiamento proibizioni-<br />
sta. Certo l’aspetto culturale da solo non<br />
<strong>è</strong> sufficiente. Le organizzazioni devono<br />
dotare la propria infrastruttura di rete di<br />
un efficace sistema di protezione perimetrale<br />
in grado di tener traccia dei vari<br />
accessi ai Social Network dalla rete aziendale.<br />
Discorso assimilabile anche per il Cloud<br />
Computing, dove interviene un aspetto<br />
fondamentale: la fiducia tra le parti. Oltre<br />
ai tradizionali Service Level Agreement, il<br />
provider di servizi deve garantire il rispetto<br />
delle normative di sicurezza all’azienda;<br />
deve essere in grado di mettere a disposizione<br />
del proprio cliente un’infrastruttura<br />
perimetrale e granulare adeguata, scalabile,<br />
flessibile e versatile a seconda delle esigenze,<br />
con livelli di accesso personalizzabili,<br />
sia in base alla tipologia di azienda sia<br />
in base al ruolo dell’utente all’interno di<br />
una stessa organizzazione. Gli aspetti di<br />
security vanno verificati e concordati a<br />
priori tra le due parti, azienda e fornitore,<br />
e devono diventare parte integrante dei<br />
processi aziendali.<br />
Turchetto: C’<strong>è</strong> un aspetto ulteriore che<br />
vale la pena evidenziare. I fornitori di<br />
Cloud Computing, per ottimizzare costi<br />
e risorse, stanno sempre più rivolgendosi<br />
alle tecnologie di virtualizzazione. E<br />
questo introduce alcune problematiche<br />
di sicurezza che vanno gestite in maniera<br />
puntuale.<br />
Turani: Sì, infatti. Mentre esiste un legame<br />
diretto tra Virtualizzazione e Cloud<br />
Computing, lo stesso non si può dire tra<br />
Virtualizzazione e Security. Manca pertanto<br />
un tassello per completare il quadro e<br />
Stonesoft <strong>è</strong> in grado di fornire quest’anello<br />
mancante, grazie alle licenze virtuali che<br />
abbiamo sviluppato di Firewall e IPS che<br />
completano la nostra offerta di network<br />
security tanto per ambienti fisici che virtuali.