Logo ImpresaCity.it

CA Technologies, la sicurezza ai tempi del cloud

La quarta edizione della ricerca sullo stato della sicurezza delle aziende in Italia conferma molte evidenze degli anni passati e si focalizza sul tema della ‘cloud security'. Un quarto del campione, rappresentato da aziende medio-grandi, si dice pronto a portare la sicurezza nella nuvola. Permangono dubbi e perplessità. CA mette in campo la strategia Content Aware Identity and Access Management.

Barbara Torresani

Il cloud computing è il paradigma tecnologico del futuro, che si pone come reale alternativa ai modelli tradizionali di IT. La consapevolezza dell'importanza del fenomeno è ormai diffusa tra le aziende, che stanno cercando di capire come muoversi in questa direzione.
I freni all'adozione sono diversi e, tra questi, la sicurezza è sicuramente uno dei principali. Per affermarsi il cloud deve garantire lo stesso grado di sicurezza che oggi le aziende sono in grado di stabilire al proprio interno.ca-technologies-la-sicurezza-ai-tempi-del-cloud-1.jpg
Le dinamiche del mercato della sicurezza e quanto le aziende siano pronte a portare questa componente in ambito cloud sono state oggetto di una ricerca commissionata da CA Technologies a  NetConsulting, giunta alla quarta edizione.
Nella comparazione con l'anno precedente i risultati della ricerca relativi alla parte di sicurezza tradizionale non fanno che confermare le tendenze in atto in quest'ambito: l'attenzione alla sicurezza rimane fondamentale per le aziende del panel, e in particolar modo, si evidenzia come  la focalizzazione principale laddove si vuole implementare un'architettura cloud riguarda il fatto di  garantire esigenze quali: la gestione di identità e ruoli, la tracciabilità e gestione degli accessi e la sicurezza del dato, tecnologie che si collocano sotto l'ombrello dell'Identity & Access Management (IAM) e della Data Loss Prevention. Per intendersi, si tratta delle stesse soluzioni che consentono di gestire in modo sicuro l'azienda, utilizzate in un modo ancora più esteso rispetto a come esse sono state finora adottate in ambito enterprise: user provisioning, identity and access management, strong authentication, data loss prevention, compliance management, identity federation…. Sono queste, le soluzioni che permetteranno di gestire in sicurezza un ambiente di tipo cloud. Tutte tematiche che CA Technologies indirizza con la nuova strategia di Content Aware Identity and Access Management.


"All'interno del panel di aziende prese in esame, spiega Rossella Macinante, practice leader in Netconsulting, il cloud computing assume un alto grado di interesse, e anche se il livello di adozione è ancora molto basso (praticamente nullo nel 2009) nei prossimi tre anni si evidenzia una tendenza a un'elevata adozione o quantomeno a un salto in avanti rispetto alla situazione attuale. Le grandi aziende stanno infatti valutando le azioni da intraprendere, i benefici collegati, i modelli da adottare per poi muoversi verso questo framework architettuca-technologies-la-sicurezza-ai-tempi-del-cloud-3.jpgrale".
Dalla ricerca emerge come una buona percentuale di aziende abbia già in utilizzo soluzioni di sicurezza che costituiscono gli elementi abilitanti il passaggio al cloud: un quarto delle aziende (26%) sembra essere "pronto" a confrontarsi con il paradigma, sia dal punto di vista culturale che tecnologico. Gestire in sicurezza un ambiente cloud vuol dire portare in un contesto esterno al perimetro aziendale, soluzioni, già sperimentate a livello enterprise, di controllo delle identità e degli accessi e di protezione dei dati, sia in ambiente fisico che virtualizzato. Il 54% delle aziende  (la fetta più consistente del campione) occupa invece una posizione intermedia, in cui a un ambiente ampiamente virtualizzato non corrisponde un utilizzo elevato di soluzioni IAM. 

[tit:La sicurezza nelle aziende italiane: il grado di adozione]
Il panel su cui è stata condotta la ricerca è composto da 50 responsabili della sicurezza di aziende di grandi e e grandissime organizzazioni: il 52% è costituito da imprese/enti con un numero di dipendenti superiore a 5.000 mentre solo il 14% ha un numero di lavoratori inferiore a 1.000. Lo spaccato per settore merceologico è cosi suddiviso: 36% Finance (banche e assicurazioni), il resto delle aziende intervistate è equamente distribuito negli altri settori: Industria/Servizi, TLC/Media, PAL e PAC.  Tutte realtà che contribuiscono in modo determinante alla spesa IT complessiva delle grandi aziende italiane, valutata da NetConsulting intorno a una cifra  superiore ai 10 miliardi di euro ed equivalente a oltre il 50% della spesa globale delle imprese italiane.  
La ricerca ha preso in esame lo stato di adozione degli strumenti di sicurezza perimetrale, ma sopratutto si è focalizzata sullall'adozione di soluzioni inerenti l'area della gestione delle identità e del controllo degli accessi, ritenuta elemento focale per una corretta strategia di protezione del cloud. 

[tit:Threat management e gestione delle Identità]
Il mercato threat management, difesa del perimetro aziendale, è molto consolidato con  tecnologie mature; tutte le aziende si sono dotate di antivirus, antispam, antisyware, firewall, ....con forti crescite nel biennio 2007 e 2009. Si tratta di tecnologie diffuse capillarmente, parte integrante della struttura di sicurezza e protezione dell'azienda, la cui domanda oggi è soprattutto di aggiornamento o sostituzione.
Sotto il cappello Gestione delle Identità  (Identity management) - tra le tecnologie per andare verso un'adozione del cloud – se il sistema di Directory (il repository di identità e ruoli), risulta ormai scontato all'interno di ogni sistema informativo ed è adottato al 100%, vi sono alcune soluzioni su cui c'è ancora da lavorare, quali: Identity Management (69% di adozione), User e Resource Provisioning (67%) e Single Signe On (55%).
Da segnalare però che tra il 2008 e il 2009 mentre la componente di Identity Management è rimasta stabile si è invece registrata una forte crescita dello User Resource Provisioning (dal 51% al 67%) per l'emergere di un'esigenza di maggior automazione nei vari ambiti dell'operation IT così come vi è stata una forte crescita nella componente Single Sign On (dal 47% al 55%).  "Abbiamo riscontrato anno dopo anno una crescita di cultura e di consapevolezza delle aziende sui benefici legati per esempio all'introduzione di un Single Signe On, non solo per una questione di sicurezza ma anche rendere più rapido l'accesso alle applicazioni aziendali, dice Macinante."
La componente di Strong Authentication ha riportato una forte crescita soprattutto sulla parte Token legata alla maggiore diffusione di questi strumenti. "Nell'ultimo anno si sta discutendo molto, in particolare negli istituti bancari, afferma Macinante, del fatto di adottare nuove forme di strong authentication; soprattutto per le aziende medie che non hanno il potere economico di distribuire gratuitamente il token ai propri clienti si sta pensando ad alternative di strong authentication di tipo software o anche mobile".
Nel contesto dell'Identity Mangement, l'area più arretrata è quella del Compliance Management (12%), che riguarda gli strumenti per rendere più automatica e veloce l'adozione di misure di compliance e il monitoraggio su queste procedure. "Credo che l'arretratezza sia attribuile al fatto che spesso questa componente non è sotto la gestione della sicurezza informatica ma coinvolge altre figure, che non hanno ancora la piena conoscenza delle potenzialità degli strumenti in questione utilizzano metodologie artigianali" commenta Macinante.
Guardando ai settori merceologici il Finance e  il Telco sono i settori che hanno maggiore esigenze e hanno adottato maggiori soluzioni in questo ambito. L'adozione delle soluzioni di Compliance è abbastanza simile nei differenti settori.  La Pubblica Amministrazione ha fatto grandi passi avanti, soprattutto sulla parte Identity Management, molto favorita dal discorso del Garante della Privacy e della gestione dei log degli amminstratori di sistema che ha indotto all'adozione di soluzioni di questo tipo.
In una posizione arretrata sono invece Industria e Servizi

[tit:Gestione e controllo accessi e DLP e Governance]
Nell'ambito della Gestione e controllo accessi il grado di adozione dell'Access Management (69%) è ormai da considerarsi equivalente a quello dell'Identity Management. E' un ambito che ha registrato una forte crescita.
Il Web Access Management (55%) è rimasto stabile su livelli di adozione simili al 2008 mentre la componente Identity Federation (17%) - strumenti che attraverso un'unica identificazione consentono di accedere a ambienti e applicazioni multiorganizzazione (tipo servizi al cittadino) - è cresciuta ancora poco, per una difficoltà a rendere interoperabili i sistemi delle varie organizzazioni e  anche per un limitato sviluppo dei servizi on line.
L'Access Management ha avuto una forte crescita sia nella PA centrale che nel finance, soprattutto per i processi di tracciamento dei log degli amministratori di sistema, che si sono portati dietro progetti nell'ambito della gestione e di controllo accesso.
Ed ecco l'ambito della Data Loss Prevention (DLP), con tecnologie dedicate a gestire e controllare come e con quali limitazioni possono essere utilizzati i dati - sia da parte di utenti interni, sia da parte di utenti esterni – al fine di attenuare il rischio di attività illecite causate da un uso improprio degli stessi. Si tratta di tecnologie  di recente introduzione sul mercato, rispetto alle quali è molto cresciuta la sensibilità negli ultimi anni. In questo caso la situazione è variegata e a macchia di leopardo, però c'è una tendenza all'adozione nei prossimi anni. Il 36% del campione dichiara infatti di andare verso l'introduzione di questo tipo di strumenti.
Infine il tema della Governance, come cruscotti integrati per la gestione e il monitoraggio di eventi legati alla sicurezza; in quest'ambito si è registrato un forte miglioramento rispetto agli anni scorsi:  i progetti del 2008 si sono conclusi e tradotti in strumenti nel 2009.
L'efficienza ed efficacia nell'utilizzo di soluzioni di gestione e controllo dell'identità, degli accessi e delle informazioni può realizzarsi pienamente attraverso attività di monitoraggio basate su cruscotti integrati.
Introdurre una prospettiva di Governance della sicurezza aiuta a identificare con immediatezza eventi potenzialmente critici e consente di avere strumenti per attivare un controllo e una gestione più potente e semplificata. Le aziende che hanno in esercizio applicazioni associate a questa tipologia di soluzioni di governance, rispetto al periodo precedente monitorato dall'indagine, sono passate dal 29,5% al 38,1%. Se si considera la porzione di organizzazioni che si dichiarano prossime a una loro implementazione, la percentuale di aziende diventa superiore al 50%. 

[tit:La spesa e i progetti]
In generale la spesa destinata alla sicurezza non ha subito grandi variazioni. Si è teso a diluire i progetti, che però sono proseguiti per tutto il 2009 e sono in agenda anche per il 2010, soprattutto nell'ambito della gestione delle identità, l'area che continua ad essere quella più avanzata e su cui si continua a investire. Il 52,4% delle aziende considera attività progettuali in quest'area nel corso del 2010. Seguono poi la gestione degli accessi e le soluzioni per la protezione dei dati, equamente oggetto di attenzione da parte di un 35,7% delle imprese oggetto dell'indagine. Si tratta di progetti complessi, pluriennali, che si ritrovano negli anni, in quanto spesso vengono divisi, diluiti e affrontati per aree diverse.
Guardando ai settori merceologici i risultati sono molto coerenti negli anni: finance e telco si posizionano sempre avanti, e industria e servizi indietro. In queste ultime aziende c'è una minore esigenza di sicurezza, anche per un minore livello di sensibilità.Se PA sia centrale che locale e industria e servizi sono attive in termini di progettualità, la spesa in questi segmenti è poi decisamente più ridotta rispetto ai mercati Finance e  Telco, che coprono la fetta maggiore della spesa in sicurezza.
In termini di ambiti della spesa in sicurezza  è fortemente cresciuta la fetta relativa alla componente IAM (che incide per il 35,3%) e il threat management ha assorbito il 30,3% della spesa destinata alla sicurezza di un'azienda. Il profilo di spesa per la sicurezza tende quindi a modificarsi e a stabilire un rapporto che privilegia soluzioni che vanno al di là della difesa dei confini aziendali e che si concentrano attorno alla tematica di controllo di accessi e identità.
La spesa complessiva per la sicurezza risulta essere in lieve flessione per quanto riguarda il valore assoluto, ma in crescita se analizzata dal punto di vista dell'incidenza sulla spesa IT complessiva. Considerate le difficili condizioni economiche e la costante attenzione al controllo dei costi e al contenimento dei budget IT, lo scenario fotografato da NetConsulting rivela quanto la sicurezza sia diventata ormai un elemento irrinunciabile per le imprese. Non esiste IT ed erogazione di servizi che non sottintenda una qualche forma di protezione del perimetro aziendale, delle identità, degli accessi e dei dati.  
In termini di fattori di spinta e di freno rispetto agli anni passati non ci sono stati cambiamenti significativi e i dati italiani sono molto allineati a quelli europei e in generale mondiali.
La compliance rimane il driver principale, che, sopratutto in Italia ha contribuito ha fare crescere la cultura della sicurezza. "Si nota una consapevolezza maggiore da parte del top management di quelli che sono i danni conseguenti ad eventuali vulnerabilità e l'incremento di accesso da applicazioni dal web è sicuramante un fattore che obbliga le aziende a mettere in protezione i propri database e le proprie applicazioni, sottlinea Macinante".
Budget limitati o assenti rimangono il principale fattore di freno soprattutto in un anno come il 2009 in cui nonostante il budget medio destinato alla sicurezzza non si è ridotto si è operato in un contesto di forte attenzione ai costi.
La priorità della sicurezza si rivela anche nella predisposizione agli investimenti: il 34% delle aziende afferma che la spesa dedicata alla sicurezza è in aumento; solo il 24% ritiene che sia in diminuzione, in assoluta controtendenza con l'andamento della spesa IT nel suo complesso che nel 2009 ha registrato un calo di circa l'8%.

[tit:Sicurezza e cloud: il ruolo di CA Technologies]
Nel valutare quali e quante sono le aziende predisposte al cloud la ricerca ha preso in considerazione quanto le aziende intervistate hanno già adottato soluzioni di sicurezza, in termini di gestione di identità, controllo degli accessi e protezione dei dati  e il grado di presenza di sistemi virtualizzati, passo fondamentale verso l'adozione del cloud.
Quattro le categorie di aziende risultanti: l'8% del campione analizzato emerge come not ready in quanto presenta un livello medio basso di implementazione di soluzioni di sicurezza abilitanti, ma anche un ricorso limitato alla virtualizzazione dei sistemi; il 12% è not secure poiché presenta un alto grado di virtualizzazione cui si accompagna però un grado di adozione di soluzioni abilitanti la sicurezza in area cloud piuttosto basso;  il 54%  risulta intermediate, con presenza media di soluzioni di sicurezza abilitanti abbinata ad un livello di utilizzo elevato medio-alto di sistemi di virtualizzazione; mentre sono ready  il 26% delle aziende analizzate, in cui si rileva sia un alto grado di virtualizzazione dei sistemi sia una presenza assoluta di soluzioni necessarie per l'adozione del cloud in piena sicurezza ed efficienza.
In questo contesto CA Technologies vuole giocare il ruolo di partner tecnologico e di business in grado di coprire le diverse dimensioni di tipologia del cloud, quali infrastruttura, piattaforma, applicazione.
Di recente la società ha presentato la nuova strategia di Content Aware Identity and Access Management, che affianca il controllo dell'informazione e della compliance ai livelli di gestione delle identità e degli accessi.
Pubblicato il: 30/07/2010

Tag:

Speciali

speciali

Cybertech Europe 2018

speciali

Veeam On Forum 2018, il futuro iper-disponibile corre veloce