Maggiore sicurezza per una migliore attività

Transcript

1 Maggiore sicurezza per una migliore attività Maggiore sicurezza per una migliore attività Strategia aziendale con una sicurezza dell'it più semplice e più interconnessa.

2 Maggiore sicurezza per una migliore attività Strategia aziendale con una sicurezza dell'it più semplice e più interconnessa Non è necessario ricordare l'importanza strategica della sicurezza informatica. È sufficiente leggere i titoli in cui periodicamente si riportano i casi di marchi importanti che perdono clienti, investitori e addirittura amministratori delegati a causa di violazioni dei dati di alto profilo o mancata adempienza. Le minacce sono reali e le conseguenze disastrose. Oggi, anche i membri dei consigli d'amministrazione sono consapevoli, loro malgrado, di queste nuove realtà. Pertanto, se siamo tutti sufficientemente spaventati, cosa dovrebbe comunicarci di nuovo quell'implacabile marea di cattive notizie? In parole semplici, ci sta comunicando che la tecnologia e l'approccio che utilizziamo per proteggere informazioni e sistemi non sta funzionando. Ci comunica che nonostante si spenda più che mai per la protezione dei sistemi e per l'adempienza ai requisiti interni e normativi, da qualche parte c'è sempre una perdita. Sono molteplici i motivi che giustificano una tale inefficienza. Uno di questi è il fatto che il mercato della sicurezza dell'it è altamente frammentato. Esistono decine di soluzioni classificate come migliore della categoria che affrontano un numero limitato di aspetti relativi alla sicurezza: dal rilevamento delle intrusioni alla sicurezza delle applicazioni fino alla gestione delle identità e degli accessi. Ciascuna soluzione richiede un singolo esperto per l'amministrazione del software. Tra una soluzione e l'altra rimangono enormi lacune che rendono lo sfruttamento o la violazione dell'adempienza solo una questione di tempo. Molte organizzazioni godono di una notevole tranquillità in alcune aree della sicurezza, mentre in altre aree presentano terribili carenze. Le soluzioni miste che uniscono prodotti di più fornitori portano inevitabilmente a una situazione in cui i soggetti interessati si accusano a vicenda, afferma Bill Evans, Director, Product Marketing, soluzioni Dell One Identity per la gestione delle identità e degli accessi. L'azienda di antivirus punta il dito contro quella di firewall, che a sua volta incolpa il fornitore dei sistemi di gestione delle identità. Ognuno di essi è responsabile di una sola parte del problema. Non è un sistema, non è efficiente e non è molto sicuro. Questa situazione deve essere cambiata. Esistono framework di sicurezza monolitici che cercano di affrontare ogni aspetto della sicurezza in un'unica soluzione, ma non sono flessibili e hanno costi di gestione estremamente elevati. Inoltre, divergono completamente dagli obiettivi aziendali delle organizzazioni per cui sono stati progettati. Viviamo in un mondo interconnesso, nel quale i dati rappresentano la linfa vitale dell'attività. Tuttavia, per avere valore, i dati devono essere protetti ovunque si trovino e ovunque debbano essere inviati. Alcune soluzioni per la sicurezza limitano il flusso dei dati, rendendoli meno utili per l'organizzazione. Altre sono gravose per gli utenti finali, il che genera rischi nel caso in cui i dipendenti non rispettino, anche se involontariamente, le prassi di sicurezza. Altre ancora non sono realizzate su misura per le specifiche esigenze di una determinata azienda o settore. In realtà, secondo uno studio condotto da Gartner, i dirigenti considerano la sicurezza, la governance e l'adempienza una delle tre barriere principali per la realizzazione del pieno potenziale della tecnologia informatica. "Sarebbe difficile stimare la perdita di produttività e gli ostacoli posti all'innovazione a causa di prodotti e protocolli per la sicurezza progettati in modo non adeguato.di certo, è un pessimo affare". - Elliot Lewis Chief Security Architect Dell Software

3 Sarebbe difficile stimare la perdita di produttività e gli ostacoli posti all'innovazione a causa di prodotti e protocolli per la sicurezza progettati in modo non adeguato, afferma Elliot Lewis, Chief Security Architect, Dell Software. Di certo, è un pessimo affare. È un pessimo affare perché costa più di quanto dovrebbe. È un pessimo affare perché non si è protetti a sufficienza. Ed è un pessimo affare perché limita le tante possibilità che la tecnologia informatica dovrebbe offrire. Dell ha analizzato i limiti della sicurezza dell'it di oggi da un nuovo punto di vista. Ha riscontrato la natura frammentaria delle soluzioni e l'assenza di strategie per la sicurezza in linea con le esigenze aziendali. Come già fatto in passato, prima con i PC e poi con i server e lo storage, Dell ha architettato un approccio migliore e più efficace che fortificherà presto questo mercato frammentario. Maggiore sicurezza per una migliore attività L'approccio di Dell alla sicurezza si basa sulla semplicità, sull'efficienza e sulla connettività e racchiude tutti gli aspetti frammentari della sicurezza dell'it in un'unica soluzione integrata, in grado di condividere informazioni in tutta l'organizzazione. Offre indicazioni critiche da parte degli esperti Dell, che aiutano le aziende a concentrarsi sul loro lavoro per la sicurezza. Inoltre, semplifica la sicurezza, in modo tale che gli utenti aziendali possano gestire le regole e le policy e gli utenti finali possano conformarsi facilmente. Questi miglioramenti possono cambiare radicalmente la cultura dell'adempienza all'interno delle organizzazioni e potenziare la sicurezza generale, consentendo una più semplice adozione di tecnologie innovative, come cloud o dispositivi mobili, in modo tale che l'organizzazione possa tornare a dedicarsi alle sue attività principali.

4 La natura dei dati è cambiata, ma le soluzioni per la sicurezza progettate per proteggerli sono rimaste le stesse, afferma Lewis. Per essere utili, i dati devono essere disponibili. Devono poter essere spostati in qualsiasi luogo e in qualsiasi momento a seconda delle esigenze. Questa è una cosa positiva. La maggior parte dei fornitori cerca di isolare i dati, di mantenerli in silos. Dell collega tutte le soluzioni per la sicurezza in silos, in modo tale che i firewall condividano le informazioni con il software di gestione delle identità e degli accessi e così via. In questo tipo di ambiente, i dati circolano liberamente, ma le minacce vengono rilevate immediatamente e la sicurezza viene trasformata da reattiva a proattiva a predittiva. Il nostro approccio si basa sui tre imperativi fondamentali della sicurezza dell'it: Protezione: proteggere tutta l'impresa, in modo completo, all'interno e all'esterno e con efficienza Adempienza: adempiere alle policy di governance interne e alle normative esterne utilizzando un approccio coerente e affidabile che non comprometta la flessibilità aziendale Abilitazione: avere la tranquillità di adottare nuove tecnologie e perseguire l'innovazione e l'efficienza operativa Protezione Adempienza Abilitazione Con l'introduzione sul mercato di soluzioni che affrontino ciascuno di questi tre pilastri e attribuendo loro un DNA comune affinché possano essere collegate tra di loro in modo completo, crediamo che la sicurezza dell'it possa essere migliorata, più semplice da utilizzare e meno costosa. Cosa ancora più importante è che in questo modo la sicurezza può diventare un elemento che, anziché ostacolare l'innovazione, la favorisce.

5 Maggiore sicurezza per una migliore attività Protezione La protezione dell'infrastruttura di IT è, certamente, il requisito di base di ogni sistema di sicurezza dell'it. La maggior parte delle organizzazioni attualmente adotta un approccio alla protezione che consiste nell'acquistare una soluzione firewall, software per il rilevamento delle intrusioni, antivirus e altro ancora, nel cercare di seguire alcune best practice e nel mantenere tutti i software aggiornati. Il problema è che i soggetti che rappresentano una minaccia cambiano continuamente il proprio approccio in base alle best practice, afferma Jon Ramsey, Chief Technology Officer, Dell SecureWorks, e Dell Fellow. Le studiano e progettano il modo di aggirarle. Più sono diffuse, maggiori sono le possibilità che vengano attaccate e, infine, superate dai malintenzionati. Un modo per interrompere questo circolo vizioso è impiegare servizi di sicurezza gestiti e formare i dipendenti su procedure semplici e di facile comprensione. AZUR SPACE Solar Power è un'azienda tedesca che produce celle solari ad alte prestazioni per applicazioni spaziali, dal telescopio spaziale Hubble a Mars Express. I suoi clienti richiedono una sicurezza estremamente rigorosa per i piani relativi a prodotti e lanci. Azur Space ha scelto Dell come partner che fornisca un monitoraggio continuo sulle sue reti e consulenza sui modi migliori per proteggerle. Problemi di sicurezza possono derivare da errori concettuali, da una manutenzione irregolare dei sistemi o da modifiche apportate all'ambiente delle applicazioni, afferma Martin König, Director of IT Services di AZUR SPACE Solar Power. Per la nostra società era difficile identificare questi problemi poiché noi implementavamo l'installazione originaria del sistema per poi effettuare le configurazioni successive. Ecco perché avevamo bisogno di esperti esterni per condurre i nostri test.

6 AZUR SPACE utilizza Dell SecureWorks per condurre periodicamente test di penetrazione delle reti. Il servizio analizza la vulnerabilità di tutti i punti di accesso e delle applicazioni principali, mentre il team di esperti Dell sulla sicurezza e il rischio incrocia i risultati con il proprio database che elabora 76 miliardi di casi informatici al giorno. La valutazione del rischio viene quindi tradotta in suggerimenti pratici, stilati appositamente per affrontare i principali requisiti aziendali. Disponiamo di informazioni sulla sicurezza incredibilmente dettagliate, comprensibili non solo dai nostri tecnici ma anche a livello gestionale, dichiara König. Tali informazioni evidenziano i problemi potenzialmente importanti per la valutazione del rischio e per la responsabilità aziendale. Adempienza Ai clienti non importa se l'azienda ha rispettato l'adempienza, afferma Ramsey. Ciò che a loro interessa è sapere se i loro dati sono stati rubati. Oggi, molte organizzazioni gestiscono la sicurezza in modo tale da essere conformi alle normative. Pensano che rispettando tutti gli elenchi di controllo, le loro reti siano al sicuro. Tuttavia questo ragionamento non è corretto. I dirigenti di alto livello non hanno una conoscenza abbastanza approfondita su ciò che significa essere sicuri, pertanto adottano il linguaggio dell'adempienza, afferma Ramsey. Spesso non riescono a sviluppare strategie per la gestione del rischio che siano articolate da policy di governance, il tutto basato su una sicurezza dell'it solida. Adottano un approccio alla sicurezza basato sull'adempienza mentre dovrebbero adottare un approccio all'adempienza basato sulla sicurezza. "Ai clienti non importa se l'azienda ha rispettato l'adempienza. Ciò che a loro interessa è sapere se i loro dati sono stati rubati". - Jon Ramsey Chief Techology Officer Dell SecureWorks Questo è ciò che ha fatto la Virginia Commonwealth University (VCU) seguendo un controllo della sicurezza nella sua scuola di medicina. Il Medical Center della VCU fornisce assistenza in più di 200 aree di specializzazione ed è l'unico centro traumi di livello 1 nell'area di Richmond. Pertanto, è richiesta l'adempienza a diverse rigide normative a livello federale, statale e locale, tra cui HIPPA, Federal Information Security Act e Family Educational Rights and Privacy Act. Per soddisfare e superare questi complessi requisiti, la VCU ha adottato l'approccio all'adempienza basato sulla sicurezza. Ha scelto di crittografare i dati sui dispositivi endpoint, dai notebook ai dispositivi mobili. Come molte organizzazioni, la VCU consente ai dipendenti di utilizzare i dispositivi personali sul posto di lavoro e ciò rende difficile la standardizzazione della sicurezza relativa a tutta la forza lavoro. La crittografia dei dati risolve questo problema ma spesso il suo utilizzo può risultare troppo costoso e gravoso. Questo non è il caso della soluzione Dell Data Protection Encryption, grazie alla quale gli utenti finali della VCU non hanno riscontrato interruzioni alla loro attività. Si tratta di una soluzione semplice e di facile utilizzo che si estende a molteplici dispositivi su una forza lavoro distribuita, senza sacrificare la velocità o la flessibilità. Abilitazione Per decenni, la sicurezza dell'it è stata vista come un inibitore della flessibilità aziendale: una reputazione decisamente meritata. In molti casi, limita, rallenta e proibisce alcune funzioni aziendali. Molte organizzazioni hanno accettato questi limiti, considerandoli un costo inevitabile dell'attività. Eppure, se gestita nel modo giusto, la sicurezza può favorire l'attività, offrendo all'organizzazione la possibilità di acquisire con determinazione nuove funzionalità che possono avere un impatto diretto sul fatturato, sui profitti e sull'esperienza del cliente. Può offrire agli utenti la tranquillità di lavorare sempre, ovunque e su qualsiasi dispositivo.

7 Avere fiducia nella propria soluzione per la sicurezza favorisce l'adozione di nuove tecnologie, afferma Ramsey di SecureWorks. Ciò apre le porte all'innovazione, sia all'interno sia all'esterno del firewall aziendale. I Denver Broncos sono un ottimo esempio. I Broncos, una delle squadre che hanno avuto più successo nella storia della NFL, durante la settimana supportano uno staff di circa 300 dipendenti. Nei giorni in cui si giocano le partite, supportano tifosi presso il Sports Authority Field di Mile High, lo stadio dei Broncos, che diventa la quindicesima città più grande dello Stato durante le partite in casa. Tutti i tifosi hanno uno smartphone e tutti vogliono rivedere le azioni nell'immediato, afferma Chris Newman, IT Architect per i Denver Broncos. Il nostro obiettivo è offrire ai tifosi un'esperienza migliore rispetto a quella che avrebbero a casa. "Avere fiducia della propria soluzione per la sicurezza favorisce l'adozione di nuove tecnologie. Ciò apre le porte all'innovazione, sia all'interno sia all'esterno del firewall aziendale". - Jon Ramsey Chief Techology Officer Dell SecureWorks Per fare ciò, l'organizzazione supporta la banda larga wireless su un complesso sportivo di oltre cinque ettari, protetto dal firewall SonicWALL SuperMassive di nuova generazione e da un dispositivo di accesso remoto sicuro per proteggere la rete, migliorando prestazioni, efficienza e informazioni. La nostra visibilità è notevole e non possiamo permetterci intrusioni o qualcosa che vada storto, afferma Newman. Le soluzioni Dell ci consentono di personalizzare l'interfaccia, sono facili da installare e molto più semplici per gli utenti. Anche i dipendenti sono più produttivi. Un altro

8 esempio in ambito di abilitazione delle organizzazioni attraverso una maggiore sicurezza è l'ufficio dello sceriffo della contea di Wake, Carolina del Nord, responsabile della sicurezza pubblica di circa un milione di cittadini nell'area di Raleigh. Le agenzie di sicurezza pubblica nella contea di Wake promuovono la condivisione di dati e informazioni perché credono che in questo modo si migliori la capacità di rilevare, prevenire e affrontare i problemi relativi alla sicurezza pubblica nella contea e nelle aree limitrofe. L'ufficio dello sceriffo rappresenta il repository centrale per i dati di giustizia penale della contea, a cui accedono tutti i reparti di sicurezza pubblica della contea. Per motivi di sicurezza, l'accesso al sistema è stato limitato e ciò ha generato un aumento delle richieste all'ufficio dello sceriffo e frustrazione negli utenti finali. Molte agenzie desideravano essere autonome nella gestione dei propri fascicoli senza doversi affidare a noi per apportare qualsiasi modifica, afferma Christopher J. Creech, Manager of Information Technology per l'ufficio dello sceriffo della contea di Wake. Abbiamo molti addetti all'it alle prime armi. Loro non capivano come funzionasse il sistema; volevano semplicemente poter andare in un luogo e aggiornare le informazioni del proprio dipartimento. Alla fine, la complessità dei processi ha avuto un impatto negativo su tutta la comunità della sicurezza pubblica. Quando l'ufficio dello sceriffo è diventato sovraccarico, non è stato più possibile aggiungere o modificare i dati critici in modo tempestivo. Con una soluzione per la gestione delle identità e degli accessi Dell One Identity, l'ufficio dello sceriffo è stato in grado di offrire un maggiore accesso al sistema, senza compromettere la sicurezza. Il programma consente al personale delle agenzie di utilizzare il sistema ma gli impedisce di avere l'accesso nativo all'applicazione che offre una serie più ampia di privilegi, per noi difficile da controllare, afferma Creech. La capacità di aggiornare e condividere i dati in modo rapido è un fattore molto importante che ci consente di migliorare la qualità del nostro lavoro. In ultima analisi, ci consente di offrire al pubblico un servizio più efficiente e una migliore protezione. Funzioni "La capacità di aggiornare e condividere i dati in modo rapido è un fattore molto importante che ci consente di migliorare la qualità del nostro lavoro". - Jon Ramsey Chief Techology Officer Dell SecureWorks Dell è stata sempre ispirata dal trovare il modo di migliorare l'it e di ridurre i costi per i clienti, soprattutto in mercati in cui i clienti sono vincolati dallo status quo. Se esistono soluzioni migliori, Dell le trova. Architettando soluzioni che hanno un DNA comune, Dell muove i primi passi verso una sicurezza più interconnessa e olistica. La promessa è che questo approccio sarà più efficace, più sicuro e più facile da adottare. La cosa più importante è che, anziché ostacolare l'attività, funzionerà a suo vantaggio. A questo proposito, Dell ha sviluppato e acquisito le soluzioni migliori del mercato, ha coperto ogni aspetto della sicurezza dell'it e ha creato componenti comuni che consentono una perfetta integrazione. Le soluzioni sono suddivise in quattro aree principali dell'infrastruttura della sicurezza e coprono tutte le esigenze di un'impresa:

9 La soluzione per la sicurezza di Dell Rete Firewall di nuova generazione Accesso mobile sicuro Sicurezza Crittografia dei dati/endpoint Protected Workspace Gestione di configurazione e installazione di patch Client cloud sicuro Adempienza Protezione Abilitazione Gestione delle identità E degli accessi Governance delle identità Gestione con privilegi Gestione degli accessi Adempienza alle normative e gestione dell'it Servizi di sicurezza Risposta agli incidenti Servizi di sicurezza gestiti Consulenza su sicurezza e rischi Funzioni di intelligence contro le minacce La visione non finisce qui. Dell sta lavorando sugli approcci alla sicurezza di nuova generazione, investendo in soluzioni che proteggano i dati in qualsiasi luogo. In futuro, non proteggeremo le imprese o i sistemi. Includeremo regole e policy all'interno dei dati stessi, in grado di riconoscere i casi in cui i dati finiscono in mani sbagliate. I dati devono essere liberi di circolare, ma in modo sicuro, afferma Elliot Lewis di Dell. Questo è il futuro per cui stiamo lavorando. Questo è il futuro che stiamo creando. Ulteriori informazioni sulle soluzioni per la sicurezza di Dell su Dell.com/security Diventa membro della comunità di Dell Security su LinkedIn Questo white paper ha solo scopo informativo e può contenere errori tipografici e imprecisioni tecniche. Il contenuto è fornito "così com'è", senza garanzie espresse o implicite di alcun tipo.