Estratto dell'agenda dell'innovazione Smau Milano Speciale: I casi. Introduzione dell'area tematica. Il caso GAMESTOP

Transcript

1 Estratto dell'agenda dell'innovazione Smau Milano 2011 Speciale: I casi Introduzione dell'area tematica Il caso GAMESTOP

2 Innovare e competere con le ICT - PARTE I Cap.10 Il valore della sicurezza dei Sistemi Informativi aziendali L Information Security può essere definita come l insieme delle misure, tecnologiche, organizzative e legali, finalizzate ad impedire, prevenire o ridurre i danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani, fenomeni naturali) che violano la confidenzialità, l integrità e la disponibilità del patrimonio informativo aziendale. La rilevanza della sicurezza informativa è cresciuta con continuità negli anni e risulta ancora più attuale oggi per alcune ragioni in particolare: lo stringersi del legame fra Sistemi Informativi aziendali, ed in generale tecnologie ICT, e processi di business ha fatto sì che sia oggi impensabile per un azienda svolgere le proprie attività in modo indipendente dai Sistemi Informativi; la pervasività delle tecnologie che raccolgono, gestiscono e comunicano informazioni permette alle aziende di disporre di informazioni potenzialmente su ogni attività o processo di interesse, ma le espone anche a rischi di accesso alle informazioni da parte di soggetti non autorizzati o che potrebbero farne un uso fraudolento; lo sviluppo e la maturazione di tecnologie, in particolare software, che spostano la gestione delle informazioni ed il supporto ai processi dell azienda al di fuori dei propri confini fisici (si pensi alle tecnologie Cloud o alla fruizione di

3 PARTE I - Innovare e competere con le ICT applicazioni attraverso il Software as a Service), hanno portato risorse chiave dell azienda al di fuori della propria tradizionale area di controllo. service oriented SOA in cui l effettiva erogazione di un servizio dipende dalla interazione efficace di molte risorse). Le tipologie di problematiche legate alla sicurezza in cui un azienda può incorrere sono quindi molteplici, dall accesso non autorizzato a contenuti informativi alla diffusione fraudolenta, dalla perdita di informazioni alla interruzione nel funzionamento di applicazioni critiche. Tali problematiche sono inoltre trasversali ai settori aziendali ed alle dimensioni delle aziende. Le proprietà tradizionalmente associate alla Information Security, confidenzialità, integrità e disponibilità (spesso indicate con l acronimo CIA: Confidentiality, Integrity, Awareness), sono valide ancora oggi, ma con una accezione più estesa. La Confidenzialità riguarda non solo la garanzia di riservatezza nelle comunicazioni o nell accesso a contenuti informativi in azienda, ma anche la tutela delle informazioni che possono riguardare l azienda ed il suo personale e che possono essere derivate da tutto ciò che l azienda rende pubblico attraverso Internet (si parla ad esempio di social hacking o di hacking etico per indicare la possibilità di inferire dati riservati a partire da informazioni pubbliche contenute in non protette o pubblicate attraverso siti Internet). L integrità, ovvero la prevenzione di modifiche nelle informazioni comunicate, si estende a tutte le operazioni effettuate dal personale dell azienda al di fuori dei confini dell azienda stessa, attraverso computer portatili, dispositivi mobili o tablet. La garanzia di disponibilità dei servizi realizzati dai Sistemi Informativi si complica a causa della articolazione delle architetture informatiche dove una parte o tutte le componenti del Sistema Informativo possono risiedere in server remoti (si pensi alle applicazioni basate su architetture Le tecnologie informatiche possono rappresentare anche una opportunità per l implementazione di adeguati livelli di sicurezza. I sistemi per la comunicazione cifrata sono oggi più user friendly ed integrati nelle applicazioni utilizzate (si pensi ai sistemi di crittografia integrati nei siti di commercio elettronico). Nuovi sistemi di controllo degli accessi sono disponibili (si pensi alle potenzialità di riconoscimento dei sistemi di videosorveglianza). La sensoristica o i dispositivi cosiddetti smart, in grado di rilevare e trasmettere informazioni su qualunque fenomeno dell azienda, rappresentano uno strumento utile per monitorare anche l effettiva disponibilità di infrastrutture e servizi. Tuttavia, in uno scenario così complesso e dinamico, la garanzia della sicurezza deve necessariamente comprendere un insieme di attività coordinate che complessivamente costituiscono la ICT governance e che comprendono: risk assessment & prevention, ovvero l identificazione delle aree di rischio e dei processi critici e la determinazione di un piano per le opportune contromisure. L analisi dei rischi richiede una identificazione dei dati gestiti dall organizzazione, una mappatura delle risorse attraverso cui tali dati sono archiviati, elaborati e trasmessi, una identificazione delle potenziali minacce e l individuazione delle tipologie di rischi ed una valutazione dei rischi derivanti dalle potenziali minacce; monitoraggio in continuo del rischio (risk monitoring), ovvero una analisi e controllo di indicatori di sicurezza; business continuity e crisis management,

4 Innovare e competere con le ICT - PARTE I ovvero l insieme di strumenti di controllo e di metodologie di intervento per garantire la continuità di funzionamento dei servizi e la risoluzione di problemi; policy, processi e organizzazione, ovvero la definizione della struttura organizzativa deputata alla sicurezza, dei ruoli e delle responsabilità, la formulazione di politiche, norme, procedure e passi operativi per la sicurezza, la realizzazione di audit periodici, la soddisfazione degli adempimenti legislativi e/o normativi; incident management, ovvero la definizione delle procedure operative per la gestione degli incidenti al fine di limitarne l impatto; Identity Access Management (IAM), intesa come insieme di strumenti e metodi per migliorare la gestione delle identità digitali, centralizzando le informazioni, definendo le responsabilità nella gestione e nell aggiornamento e controllando accessi ed interventi sulle informazioni; adozione di strumenti di controllo, logico e fisico, degli accessi e di tutela della riservatezza delle comunicazioni.

5 PARTE I - Innovare e competere con le ICT IL CASO GAMESTOP Ridurre il tempo dedicato alla manutenzione dei dispositivi Mobile attraverso una soluzione di Information Security L azienda La multinazionale statunitense GameStop Corporation è uno dei principali rivenditori mondiali di videogiochi, è presente in circa venti Paesi e in Italia opera dal 2005 dopo l'acquisizione di EB Games. L'azienda è attiva nel nostro Paese con una rete di negozi gestiti direttamente con propri dipendenti che entro fine 2011 raggiungerà il numero di 400 unità. I dipendenti in Italia sono circa e una parte consistente di questi si muove quotidianamente sul territorio nazionale per assolvere a diversi compiti. Il fatturato della filiale italiana è di circa 370 milioni di euro. L applicazione L'azienda dispone di circa 500 dipendenti che si muovono quotidianamente in aree prefissate del territorio nazionale. A questi sono stati dati in dotazione diversi dispositivi mobili come iphone, ipad, sistemi BlackBerry, che coprono circa il 95% del parco mobile operativo, e sistemi Android. Gli addetti in mobilità assolvono diverse funzioni oltre a quella commerciale: auditing dei punti vendita, relazioni con gli enti pubblici locali e gestione delle risorse umane. Ogni mobile worker, quindi, oltre alle applicazioni caratteristiche del suo ruolo dispone sul suo dispositivo dell'accesso alla intranet e al servizio di posta elettronica aziendale e anche alle applicazioni gestionali italiane e statunitensi (dalla gestione degli ordini al magazzino, al marketing...) che risiedono su sistemi As/400 e Navision. Per gestire al meglio questa architettura soprattutto, ma non solo, sotto il profilo delle problematiche di sicurezza, l'azienda ha deciso di implementare una serie di soluzioni Sophos della linea SafeGuard. Il mobile worker accede alla rete privata virtuale aziendale tramite un normale meccanismo di login/password ma all'interno della rete è stata comunque implementata anche la crittografia, con lo scopo di permettere l'utilizzo in piena sicurezza di strumenti quali la firma digitale e la posta elettronica certificata. Due strumenti, questi ultimi, utili per coloro che

6 Innovare e competere con le ICT - PARTE I devono interloquire con le pubbliche amministrazioni e per compiere tutti gli adempimenti relativi alla gestione delle risorse umane. Oltre ad un'architettura di sicurezza altamente affidabile basata su un ampio utilizzo delle soluzioni di crittografia, la nuova soluzione di Information Security comprende anche funzionalità di Device Management, in grado di aumentare il livello di automazione e di rendere più snelli diversi processi di gestione del parco dei sistemi mobili: dalla distribuzione del software alla creazione e gestione delle policy, dalla cancellazione da remoto dei dati residenti sui sistemi mobili, in caso di smarrimento, alla sincronizzazione e all'allineamento delle informazioni con i sistemi di back end e una più veloce gestione dei cicli di backup e restore dei dati e delle applicazioni di business. In precedenza il personale operativo sul campo era dotato di piattaforme laptop o notebook che risentivano dei limiti intrinseci di questi sistemi e che spesso obbligavano il personale e svolgere l'attività di imputazione dati e inserimento delle foto digitali, e il loro invio alla sede centrale, non dal negozio stesso durante la visita, ma alla sera alla fine della giornata di lavoro. L'adozione di dispositivi mobili delle ultime generazioni, tutti dotati di fotocamere ad alta risoluzione e di invio dei dati in modalità 'on air' (ovvero quando c'è la disponibilità di un collegamento wireless), hanno consentito il superamento di questi limiti elevando di molto il livello di soddisfazione dei mobile worker. I benefici Con l'adozione dei dispositivi mobili per i dipendenti che operano sul campo, la società ha registrato fin da subito un forte aumento della produttività degli stessi, non più costretti a imputare e trasmettere i dati a fine giornata, e un forte miglioramento nei tempi di aggiornamento delle informazioni raccolte sul campo. Inoltre l'architettura di sicurezza implementata con i prodotti Sophos gestendo anche la maggior parte dei sistemi fissi utilizzati dall'azienda ha consentito di ridurre considerevolmente il carico di lavoro per il personale IT interno. Questo grazie alla sua facilità d'uso, a molte funzionalità self service utilizzabili direttamente dai clienti interni, come per esempio quelle relative alla gestione dell'help desk, e alla distribuzione delle applicazioni sviluppate internamente che viene realizzata direttamente dalla console centrale della soluzione, senza la necessità di richiamare in sede il personale operativo su tutto il territorio nazionale. info: vedi pag.257 SOPHOS Sophos, il tuo partner ideale nella sicurezza informatica Gamestop Corporation si è affidata a noi, principalmente, per mettere in sicurezza 500 dispositivi mobili dati in dotazione ai dipendenti che lavorano in mobilità sull'intero territorio nazionale. L'obiettivo del progetto era quello di garantire la sicurezza dei dati contenuti nei vari dispositivi, proteggere le transazioni ed intervenire tempestivamente in caso di furto o smarrimento. Per sviluppare questo progetto abbiamo implementato le seguenti soluzioni: SOPHOS MOBILE CONTROL Con questa soluzione abbiamo dato la possibilità agli utenti di usufruire delle ultimissime tecnologie mobili, pur mantenendo i dati dell'azienda al sicuro. Con Sophos Mobile Control, Gamestop Corporation può proteggere, monitorare e controllare i dispositivi sulla rete, grazie alla funzionalità di controllo over-the-air e ad un portale self-service che semplifica la gestione dei dispositivi mobili. SOPHOS SAFEGUARD ENTERPRISE Con Sophos SafeGuard Enterprise, siamo stati in grado di proteggere e prevenire la perdita dei dati su desktop, laptop e supporti rimovibili. La cifratura e la prevenzione della perdita dei dati (DLP) bloccano i tentativi di violazione dei dati e facilitano la conformità, senza interferire con le altre attività. Inoltre, grazie alla console centrallizzata per la gestione degli endpoint, la struttura IT di Gamestop ha potuto dedicare il suo tempo a task più importanti. La scelta di Sophos non si è limitata ai dispositivi mobili, Gamestop Corporation ha deciso di proteggere anche l'ambiente web con Sophos Web Secuirty & Control che, grazie alla Web Appliance, blocca le minacce Web alla fonte e fornisce l'accesso sicuro e produttivo alle risorse e agli strumenti Web necessari, applicando contemporaneamente politiche d'uso accettabile e garantendo la protezione contro la perdita dei dati. Passa al nostro stand!