Ha ancora senso separare la sicurezza degli utenti da quella delle aziende? Di questo e altro ci parla Jarno Limnéll di Stonesoft.
In terra nordica la tecnologia è di casa, anche se gli eventi delle ultime settimane indurrebbero a pensare che qualcosa sia cambiato. Abbiamo cominciato proprio dall’analisi di questa sensazione per con Jarno Limnéll director Cyber Security della finlandese Stonesoft, società che da oltre vent’anni lavora nel campo della sicurezza di rete.
D: Esiste ancora una via finlandese, nordica, pragmatica, sobria, metodista, alla tecnologia? Lo chiediamo perché se Nokia scende e sale Rovio, un segnale di divergenza c’è. Cosa ne pensa?
L: Si, c’è. In un quadro generale, c’è una grande necessità di avere successo nel mondo per le persone capaci. Quando queste hanno tecnologia, soluzioni a disposizione e spirito innovativo, allora assistiamo a storie di successo. In Finlandia, ci sono certo segnali divergenti: è di queste ore la notizia di licenziamenti in Nokia, così come della rapida crescita in società come Rovio: la verità è che ci sono molte altre piccole o medie società, piene di persone capaci, di innovazione che son sicuro avranno un gran successo.
D: Al netto di tutto, onestamente, l’innovazione tecnologica e le conseguenti proposte concrete, dove possono nascere oggi? Dove c’è stabilità economica (paesi nordici) o nel mezzo del vulcano delle economie in turbolenza?
L: Sono stato ufficiale nell’esercito, docente e ricercatore in strategia: ci sono trend a cui abbiamo assistito nella storia recente che ci insegnano qualcosa, come ad esempio in Afghanistan. Parlo del cosiddetto asymmetric warfare: tanto può essere debole una parte, tanto ha possibilità nel mettere in pericolo una potenza. La stessa cosa si applica nella cybersecurity oggi. Un hacker capace da qualsiasi parte del mondo, se ha skill tecnologici elevati e capacità, può colpire il sistema di un paese leader o più paesi. Questo significa che l’ambiente sicuramente influenza, ma sono sufficienti capacità e skill elevati per riuscire, qualunque sia la provenienza. Nel mondo digitale se riesci una volta hai successo, nel mondo reale se sbagli una volta sei fuori. Nell’incontro dei due mondi, vediamo che piccoli paesi, non certo considerabili grandi potenze, possono o potranno in breve rappresentare una grande minaccia per i grandi paesi e i grandi sistemi.
D: Venendo al suo tema, la sicurezza: ha ancora senso separarlo fra utenti e aziende? Con il Bring Your Own Device non sono forse la stessa cosa?
L: Mentre nel mondo fisico c’è differenza, nel digital world questa differenza c’è sempre di meno. E per me questo si applica alla cyber security. Per aver successo, per essere sicuri, non ci sono limiti, né confini tra utente e azienda. La risposta è connessa al grande quadro del mondo digitale.
D: In termini semplici: qual è il vero portato innovativo del cloud?
L’innovazione del paradigma IT basato sul cloud è nella ottimizzazione di CAPEX e OPEX e nella rapidità di parametrizzazione e rollout dei servizi. Grazie a offerte che fanno di flessibilità e rapidità di implementazione i fattori differenzianti, i fornitori di servizi cloud riescono a offrire alle aziende clienti minimizzazione dei costi operativi e bassissimo impatto sulle risorse. L’evoluzione di questa situazione va verso un miglioramento infrastrutturale, la cui necessità si sente soprattutto in Italia, e un raffinamento degli SLA affinchè divengano cristallini dati quali condivisione e limitazione di responsabilità e metodi di liberazione dei dati.
D: Riesce a spiegare sempre con termini semplici, sempre che sia d’accordo, che se fatto bene il cloud è più sicuro dell’infrastruttura tradizionale?
Concordo sul fatto che il cloud sia, dal punto di vista della continuità di servizio e delle infrastrutture, più sicuro delle infrastrutture tradizionali. La decentralizzazione e delocalizzazione di dati e applicazioni però introduce freni psicologici e non alla sua adozione in massa. È importante focalizzare, a lato di un’offerta sempre interessante e flessibile per economia e minimizzazione di costi di gestione e tempi di attuazione, quali sono gli aspetti a garanzia della riservatezza e confidenzialità del dato sensibile. Quanto sono sicuri i metodi di accesso? Che possibilità c’è per i miei utenti di diventare minacce per l’IT stesso? La verifica della postura di sicurezza di chi si connette (cioè la verifica delle credenziali ma anche del contesto di connessione) è parte integrante della procedura di accesso? È permesso/reso disponibile un auditing di chi ha fatto cosa e quando? L’area operativa di me come cliente è isolata rispetto a quella di altri clienti? E a che livello? Il consiglio è di considerare il cloud come un’estensione della nostra rete e infrastruttura tradizionale da tutti i punti di vista. Questo approccio rende possibile aumentare la sicurezza e l’efficienza della nostra infrastruttura tradizionale aumentandola con i vantaggi di un IT nella nuvola.
D: In una classifica della paura dobbiamo più temere che sottraggano i dati alle aziende o le identità delle persone? Cosa fa più gola al crimine tecnologico?
L: I dati. Sono rimasto sorpreso di come in tante situazioni ci sia poca percezione e preoccupazione dei pericoli del cybercrime e di come si siano persi soldi per non aver compreso questo pericolo. Anche nelle stime che abbiamo, si sta spendendo di più nel network crime che nella lotta alla droga. Ci sono problemi nelle società ad ammetterlo, perché perdere dati e identità impatta sulla reputazione e la percezione del marchio, ma sappiamo che falle nei sistemi ci sono state nella gran parte delle società. È una questione molto rilevante.
D: Chiudiamo: proteggere le proprie informazioni oggi significa di più investire od organizzarsi meglio?
L: Dipende da quanta protezione vuoi e dal livello di sicurezza che vuoi. La risposta è che sono necessari investimenti e una organizzazione più adatta alla situazione attuale. In tanti casi il management delle aziende spende molto per sentirsi al sicuro, ma è un feeling, una sensazione, non risponde alla realtà, come vediamo. La macchina che metto sul muro probabilmente una volta installata, è già superata.
Noi in Stonesoft abbiamo sempre pensato che la sicurezza delle reti sia una scelta legata ai processi. Bisogna capire che le minacce, gli scenari sono dinamici, cambiano in continuazione. La soluzione deve quindi essere dinamica, software based, semplice da installare, gestire e manutenere.