Tele Sistemi Ferroviari, che gestisce in outsourcing l’apparato informativo di Ferrovie dello Stato, si è avvalsa della consulenza di Ca per razionalizzare gli investimenti in tecnologie di sicurezza. Miglioramenti consistenti ottenuti nelle attività di valorizzazione del rischio e fatturazione.
Tele Sistemi Ferroviari (Tsf) è una società del Gruppo Telecom Italia-Finsiel dedicata al mercato dei servizi di Information e communication technology per il settore dei trasporti e della logistica. Dal 1997 cura in outsourcing tutti i sistemi informativi di Ferrovie dello Stato, azionista di Tsf al 39%.
L’esperienza maturata ha consentito alla società di acquisire tra i propri clienti anche Fs Holding, Rete Ferroviaria Italiana, Trenitalia e Ferservizi, oltre che di rivolgersi al mercato del trasporto locale, e di sviluppare altri servizi, in prevalenza in ambito Customer relationship management ed help desk. "La nostra infrastruttura deve essere funzionante 24 ore al giorno per 365 giorni l’anno – chiarisce Michele Martini, responsabile esercizio e progettazione dei sistemi di Tele Sistemi Ferroviari -. Noi abbiamo improntato la nostra attività sul valore assoluto del servizio. Oltre al personale pianificato, infatti, c’è una turnazione di alta reperibilità che consente di fronteggiare emergenze e attività improvvise, come il potenziamento di un call center in caso di sciopero". A fronte di un’esigenza impellente di continuità delle attività, sono stati compiuti in passato diversi investimenti in soluzioni di sicurezza, soprattutto in materia di protezione perimetrale e antivirus, ma Tsf ha sentito il bisogno di fermarsi e razionalizzare gli interventi pregressi, pianificando quelli futuri. Allo scopo, la società, alla fine del 2003, ha invitato una dozzina di aziende a formulare una proposta di analisi tecnologica e organizzativa sulla sicurezza aziendale. "Tra le otto che ci hanno risposto – precisa il manager – abbiamo scelto Computer Associates, che già conoscevamo bene perché era un nostro fornitore da tempo in altri ambiti". Le fasi del progetto prevedevano, dal punto di vista tecnologico, la rilevazione dello scenario informatico, la definizione degli obiettivi di sicurezza del sistema informativo, l’analisi dei rischi e la valutazione del rischio residuo, ovvero di quel "pericolo" che l’azienda decide di correre perché la copertura totale sarebbe troppo onerosa. Sotto il profilo organizzativo, invece, l’intenzione di Tsf era di analizzare la situazione corrente, creare un modello di riferimento e stilare un piano di transizione verso la situazione ottimale. Le persone coinvolte all’interno di Tsf sono un capo progetto e diversi responsabili di servizio e processo appartenenti alle strutture coinvolte, ovvero le divisioni Sistemi e reti, lo sviluppo di mercato, la gestione della qualità, gli acquisti di servizi e sistemi.
Applicazioni critiche protette
"La prima fase del progetto, tesa a sviluppare un modello di riferimento e un piano della sicurezza cui tendere, è ormai terminata – tiene a sottolineare Martini -. Per diversi mesi, i consulenti della struttura Technology Services di Computer Associates hanno affiancato i nostri responsabili, svolgendo un’analisi delle vulnerabilità e dei rischi. La fase di analisi ci ha permesso di classificare una serie di applicazioni, in funzione del livello di rischio sul business aziendale, in termini di integrità, disponibilità e riservatezza, soprattutto per quanto attiene alle attività che hanno un impatto sull’esterno".
Sono state identificate le applicazioni critiche, rispetto alle quali è stato valutato, con un’analisi che ha incluso interviste a responsabili di vario livello in azienda, quale fosse il grado di esposizione e come il rischio potesse essere espresso in termini monetari. Un risultato immediato è stato quello di sensibilizzare i vertici aziendali sulla problematica della sicurezza. "Diversi manager si sono stupiti nel scoprire quanto fossero importanti alcune applicazioni ai fini del servizio al cliente – afferma Claudio Noto, responsabile della sicurezza It in Tsf -. Il problema della security è, così, uscito dall’ambito dell’esercizio ed è finalmente apprezzato per la sua importanza".
La cultura si diffonde
"Computer Associates ci ha messo a disposizione una metodologia oggettiva – sottolinea il manager – . Siamo andati oltre l’attività di assesment del rischio, si è creata una vera e propria partnership, con nuovi progetti che si sono sviluppati spontaneamente e sono stati indotti da altre attività". È stato, così, possibile diffondere la cultura della sicurezza e far comprendere la rilevanza di alcuni comportamenti e delle regole. Grazie agli strumenti e alla documentazione, si è potuto misurare l’impatto delle anomalie sul servizio finale. In seguito alla fase di assesment, Tsf ha deciso di affidarsi a Ca per implementare alcune soluzioni software, idonee a raggiungere il modello di riferimento definito per la sicurezza.
La società ha isolato tre aree sulle quali operare: quella organizzativa, la gestione delle identità (per la quale è stato scelto eTrust Admin) e il controllo degli accessi, per il quale è stato implementato eTrust Access Control. "Di eTrust Admin ci ha colpito la possibilità di delega della gestione – chiarisce Noto -, in particolare per le opzioni di self service quali l’auto-registrazione, la reimpostazione autonoma delle password, l’amministrazione dei profili personali e del workflow, che riducono sensibilmente il carico di lavoro dell’help desk".
Soluzioni testate in laboratorio
Da queste prime aree, il piano di transizione proseguirà secondo una scala di priorità che vedrà implementate soluzioni di gestione di policy e vulnerabilità, fatturazione e sicurezza perimetrale, in una logica di sicurezza proattiva. "L’architettura di eTrust Access Control prevede che ogni richiesta di accesso a qualsiasi risorsa sia gestita dal sistema e passi attraverso il kernel – conclude Noto -, pertanto scatta il blocco immediato di qualsivoglia attività illecita, prima che possa far danni".
Lo scorso luglio si è concluso lo sviluppo in laboratorio della soluzione di gestione delle identità, che è attualmente in fase di collaudo e sarà in esercizio a febbraio del prossimo anno. Quella di controllo degli accessi è attualmente in fase di sviluppo in laboratorio e sarà in esercizio nel corso del primo trimestre del 2005.
