Le aziende di tutte le dimensioni, forzate da norme sempre più stringenti, si devono necessariamente dotare di soluzioni di automazione della gestione di identità e accessi. Gli approcci “rimediati” non possono funzionare a lungo. L’open source può permettere di contenere i costi.
Lo sviluppo delle tecnologie di interconnessione dei sistemi, l’aumento delle figure coinvolte nella gestione diretta dei database e lo svilupparsi, in parallelo, di una legislazione improntata alla tutela della privacy, sono fattori in stretto rapporto per comprendere la necessità di un concreto impianto strategico in ambito sicurezza. Un mondo fortemente impostato sulle reti richiede la tutela di diritti che, proprio tramite lo sfruttamento delle tecnologie su cui si basa Internet, possono facilmente essere lesi.
Responsabilità civili e penali
"A questo tema – spiega Sergio Fumagalli, consulente del garante sulla Privacy e presidente di Axxent – è connessa la responsabilità civile del gestore, sancita in varie norme, da ultimo il Nuovo Codice di Protezione dei Dati Personali, entrato in vigore nel 2004. Chi dovesse subire un danno, per effetto del non corretto trattamento dei dati personali, potrà chiedere il risarcimento ai sensi dell’articolo 2050 del Codice civile. Questo articolo pone, in capo all’erogatore del servizio, la responsabilità di dimostrare di aver assunto tutte le misure idonee a garantire che tale danno non si verificasse. L’altra faccia della medaglia è rappresentata dalla responsabilità penale, per la quale lo Stato ha stabilito una serie di misure minime. Il loro mancato adempimento comporta la perseguibilità d’ufficio nei confronti del gestore". Gli aspetti caratteristici di questo nuovo impianto normativo sono fondamentalmente due. Da un lato c’è l’individuazione di una responsabilità complessiva riguardo alla sicurezza dei dati, legata sostanzialmente alla conoscenza tecnologica e alla tipologia del dato trattato. Dall’altro, invece, c’è l’obbligo dell’adozione da parte del gestore di una serie di misure preventive, a garanzia della sicurezza, indipendentemente dall’onerosità che comportano. "Tutto questo – gli fa eco Franco Banfi, product marketing manager Southern Europe di D-Link Mediterraneo – ha, finalmente, messo anche le piccole e medie imprese nelle condizioni di doversi dotare, obbligatoriamente, di un’infrastruttura di sicurezza concreta ed efficiente". Le aziende devono, quindi, affrontare l’adeguamento ai dettami imposti dalla legge e, nel farlo, privilegiano generalmente un approccio "remedial", ovvero l’implementazione di patch ambiente per ambiente, applicativo per applicativo. Questa può rivelarsi una soluzione pro tempore per alcune piccole realtà, ma per le grandi aziende rappresenta la strategia sbagliata. Si rende necessario costruire un’infrastruttura che consenta l’automazione e la centralizzazione di tutti gli elementi, con particolare riguardo alla gestione delle identità.
Il giusto compromesso
Un buon punto di partenza, per rendere compatibile in termini di costi un così alto livello qualitativo nel controllo della tutela degli accessi, nella gestione dei diritti e dei privilegi collegati, è l’implementazione di sistemi di gestione delle identità (Iam). Affrontare il problema senza una tale architettura si risolverebbe in un forte aumento dei budget dovuto, da un lato, all’imponente numero di interventi implementativi necessari e, dall’altro, alla sovrapposizione degli investimenti. "L’open source – sostiene Giuseppe Gigante, marketing manager di Novell – consente di superare in parte questi problemi. Si presenta idealmente immune da qualsiasi violazione, proprio in virtù dell’etica della comunità, che condivide tutto ciò che qualunque membro realizza garantendone, l’affidabilità e la sicurezza. Inoltre, le soluzioni aperte, al contrario di quelle proprietarie, presentano l’indubbio vantaggio dell’economicità". Linux e le sue distribuzioni, infatti, stanno vivendo un momento particolarmente felice e numerose sono le applicazioni di protezione delle identità sviluppate su questa piattaforma, che risulta ormai sufficientemente stabile. "Le aziende devono rendersi conto della necessità di un approccio omnicomprensivo all’Id management – prosegue Gigante -. Questo significa, sostanzialmente, avere a disposizione strumenti che permettano un’amministrazione sicura della propria identità e di quella dei soggetti che entrano in contatto con l’azienda, come i clienti o i partner". Infine, anche Gartner ha evidenziato numerosi vantaggi riguardo all’investimento sulle tecnologie Iam. In primis, quello inerente la possibilità di adeguare l’organizzazione alle nuove normative in maniera snella ed efficiente. In seconda battuta, un taglio dei costi nel medio-lungo periodo, grazie alla riduzione degli interventi dell’help desk in merito alle tematiche legate alla sicurezza.
