Secondo Dimension Data le problematiche riguardano le configurazioni, le vulnerabilità e lo status dei dispositivi.
Una carente gestione di rete e il trascurare le vulnerabilità espongono le aziende ad attacchi, a downtime operativi e compromettono gli obiettivi di conformità legislativa.
Sono alcune delle deduzioni che emergono dal Network Barometer Report presentato recentemente da Dimension Data. Il report aggrega dati raccolti dalle reti gestite da Dimension Data durante il 2008 e offre una panoramica sulle configurazioni di rete, le vulnerabilità della sicurezza e lo stato del ciclo di vita dei dispositivi.
Sulla base del report il 73% dei dispositivi di rete è soggetto a vulnerabilità conosciute che espongono le aziende ad attacchi e violazioni alla sicurezza, interni ed esterni, e che potrebbero avere conseguenze significative per quel che riguarda la conformità legislativa.
Il report solleva anche il problema dell’invecchiamento degli asset di rete, in relazione ai rischi legati alla disponibilità e ai tempi di attesa per le riparazioni.
Abbiamo indirizzato a Roberto Nitti, Line of Business solution development manager di Dimension Data Italia, qualche domanda in merito al report.
Come è stata fatta la raccolta dati?
Il report raccoglie i dati statistici emersi da un nostro servizio di scanning e inventory analysis degli apparati Cisco presenti nei clienti Dimension Data che hanno commissionato il servizio stesso nel corso del 2008. Si tratta di oltre 150 aziende, in larga maggioranza con almeno 500 dipendenti e appartenenti a diversi settori di mercato. Oltre il 50% di essi sono basati in Europa. Riteniamo quindi rappresentino un campione coerente con la tipologia della nostra clientela.
Risulta che l’analisi delle vulnerabilità delle infrastrutture è una pratica o non diffusa o difficoltosa. Quali sono gli impedimenti e come la si incentiva?
Innanzitutto la consapevolezza che, per la sua diffusione ed evoluzione di funzionalità, il sistema operativo Cisco Ios abbia avuto una progressiva crescita del numero di vulnerabilità certificate, è abbastanza recente: i dati cominciano ad essere noti e significativi dal 2004-2005. Inoltre, i rischi nel trascurarne gli effetti diventano maggiori quanto più le vulnerabilità sono associate a apparati non più commercializzati o che addirittura hanno raggiunto il momento in cui il costruttore non è più tenuto a fornire un supporto di software update o patching. Dopo l’onda di aggiornamento tecnologico delle reti avvenuto ai primi del 2000, l’anzianità dei parchi installati è progressivamente cresciuta e le aziende non ne hanno considerato le conseguenze. I nostri servizi professionali di assessment, come quello da cui abbiamo tratto i dati del report, hanno proprio lo scopo di aiutare le aziende a indirizzare questo problema introducendo una cultura di lifecycle management applicata alla rete.
Il ciclo di vita delle infrastrutture emerge come un problema. Come lo si governa?
Il ciclo di vita delle reti non deve essere considerato un problema, come non lo è più quello di altri componenti It come server, desktop, eccetera, ma deve essere valutato e gestito anch’esso in un processo continuo di gestione operativa. Da tempo gli stessi strumenti finanziari utilizzati per sistemi, desktop, storage, come leasing, locazione operativa, sono disponibili anche per componenti di network. Si tratta di applicare a questi ultimi le stesse best practice e, naturalmente, finché non si misura con continuità in quale punto del ciclo di vita si trova l’infrastruttura, non si può gestirne il rinnovamento quantificando gli investimenti necessari.
La conformità delle infrastrutture risulta non essere percepita come disciplina a se stante. Quando e come lo diventerà? Cosa proponete?
Se si studiano attentamente le indicazioni e i contesti di applicabilità delle normative di conformità, che siano frutto di standard industriali o di indicazioni legislative, si può notare che questi non riguardano solo le applicazioni, i processi, i sistemi di elaborazione o di archiviazione ma anche le infrastrutture di rete. Dimension Data considera la network security come intrinseca nella rete stessa e non come una feature opzionale che può essere sovrapposta a posteriori. Noi trasferiamo questo messaggio facendo leva sulla forte competenza nel networking su Ip e su alcuni servizi di assessment che danno ai clienti maggiore consapevolezza di questa stretta interazione, come quelli che effettuiamo in ambito wireless, di fonia su Ip, o come i servizi più standard di vulnerability assessment e penetration test. Anche le nostre capacità di realizzare soluzioni Nac Guest Access aiutano i clienti a rendere fruibili le loro reti a utenti interni ed esterni in modo sicuro e conforme alle normative di compliance.