Gli investimenti sempre più alti in sicurezza sono solo una delle critiche che vengono mosse ai vendor. Linea Edp li ha invitati a una tavola rotonda per rendere conto del proprio operato
Il mercato della sicurezza sembra vivere un buon momento, lo sostengono
analisti e vendor. Il rapporto tra utenti e produttori, però, non è privo
di conflittualità. In merito abbiamo sentito il Cio dell’Acquario
di Genova, Filippo Costa, che ha avanzato quattro provocazioni, diventate
filo conduttore di una tavola rotonda organizzata da Linea Edp con tre vendor
del settore (Check Point, MetaSystem e Radware).
«Una scelta valida, per cautelarsi
dagli attacchi interni, è quella di dare in outsourcing
il controllo del controllore»
Andrea Rizzi, country manager di Check Point
Prima osservazione di Costa: «Come fate voi produttori a dare una stima
verosimile del payback di una soluzione di sicurezza?». «Oggi,
in molte organizzazioni – risponde Andrea Rizzi, country manager di Check Point
-, i Cso si siedono nel Consiglio d’amministrazione, a testimonianza
dell’importanza crescente che quest’area assume nel business. È difficile
valutare il Roi della sicurezza, anche se la metrica più efficace è rappresentata
dal rischio del danno. Non bisogna valutare, infatti, qual è il costo
dell’investimento, ma quello del non investimento. Esistono, però,
anche criteri meno empirici, espressi in termini di tempo/risorsa umana, quali
il costo del downtime di rete oppure il tempo dedicato dal personale It alla
gestione delle patch e delle policy».
«Noi produciamo gruppi di continuità – fa eco Gianluca Fabiani,
responsabile mercato Italia della divisione Energia di MetaSystem – e il ritorno
sulle nostre soluzioni è stimabile con semplicità. Basta, infatti,
valutare il costo del downtime (espresso in termini di fermo di ore/uomo) dovuto
a problemi afferenti la rete elettrica, senza considerare, poi, tutte le spese
di ripristino delle apparecchiature informatiche o degli impianti di produzione». «Il
mercato della sicurezza si è evoluto tantissimo negli ultimi anni, sia
in termini di prodotti, che di responsabilità – interviene Gino Bettoni,
regional director South Europe di Radware -. Parallelamente, sono evolute anche
le figure che, all’interno dell’azienda, si occupano di protezione.
Se fino a qualche anno fa c’era il network manager o il security manager,
oggi in realtà queste figure tendono a convergere. Così come
sempre più spesso sono gli apparati di networking a includere, preintegrate,
funzionalità di sicurezza. Le aziende iniziano a rendersi conto della
necessità di preoccuparsi della continuità operativa, che rappresenta
il problema principale. Gli attacchi del tipo Denial of service, che mettono
in ginocchio intere organizzazioni, stanno arrivando anche all’attenzione
dell’amministratore delegato, che valuta il ritorno sugli investimenti
in protezione in termini di mancato fermo operativo».
«La vera questione non è capire quali funzionalità debba
avere un prodotto, ma quanta scalabilità può garantire»
Gino Bettoni, regional director South Europe di Radware
Il ruolo dei dipendenti
Secondo quesito di Costa: «Come si fa a controllare il dipendente e la
tecnologia come può venire incontro a queste esigenze?». «Premesso
– puntualizza Rizzi – che oggi si sa che il 90% circa degli attacchi arriva
sulle applicazioni utilizzate dai dipendenti, quello che si può fare è cercare
di capire se c’è scarsa attenzione o negligenza da parte dell’utente
interno, e in questo caso investire in formazione, oppure, se occorre, migliorare
la tecnologia. Non esiste la sicurezza al 100%, nemmeno quella interna, anche
se una ipotesi già presa in considerazione da alcune aziende è quella
di dare in outsourcing il controllo del controllore, che neutralmente fornisce
dati a chi decide su cosa sta succedendo all’interno del perimetro». «Il
fatto che una minaccia venga dall’interno o dall’esterno non ha
molta importanza ai fini della sua pericolosità – critica Bettoni -.
In genere, un attacco è causato dal fatto che il personale itinerante è rimasto
colpito da un worm e lo ha diffuso in azienda. Per contro, può trattarsi
di un male causato volontariamente da un dipendente arrabbiato, anche se questa
ipotesi è molto meno diffusa. In ambo i casi, le contromisure sono le
stesse di un attacco proveniente dall’esterno».
I sistemi It sotto «pressione»
Terza provocazione: «Il proliferare delle tecnologie di sicurezza e il
maggior lavoro loro richiesto, ha effetti, a volte anche pesanti, sull’efficienza
e le performance complessive dei sistemi informativi». «In realtà –
risponde Bettoni – nelle nostre soluzioni utilizziamo degli algoritmi euristici
di controllo del traffico, sviluppati da V-Secure, una società che abbiamo
rilevato alcuni anni fa, che riduce sensibilmente il carico di lavoro per il
sistema It, garantendo al cliente una fruibilità reale dell’infrastruttura». «Noi
– tiene a sottolineare Fabiani – proponiamo apparati che proteggono da tutti
i problemi della rete elettrica, assicurando una tensione sempre uguale in
uscita, indipendente dai cali o dalle variazioni della corrente in ingresso.
Si tratta di soluzioni scalabili, che hanno un impatto inesistente sulle performance
complessive dell’infrastruttura informatica».
«Per stimare il Roi basta valutare il costo del downtime, espresso in termini di fermo di ore/uomo»
Gianluca Fabiani, responsabile mercato Italia divisione Energia di MetaSystem
La manutenzione
Infine, ultima osservazione di Costa: «Al di là della dotazione
standard di sicurezza, gli add on, i moduli e i “pezzetti” di
soluzioni non preventivate hanno un costo unitario molto più elevato
della tecnologia base, così come la manutenzione e l’aggiornamento». «L’assistenza è un
componente fondamentale nel computo del Tco – puntualizza Fabiani -. Nel
caso degli Ups, ad esempio, le gare sono tutte ormai uniformate sulla valutazione
del costo totale di possesso e noi vendor dobbiamo evidenziare in chiaro,
nelle proposte, quanto dura la macchina e quanto costa, anno per anno, la
sua manutenzione».
«Radware – precisa Bettoni – propone diverse opzioni, con licenze specifiche
abbinate al prodotto base per la gestione, ad esempio, del DoS o della banda. È in
atto, però, una profonda evoluzione della capacità delle tecnologie,
tanto che la vera questione non è capire quante funzionalità il
mio prodotto debba avere, ma piuttosto quanta scalabilità garantisce,
per poter capitalizzare gli investimenti».
«Questo è un appunto che ha a che fare con l’etica – conclude
Rizzi -. Da sempre, infatti, il costo dell’update è visto come
un male necessario, anche se il cliente spesso sottovaluta i rischi e i
costi associati alla mancata manutenzione. Noi, in azienda, abbiamo una
politica che prevede l’applicazione di una percentuale fissa del costo del
prodotto a copertura degli interventi di aggiornamento, bug fixing e gestione
patch. I soldi che arrivano da queste attività sono investiti, in Check
Point, in attività di ricerca e sviluppo, quindi a sostegno della tecnologia».