Identity management

Tittarelli (CA Technologies): una sicurezza incentrata sulla gestione delle identità per supportare il business che cambia

I confini aziendali si dilatano e con essi i pericoli per l’integrità dei dati che transitano nei sistemi informativi. Serve un cambio radicale di prospettiva nelle strategie di protezione, che devono obbligatoriamente essere di tipo identity-centric. Lo dice Fabrizio Tittarelli, Chief Technology Officer di CA Technologies Italia, forte dei risultati di una ricerca sul tema condotta da Coleman Parkes Research su un campione di quasi 1.800 IT manager e responsabili di LOB. Presentata una nuova soluzione pensata in vista di SPID

Pubblicato il 15 Nov 2016

tittarelli-161103090025

Fabrizio Tittarelli, CTO di CA Technologies Italia

Il terreno della protezione delle aziende non è più (ormai da tempo) quello della difesa del perimetro. Il business è sempre più “digital”

e clienti, dipendenti e partner richiedono sempre più spesso la possibilità di accedere ai dati, alle risorse e ai servizi aziendali da qualsiasi dispositivo e luogo. Questo dilata a dismisura il confine aziendale e obbliga le aziende a ripensare e ridisegnare la sicurezza informatica per includere nuovi aspetti, luoghi, utenti e device. A suffragare i dati che vedono emergere e, in alcuni settori come il finance, consolidare questa tendenza, ci sono anche le evidenze di uno studio The Security Imperative: driving business growth in the App economy, condotto da Coleman Parkes Research per conto di CA Technologies. La ricerca ha preso in esame un campione di 1.770 senior business manager e responsabili IT (inclusi CSO e CISO) in 21 Paesi, con l’obiettivo di analizzare l’approccio delle aziende verso nuovi modelli di sicurezza, la capacità di risposta agli attacchi informatici e l’impatto sugli indicatori di business. Le imprese intervistate sono state valutate sulla base della maturità dimostrata del loro modello di implementazione della security e classificate in tre gruppi – advanced, basic e limited – per misurarne lo scostamento rispetto alla situazione ottimale. «Il risultato più immediato dello studio è l’evidenza di una correlazione diretta tra l’uso di un modello di sicurezza più maturo e il miglior supporto del business rispetto all’adozione di un modello di sicurezza più tradizionale», spiega Fabrizio Tittarelli, Chief Technology Officer di CA Technologies Italia.

Tre elementi per una sicurezza efficace

Il manager ha ben chiaro in mente quali sono gli elementi e le caratteristiche fondamentali di una sicurezza IT ben congegnata, che sia un sostegno utile

alla trasformazione digitale. «La security a giorno d’oggi – commenta – si caratterizza per tre elementi chiave. Deve uniformare la qualità dell’esperienza utente, che è uno degli assi portanti dei progetti di trasformazione digitale. Motivo per cui bisogna approcciare la sicurezza in modo da garantire la medesima user experience a tutti, indipendentemente dal device che usano per accedere ai dati aziendali o al luogo fisico in cui si trovano. La sicurezza deve, poi, essere adattiva, per adeguarsi ai nuovi confini aziendali. Infine, deve essere fluida, senza frizioni. In questo senso, il nuovo perimetro dell’azienda è quello che si crea con le identità digitali, quindi la protezione non può che essere identity-centric». Tornando alle evidenze dello studio, le organizzazioni che hanno investito di più in sicurezza, i cosiddetti advanced, sono anche più consapevoli delle altre rispetto alla capacità della propria azienda di supportare il business digitale. «C’è, quindi, la percezione diffusa della sicurezza come abilitatore del business e la buona notizia è che gli italiani sono quelli più refrattari a rinunciare alla sicurezza per snellire il time-to-market delle applicazioni», sostiene il manager. Per ben 9 aziende italiane su 10 (l’88% del campione), poi, la sicurezza incentrata sulla gestione delle identità rappresenta un elemento chiave per il business. Una strategia di questo tipo applica misure di protezione sistematica a tutti i canali di interazione tra l’organizzazione e i suoi interlocutori, siano essi clienti, consulenti o partner. Il fulcro di questo approccio è l’implementazione di misure di protezione predittiva, ottenuta mixando sapientemente tecniche di analisi comportamentale e del contesto per ridurre la complessità delle attività di prevenzione delle minacce, concentrando gli sforzi su quelle più attendibili. Un esempio lampante è la cosiddetta stepup authentication, l’autenticazione incrementale a più fattori, citata a più riprese da Tittarelli.

Fiducia reciproca

La maggior parte dei manager intervistati ai fini dell’indagine è d’accordo nell’affermare che la sicurezza informatica non possa limitarsi a salvaguardare i dati e l’infrastruttura a supporto del business ma debba servire a instaurare fiducia reciproca (bidirezionale) nella relazione tra aziende e clienti, partner, collaboratori. «Questo è possibile – conclude Tittarelli – solo se le aziende si convincono del fatto che è necessario implementare un modello di security proattiva e predittiva. Purtroppo, però, la ricerca conferma come nella maggioranza dei casi la sicurezza implementata sia ancora di tipo adattivo. Solo il 24% delle aziende italiane adotta un approccio di valutazione dei rischi e delle minacce di tipo proattivo e un numero ancora più esiguo, corrispondente al 15% del campione di aziende nostrane, un modello di tipo predittivo». Confortante, però, il dato sulla percezione sul numero di violazioni subite nell’ultimo anno che per il 45% delle organizzazioni italiane risulta in diminuzione contro un 19% di aziende dell’area EMEA che la pensa allo stesso modo.

CA Acceleration Suite per SPID

CA Technologies Italia ha presentato nei giorni scorsi una nuova offerta incentrata sulla gestione delle identità digitali pensata per il mercato italiano, che si prepara alla rivoluzione dell’identità digitale obbligatoria per tutti i cittadini (SPID). Si tratta di Acceleration Suite per SPID, un’appliance virtuale preconfigurata che permette ridurre al minimo – si parla di pochi giorni, anziché mesi – il processo di accreditamento degli operatori pubblici e privati al Sistema Pubblico di Identità Digitale. «La modalità plug&play – spiega Tittarelli – permette di esternalizzare completamente la gestione dell’accreditamento e anche la manuntenzione, quindi gli aggiornamenti rilasciati con cadenza trimestriale da AgID (Agenzia per l’Italia Digitale – ndr), che rimangono in carico a CA. Si tratta di una soluzione sicura, che include un ambiente di testing simulato integrato, ed economica, con costi commisurati alla numerosità degli utenti finali che si vogliono coinvolgere e senza costi operativi». Il service provider sarà in grado di creare rapidamente una propria identità digitale e i servizi a questa associati erogabili agli utenti finali.

******************************************

I 7 passi di una strategia di sicurezza identity-centric

Lo studio The Security Imperative: driving business growth in the App economyevidenzia i sette passi cruciali del percorso di adozione di una strategia di sicurezza incentrata sull’identità. Ecco quali sono:

1. Considerare l’identità digitale come il nuovo perimetro aziendale

2. Trattare la sicurezza come fattore abilitante del business

3. Impegnarsi a instaurare rapporti digitali di fiducia

4. Tutelare le esperienze, non solo i dati

5. Adottare un approccio adattivo per la gestione delle identità e degli accessi

6. Agire in modo proattivo e predittivo

7. Non rinunciare mai alla sicurezza in favore della velocità

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati