Pagina 91 - officeautomation-febbraio2013
Versione HTML di base
89
ripristino. La prevalenza degli strumenti in produ-
zione è ancora a livello soprattutto infrastrutturale.
È significativo che il 63% usi strumenti di protezione
nell’ambito della virtualizzazione dei server, e che
il 53,1% dichiari di usare sistemi ad alta adabilità,
una percentuale analoga alla ben più tradizionale
ed operativa gestione delle patch e degli aggior-
namenti, che risulta, a mio giudizio, piuttosto bassa
(ma lo era anche nei precedenti rapporti). Il proble-
ma è anche dovuto al non rinnovo dei contratti di
manutenzione del software, in parte causato dalla
grave crisi economica. E questo porta però a non
eliminare le vulnerabilità dei software e a mantenere
al primo posto la di usione dei malware che sulla
presenza di tali vulnerabilità si basano e agiscono.
Per quanto riguarda la sicurezza delle applicazioni,
il 44,4% dei rispondenti dichiara di avere definito
e/o di seguire e far seguire apposite linee guida per
un loro sviluppo ‘intrinsecamente’ sicuro, e più di un
quarto verifica, anche a livello contrattuale, che gli
sviluppatori terzi seguano tali linee guida. Il 22,2%
e ettua ispezioni sul codice (code inspection) e
test di penetrazione.
Per quanto riguarda la protezione dei dati, il vero
‘asset’ per l’azienda/ente, il 60% del campione usa
soluzioni di archiviazione remota, tipicamente con
ISP/ASP e fornitori cloud, soprattutto per i back-up
e per la replica delle banche dati. Più di un terzo
critta localmente i dati archiviati, e più di un quar-
to utilizza tecniche e strumenti di DLP, data loss
prevention.
Come è gestita la sicurezza
La gestione della sicurezza è altrettanto, se non
più, importante delle misure in atto. Il monitoraggio
e il controllo delle funzionalità e delle prestazio-
ni dei sistemi ICT sono in vari modi attuati da più
dell’80% dei rispondenti, ma solo il 14,8% utilizza
un sistema integrato e centralizzato, ed il 9,9% fa
uso di un SCC, security command center, presso
società specializzate.
Il forte divario tra l’80% ed il 14,8% evidenzia come
la sicurezza ICT sia ancora gestita prevalentemente
a isole per i diversi ambienti (reti, server, siti web
e applicazioni, banche dati) e per tipi di prodotti,
in primis Microsoft e Linux/Unix. In molti casi, so-
prattutto nei sistemi informativi di piccole e medie
dimensioni, la gestione è e ettuata server per server
a livello di consolle di sistema operativo.
Quasi la metà dei rispondenti gestisce i log degli
operatori e degli amministratori di sistema, anche
grazie alle normative per la privacy, e il 40% gestisce
anche i log degli utenti. Sempre attorno al 40% la
presenza di IDS, IPS e la gestione delle vulnerabili-
tà (dato per altro congruente con la percentuale di
gestione delle patch precedentemente discussa).
Scendono le quote percentuali, ma con valori non
trascurabili, da un terzo a un quarto del campione,
relative ai test periodici e sistematici di penetrazio-
ne, ai piani e alle soluzioni di disaster recovery, oltre
che all’e ettuazione periodica di prove di ripristino
emulando situazioni di disastro.
L’analisi del rischio ICT è e ettuata solo dal 24%
circa dei rispondenti.
Le policy adottate
Per la gestione della sicurezza sono fondamentali
le misure organizzative. Quasi il 62% ha definito e
utilizza policy tecnico-organizzative di sicurezza, più
di un terzo del campione ha specifiche procedure
per gestire la sicurezza e l’help desk, e circa il 30%
ha procedure per governare incidenti e problemi,
oltre che per la definizione dei ruoli e dei compiti
delle varie figure addette alla sicurezza ICT.
L’audit è svolta dal 43,6% dei rispondenti ed il 15,4%
ha intenzione di espletarla. Per chi già ha tale fun-
zione, il 61,8%, la svolge con periodicità regolare,
ad esempio annuale, il 27,1% con ancora maggior
frequenza, mentre il 17, 6% la svolge in maniera ir-
regolare, ossia non pianificata periodicamente, ma
quando ritenuto necessario, e una analoga percen-
tuale la svolge in maniera continuativa, nell’ambito
di un processo ben strutturato e di miglioramento
continuo dell’ICT (tipicamente il CSI, Continual Ser-
vice Improvements, di ITIL v3). Una piccola percen-
tuale, il 6,8%, la svolge solo a seguito di incidenti
o di attacchi gravi.
Marco Bozzetti
febbraio 2013
