officeautomation-febbraio2013

aggiunge un terzo elemento di non poco conto: “La cancellazione di un contenuto importante o di un file di sistema, o un modo di operare poco accor- to, come spesso succede nelle fasi di testing delle applicazioni, o per policy molto vaghe, possono es- sere comportamenti che non nascono per intento di dolo, ma sono più dovuti a distrazioni, poca con- sapevolezza di ciò che si sta facendo che deriva da pratiche e metodi di lavoro del passato, che però sono rimaste radicate nelle persone... Stiamo par- lando quindi di un potenziale di rischiosità ancora più alto e, in un certo senso, ancora più subdolo”. Gli utenti privilegiati Il problema nasce dalla libertà di movimento che nell’ambiente virtuale possono avere i cosiddetti utenti ‘privilegiati’, ovvero coloro che all’interno di un sistema informativo aziendale non hanno restrizioni operative nei loro profili utente e quindi possono accedere a dati e applicazioni con molta facilità. Il tema quindi della protezione degli ambienti virtua- li, per CA Technologies, parte quindi proprio dalla gestione delle identità privilegiate (PIM), un tema che comunque nasce per proteggere meglio anche gli ambienti fisici, ma che per estensione logica gio- ca un ruolo importante anche in quelli virtuali. “Gli utenti privilegiati possono essere associati a quelli che nel mondo Unix una volta erano i profili ‘root’, o gli amministratori di sistema, e che tra le altre cose spesso in molte realtà sono anche utilizzati da diverse persone di sta… In questi casi la possibili- tà di alterare l’ambiente virtuale per distrazione o poca consapevolezza naturalmente aumentano in modo esponenziale”. Una migliore gestione delle identità privilegiate si ottiene con controlli di accesso più granulari im- plementando quello che tecnicamente viene chia- mato la ‘segregation of duties’ (letteralmente se- parazione dei compiti), in cui i privilegi di accesso vengono regolamentati seguendo regole aziendali appositamente definite e, quindi, si formalizzano funzionalità che prima erano considerate libere, ma che nella realtà svolgono compiti diversi, da utenti dierenti, anche quando accedono agli stessi dati: “Come per esempio gli auditor e gli amministratori di sistema; la segregation of duties è ormai richie- sta da molte compliance come Sox o la PCI DSS, ma una migliore definizione dei privilegi non è un mero atto burocratico da svolgere per supportare una compliance, ma aiuta a fare chiarezza e anche a consolidare una cultura aziendale su ruoli e re- sponsabilità precise”. Un secondo elemento è inoltre quello dei controlli raorzati proprio sulle password degli utenti pri-

vilegiati (password vault) che si concretizzano in una tracciatura completa di tutte le attività svolte da un determinato profilo e dal fatto che queste attività sono poi oggetto di attività di reporting. Anche queste sono attività che rientrano sempre più in diverse compliance e il loro supporto è ormai considerato come indispensabile. Una sicurezza per gli ambienti virtuali coerente e allineata alle piattaforme fisiche Nella definizione quindi di una strategia di protezio- ne degli ambienti virtuali, la logica vuole che que- sta si mantenga coerente e allineata con quanto si sta già facendo a livello delle piattaforme fisiche. La proposta di CA nell’ambito della gestione degli utenti privilegiati nasce da questo approccio ed è rappresentata da una suite configurata in diversi moduli che supportano una completa gestione delle identità privilegiate in ambienti fisici e virtuali. È una soluzione scalabile e modulare in grado di fornire la gestione delle password degli utenti privilegiati, controlli di accesso granulari (real access control), reporting sulle attività degli utenti, autenticazione e gestione centralizzata tra server, applicazioni e di- spositivi, attraverso una unica console web di nuova generazione. Queste le funzionalità assicurate nei moduli CA ControlMinder e CA ControlMinder for Shared Account. L’estensione della gestione delle identità privilegiate e l’automazione della sicurezza negli ambienti virtuali, che comprende hypervisor e macchine virtuali è invece assicurata dal modulo CA ControlMinder for Virtual Enviroments. Infine, il modulo CA Session Recording realizza una registra- zione video di tutte le attività degli utenti privilegiati svolte dai loro client, trasformabile direttamente in file testuale, rendendo così possibile la conformità anche per le applicazioni che non generano log. “Il tutto assicurando comunque anche una ottimizza- zione dei volumi dati da memorizzare che entrano in gioco – spiega Molteni – e quindi tenendo traccia solo delle modifiche che intercorrono nel tempo”.

57

febbraio 2013