Rileggere qualcosa che avevamo trovato interessante tempo addietro spesso torna utile. Si rinfrescano le idee, e ritornando sulle riflessioni fatte allora le si può guardare da un nuovo punto di vista (come insegnava, in piedi sulla cattedra, il professor Keating ne "L'attimo fuggente"), o magari scoprire che si è ancora della stessa opinione, irrobustita dalle nuove esperienze.
Stavo rileggendo in questi giorni l'articolo di Mary Ann Davidson su Oracle Magazine di settembre/ottobre 07, dal titolo "Automating Security". Sono andato a riprenderlo perché sui siti dei produttori e in quelli dedicati alla sicurezza informatica si parla sempre più di automatizzazione dei processi anche nell'ambito della sicurezza IT.
La sicurezza informatica non è più solo una questione di password. Configurare sistemi eterogenei, o sistemi complessi come un moderno DBMS, è un'operazione lunga, delicata e noiosa. Come dice la Davidson:
"Most people don't have the time or expertise to set, say, 82 configuration parameters by hand (on 37 instances), much less do it every day to ensure that they didn't leave a cyberdoor wide open"
ovvero, "la maggior parte delle persone non ha il tempo o le competenze per impostare uno ad uno - tanto per dire - 82 parametri su 37 istanze, e ancora meno per farlo quotidianamente per assicurarsi di non avere lasciato una breccia spalancata". Allora, ben vengano tutti quegli strumenti che consentono di gestire - e monitorare - in modo più efficiente i parametri di sicurezza della propria infrastruttura, come gli strumenti interni ai DBMS (in virtù dei quali la Davidson implicitamente, ma in modo trasparente promuove l'adozione di Oracle 11g), o i cosiddetti security event management tools (qualcuno ha detto Tivoli?).
Un vantaggio notevole degli strumenti più evoluti è che consentono di automatizzare i controlli di conformità alla normativa esistente, siano leggi nazionali o standard internazionali. Negli USA le imprese che fatturano più di 75 milioni di dollari, quotate in borsa - quindi vale anche per le aziende straniere che decidono di quotarsi lì - devono garantire la conformità al Sarbanes-Oxley Act (detta SOX - la sezione 404 riguarda direttamente chi gestisce i dati). Ma lo stesso discorso vale per le norme ISO come la 27001. In tutti questi casi il vantaggio dei security compliance management tools è evidente: ci sono le norme, e ci sono le azioni intraprese da chi si occupa della sicurezza dei sistemi; ma chi garantisce "al volo" che queste azioni sono efficaci e rispondenti ai requisiti imposti, soprattutto quando chi controlla e decide in base ai report non ha competenze sufficienti per valutare le soluzioni adottate?
Il rischio tuttavia è che l'automatizzazione porti a un falso senso di sicurezza. Una politica di sicurezza chiara, precisa e condivisa dal management (prima di tutto) e da tutti gli operatori coinvolti risulterà tanto più efficace se supportata da strumenti che automatizzino la gestione della sua implementazione; altrimenti automatizzare dei processi mal pensati - dunque inefficaci, almeno in parte - non avrà altra conseguenza che rendere veloci ed efficienti quei processi. Senza reali garanzie sui risultati.
Adottare particolari strumenti o suite senza un approfondimento in merito, non affrontare la questione della sicurezza alla radice, trascurare l'onnipresente fattore umano, hanno come effetto di spostare il problema un po' più in là. Per un po' potrebbe anche funzionare, ma alla lunga...
Nessun commento:
Posta un commento