Una recente indagine di NetConsulting fa il punto su cloud e security. La posizione di CA Technologies
L’annuale ricerca realizzata da NetConsulting (www.netconsulting.it) sul grado di adozione delle soluzioni di sicurezza, quest’anno è stata configurata anche alla luce del nuovo paradigma tecnologico che si sta prefigurando, il cloud computing.
«L’interesse è molto elevato sul cloud e va verso una forte adozione nei prossimi tre anni – esordisce Rossella Macinante, practice leader in NetConsulting -. Le più propense sono le grandi aziende (soprattutto verso il private cloud) e imprese con grandissimi data center».
Macinante si è poi soffermata sulle tecnologie propedeutiche al cloud per livello di importanza e livello di adozione. Prima di tutto la virtualizzazione dei server, «il grado di adozione è molto elevato, c’è un percorso attivo in questo senso, ma non significa che il 100% dei server siano virtualizzati – sottolinea l’analista di mercato – Non c’è al contrario una grande attenzione verso l’automazione delle operation It, aspetto invece fondamentale. Così come l’altro tema importante che non viene assolutamente evidenziato nonostante sia uno dei principali inhibitor nell’adozione del cloud, cioè la sicurezza. «Il tema dei dati sensibili preoccupa molto i Cio poiché i dati non sono più allocati fisicamente su un determinato server o spazio storage, ma possono essere riallocati dinamicamente e questo può creare una situazione di “ansia”», sottolinea Macinante.
Il panel su cui è stata condotta la ricerca è formato da 50 responsabili della sicurezza di aziende di grandi e grandissime dimensioni. Realtà che contribuiscono in modo determinante alla spesa It complessiva delle grandi aziende italiane, valutata da NetConsulting intorno a una cifra superiore ai 10 miliardi di euro, equivalente cioè a oltre il 50% della spesa globale delle imprese italiane.
Diverse di queste imprese, secondo la ricerca, hanno già in uso le soluzioni di sicurezza che costituiscono gli elementi abilitanti il passaggio al cloud: poco più di un quarto delle aziende (26%) sembra essere “pronto” ad affrontare il cloud sia dal punto di vista culturale che tecnologico. Gestire in sicurezza il cloud significa portare in un contesto esterno al perimetro aziendale, soluzioni di controllo delle identità e degli accessi e di protezione dei dati, sia in ambiente fisico che virtualizzato. Il 54% delle aziende occupa invece una posizione intermedia, in cui a un ambiente ampiamente virtualizzato non corrisponde un utilizzo elevato di soluzioni di Identity and access management (Iam). Proprio sullo Iam si è focalizzata la ricerca, in quanto elemento centrale di una corretta strategia di protezione del cloud.
La difesa del perimetro aziendale, cioè il threat management, è molto consolidato con tecnologie mature; ormai tutte le imprese si sono dotate di antivirus, antispam, antispyware, firewall che sono parte integrante della struttura di sicurezza e protezione dell’azienda. Oggi la domanda è quasi esclusivamente di aggiornamento o sostituzione.
Per quanto riguarda la gestione delle identità, la ricerca evidenzia che il sistema di Directory (il repository di identità e ruoli) è adottato al 100%, mentre ci sono talune soluzioni non ancora totalmente diffuse, come l’Identity management (69% di adozione), lo User e resource provisioning (67%) e il Single sign on (55%), le ultime due hanno però visto una discreta crescita nel 2009.
Sul tema della Strong authentication la ricerca mette in luce che la parte Token ha visto una consistente crescita. L’area più arretrata nel comparto Identity management resta invece quella del Compliance management (12%), cioè degli strumenti che consentono una più automatica e veloce adozione di misure di compliance e il monitoraggio su queste procedure.
Una forte crescita è stata evidenziata dal grado di adozione dell’Access management, ora al 69%, mentre il Web access management non ha mostrato spostamenti, rimanendo intorno al 55%. In ambito Data loss prevention (Dlp) si evidenzia un accresciuto interesse emerso negli ultimi anni e anche se l’adozione si presenta “a macchia di leopardo”, «c’è comunque una tendenza marcata all’adozione», afferma Macinante, infatti il 36% del campione dichiara che introdurrà questo tipo di strumenti.
L’ultimo tema affrontato dalla ricerca riguarda la governance della sicurezza, intesa come cruscotti integrati per gestire e monitorare eventi legati alla sicurezza; in questo ambito si è evidenziata una crescita delle imprese che utilizzano tali soluzioni che sono infatti passate dal 29,5% al 38,1%.
Cloud sicuro con CA Technologies
Dunque a che punto siamo? Quattro sono le categorie di aziende risultanti dalla ricerca: l’8% del campione risulta not ready in quanto presenta un livello medio basso di implementazione di soluzioni di sicurezza abilitanti, come pure un ricorso limitato alla virtualizzazione dei sistemi; il 12% è not secure poiché, pur avendo un grado elevato di virtualizzazione, presenta un livello di adozione di soluzioni abilitanti la sicurezza per l’ area cloud piuttosto basso; il 54% è definito intermediate, con una presenza media di soluzioni di sicurezza abilitanti e un livello medio-alto di uso di sistemi di virtualizzazione; sono ready solo il 26% delle aziende prese in esame, in queste si evidenzia sia un alto grado di virtualizzazione dei sistemi sia una presenza completa di soluzioni necessarie per l’adozione del cloud in piena sicurezza ed efficienza.
In questo scenario, CA Technologies (www.ca.com/it) propone la propria strategia per il mondo cloud, con l’obiettivo, sostiene Elio Molteni, solution strategist della società, «di aiutare i clienti a gestire e proteggere la loro infrastruttura informatica fornendo nel contempo servizi flessibili al business. In tale contesto è indispensabile poter controllare le identità, gli accessi e il modo in cui le informazioni possono essere utilizzate. Per ciascuna di queste attività, abbiamo sviluppato soluzioni specifiche».
La strategia, denominata Content Aware Identity and Access Management, affianca il controllo dell’informazione e della compliance ai livelli di gestione delle identità e degli accessi.
Identità degli utenti e ruoli, autenticazione, controllo di accessi, single sign-on federato, attività di data loss prevention, sicurezza dei Web services possono essere gestite con i prodotti Iam attualmente disponibili.
La strategia di Content Aware Identity and Access Management implementata da CA Technologies per il cloud è suddivisa in tre categorie: Security to the cloud, rivolta alle imprese che intendono estendere la tecnologia Iam presente al proprio interno e gestire con essa i servizi e le applicazioni on-demand erogati da private cloud o public cloud; Security for the cloud, dedicata a provider di cloud private o pubbliche che vogliono gestire in sicurezza il proprio ambiente di data center; Security from the cloud, indirizzata a tutte quelle aziende, in particolare a quelle di minore dimensioni, o anche grandi aziende che vogliono affidarsi a servizi cloud, tipicamente SaaS, senza dovere investire in proprio in tecnologie Iam.
