Intervista a Orlando Arena, regional sales director per l’Italia di SafeNet, società specializzata in soluzioni per la sicurezza
La protezione dei dati e la compliance rimangono sempre tra i problemi più sentiti dalle imprese. Per approfondire questo argomento abbiamo incontrato Orlando Arena, regional sales director per l’Italia di SafeNet (www.safenet-inc.com), società specializzata in soluzioni per la sicurezza.
Data Manager: L’evoluzione del panorama normativo in materia di protezione dei dati, i cambiamenti infrastrutturali, i nuovi modelli applicativi come Cloud e virtualizzazione e le crescenti minacce per la sicurezza dei dati sensibili rendono difficile il compito di assicurare la compliance.
Arena: Proprio così: anche in Italia, sotto la spinta della legislazione europea o per il diffondersi di standard internazionali, si assiste sempre di più a un incremento della portata e della complessità degli obblighi in materia di sicurezza informatica e di trattamento di dati e informazioni. Basti pensare al crescente numero di interventi normativi del Garante della Privacy o al fatto che lo standard PCI DSS varato nel 2004 contava originariamente 12 pagine mentre oggi arriva a circa 80. Non sorprende quindi che alla conformità vengano dedicate sempre maggiori risorse, anche se spesso ciò non avviene con un approccio coerente e olistico, con conseguenze quali: aumento dei costi, minori controllo e visibilità, possibili lacune nella sicurezza. A volte, poi, le esigenze di compliance finiscono per frenare l’adozione di innovazioni in ambito IT (virtualizzazione, servizi Cloud).
SafeNet, società specializzata in soluzioni di sicurezza, è particolarmente attenta a questi problemi. Qual è l’approccio di SafeNet al complesso tema della conformità?
Occorre considerare che, pur nella molteplicità degli obiettivi perseguiti e degli ambiti di applicazione, gran parte delle iniziative per la conformità in materia di sicurezza delle informazioni condividono molti principi chiave, per cui devono essere garantiti: riservatezza, integrità, separazione dei compiti tra gli amministratori dei sistemi in scopo, controllo e tracciamento degli accessi e possibilità di effettuazione di audit. È dunque opportuno che le organizzazioni interessate implementino un’infrastruttura che soddisfi questi requisiti nella pluralità di sistemi e ambienti utilizzati (su dati strutturati o non, in data center fisici o virtualizzati, con servizi Cloud), garantendo al contempo controllo e gestione centralizzati. La “Compliance Infrastructure” di SafeNet si fonda sull’uso estensivo della cifratura e di tecniche simili (es. tokenization) quale strumento di base per poter rispondere in modo efficace e sicuro alle esigenze di conformità attuali e future.
Quali sono i settori maggiormente interessati?
In primo luogo, il mondo dei pagamenti con carte di credito a cui si applica lo standard PCI DSS. Pur non essendo obbligatorio per legge, viene contrattualmente imposto dai gestori dei circuiti di pagamento con controlli che stanno diventando sempre più stringenti, anche alla luce del susseguirsi di episodi di furto di dati di carte di credito. Diversi settori sono poi oggetto di specifici provvedimenti da parte del Garante per la protezione dei dati personali: da quello delle telecomunicazioni, a quello sanitario per finire con il settore bancario. Maggiori approfondimenti a riguardo sono disponibili in un documento recentemente prodotto con il nostro distributore Symbolic (consultabile sul sito Web
www.symbolic.it/prodotti/safenet/download/TDINI.pdf).
Le soluzioni SafeNet sono in grado di assicurare la conformità anche in ambienti virtuali e Cloud?
In linea con la nostra missione di proteggere i dati a più alto valore anche nei contesti più critici e complessi, abbiamo sviluppato di recente nuove soluzioni che estendono l’utilizzo delle tecnologie di cifratura a questi ambienti. Unitamente all’utilizzo della nostra nuova soluzione di Enterprise Key Management, che garantisce il possesso esclusivo e la gestione in casa delle chiavi di cifratura, queste tecnologie aiutano a risolvere brillantemente molte delle nuove problematiche di sicurezza poste dall’uso di infrastrutture condivise. Si pensi in proposito a questioni quali: isolamento, portabilità e cancellazione sicura dei dati, difesa dai privilegi di super user da parte degli amministratori, come evitare che i propri dati siano coinvolti nel sequestro di quelli di altri utenti, a causa di azioni giudiziarie.
