SicURezzA fiSicA e LOgicA: veRSO LA

N.4 gennaio 2012
jOURNAL
Sicurezza fisica e logica: verso
la convergenza?
N
La security si sta muovendo verso una sempre più spinta e completa
integrazione tra la componente fisica e quella logica. La frontiera
è la convergenza dei dati relativi ad impianti industriali, fabbriche
e lavoratori con le informazioni provenienti dalle applicazioni
per un più efficace controllo diretto. Da un unico punto.
Laura Zazzara,
Security Product Line Manager
di Akhela
el corso degli ultimi anni la separazione fra sicurezza fisica e logica è divenuta sempre meno marcata;
oggi parliamo di sistemi di sicurezza “integrata”
nella maggior parte delle grandi aziende, evoluzione che implica una visione della security a 360
gradi.
Lo sviluppo di tecnologie mobile e l’integrazione delle stesse con stru-
menti sempre più efficaci di Business Intelligence, sono i due fattori che maggiormente hanno spinto verso l’integrazione. Oggi è possibile far convergere
dati relativi alla sicurezza di ambienti, impianti, apparati e persone coinvolte,
verso un unico centro di controllo, interpretando gli stessi in modo da trasformarli in informazioni che possono essere distribuite ai diversi livelli organizzativi dell’azienda (in report personalizzati)per essere di supporto alle decisioni
nell’attività quotidiana o in momenti particolarmente critici.
Ne parliamo con due professionisti di Akhela, Laura Zazzara, Security
Product Line Manager, e Gianluca Carta, Area Manager.
SICUREZZA LOGICA: LA TECNOLOGIA È SOLO UN PEZZO
“In ambito sicurezza logica l’attenzione è ormai da moltissimi anni focalizzata sul concetto di riservatezza e protezione del dato ma la tecnologia
non è certamente un problema, in quanto sono disponibili diverse soluzioni”,
afferma Zazzara. “Le tecnologie per la security servono ma sono solo una
componente del puzzle. Comportamenti, consapevolezza, policy e procedure
operative sono le sfide più importanti da affrontare”.
Akhela Journal n. 4 - gennaio 2012
1
www.zerounoweb.it
IDC: sulla sicurezza non cala mai
l’ombra
Akhela Managed
Security Services: supporto
alle attività del Soc
Il tema della sicurezza informatica continua a dimostrarsi uno dei punti
Akhela fornisce supporto
alle aziende dal proprio Soc
(Security Operation Center)
con servizi quali: Vulnerability
assessment/penetration test
periodici; gestione delle policy
(definizione, aggiornamento,
compliance assurance); gestione
e monitoraggio dell’infrastruttura
(config/change/release
management, interventi di
hardening); monitoraggio proattivo
(analisi dei log, correlazione eventi,
early warning); alarm management;
incident management con ripristino
del corretto funzionamento;
incident analysis (analisi delle
cause e identificazione di
contromisure); event logging (per
storico, audit ed intelligence);
controllo costante del livello di
sicurezza con reportistica periodica
e consulenza sull’evoluzione
dell’infrastruttura del Soc.
di confronto più importanti nel mercato Ict.
“Le minacce alla sicurezza e alla riservatezza dei dati aziendali (ma anche personali) sono infatti aumentate con il diffondersi di tecnologie che rendono l’infrastruttura digitale sempre più complessa ed interconnessa (virtualizzazione, cloud computing e mobile)”, ha osservato Fabio Rizzotto, research
director area It di Idc Italia.
“Per quanto riguarda il tema della virtualizzazione e del cloud, le tecnologie fondamentali per rendere sicure queste soluzioni rientrano nel campo
della gestione di identità, del controllo degli accessi e della protezione dei
dati”, ha precisato Rizzotto.
Non solo: gli end point, in particolare in nuovi device mobili (smartphone,
iPhone, iPad), stanno diventando un punto molto vulnerabile del sistema: “Le
applicazioni Voice over Ip, il Web 2.0, il Mobile e-commerce saranno senza
dubbio tra i dispositivi più sfidanti dei prossimi anni, in termini di sicurezza
delle informazioni”, evidenzia l’analista. “Il tema della sicurezza va dunque
visto sempre di più in ottica allargata, in modo da comprendere l’analisi e
la sintesi di tutti gli eventi (anche quelli provenienti dal mondo fisico, con
un monitoraggio in tempo reale) che possono in qualche modo comportare
rischi per le persone e i sistemi informatici (Psim, physical security information
management)”.
La sicurezza è infatti sempre più percepita come un problema da affrontare in modo olistico, non solo dal punto di vista tecnico bensì con insiemi di
regole e processi avendo una visione complessiva e continuativa dei rischi.
In particolare, le aziende dovrebbero concentrarsi su aspetti quali la de-
Questo approccio sta cominciando a farsi strada e, secondo le previsioni Idc,
finizione di policy chiare, condivise e sottoscritte, una formazione seria, la
sarà uno dei driver che poteranno ad una crescita degli investimenti in It
responsabilizzazione degli utenti e l’attribuzione di responsabilità precise, il
Security in Italia.
tutto conciliando esigenze di protezione, riservatezza e sicurezza di dati/infor-
Il mercato della sicurezza, oggi, secondo le stime della società di ricerca
e analisi, registra uno spending più alto rispetto al mercato It generale: “In
mazioni (e delle persone) con quelle opposte di apertura e velocità (necessari
al business per la nuova competitività).
Italia, l’It Security spending (inteso come spesa complessiva in prodotti e ser-
“Nell’attuale contesto concorrenziale globale la sicurezza logica dovreb-
vizi di sicurezza informatica) ha un tasso di crescita che si colloca tra il 5 e il
be rappresentare per le aziende italiane un enorme valore perché consente la
6% (confermato dagli analisti anche per i prossimi due/tre anni), rispetto alla
riduzione dei rischi operativi, la preservazione dai danni d’immagine, la ridu-
capacità di spesa It generale che registra un tasso di crescita lieve (di poco
zione delle frodi, l’aderenza alle normative e l’abilitazione di nuovi servizi”,
sopra l’1%, dopo anni di segni negativi)”, illustra Rizzotto.
riflette la manager di Akhela. “Purtroppo la maggior parte delle aziende, per
La crescita del mercato del security si spiega con lo scenario mondiale nel
tutta una serie di motivi, si focalizza soprattutto sugli ambiti che vengono im-
quale ci troviamo oggi a vivere e competere. Nel 2010 c’erano un miliardo
posti dalle normative. Le aziende hanno già a disposizione la maggior parte
di utenti Internet mobili e 500 mila applicazioni per cellulari e smartphone,
delle soluzioni che consentirebbero loro di affrontare tutte queste problema-
700 milioni di utenti di social networks, 630 milioni di notebook e 80 milioni
tiche, ma spesso non riescono a sfruttarle a causa di funzionalità frammenta-
di netbook in circolazione, una base di 1,2 miliardi di telefoni mobili e 220
te e delle difficoltà nell’integrarle tra loro. Il ruolo di Akhela è proprio quello di
milioni di smartphone venduti (fonte: Idc). “Passeremo dagli 1,1 exabyte di
aiutarle a rivalorizzare gli investimenti già effettuati integrando tra loro le di-
dati del 2010 agli oltre 50 exabyte nel 2020 (un exabyte equivale a un mi-
verse tecnologie e sviluppando un unico punto di gestione”, precisa Zazzara.
liardo di gigabyte)”, osserva Rizzotto, “grazie anche al fatto che, già oggi,
L’evoluzione tecnologica in atto, rappresentata dall’accesso in mobilità,
vediamo circa 7 miliardi di dispositivi connessi (5 dei quali non costituiti da
dai social network, dalla connessione di dispositivi intelligenti alla rete Ip
Pc) con una forte crescita delle comunicazioni machine-to-machine (Internet
(Internet delle cose) e dal cloud computing, aggiunge inoltre nuove criticità;
degli oggetti), 50 milioni di server installati, metà dei quali virtualizzati e ben
una delle prossime frontiere è offerta dal protocollo Nfc (Near-Field Com-
23 miliardi di dollari di spesa globale in servizi di public clould”.
munications) che consentirà di effettuare pagamenti tramite smartphone e
I dati e le analisi degli esperti evidenziano, in sostanza, l’evolversi della
tablet (consente di mettere in comunicazione tra loro diversi dispositivi elet-
mobilità come fenomeno inarrestabile: le aziende dovranno quindi necessa-
tronici e di effettuare pagamenti semplicemente avvicinando lo smartphone
riamente pensare a strategie di enterprise security mobility.
all’apparecchio del fornitore).
“Le aree di presidio della sicurezza diventano quindi sempre più vaste,
con la conseguente necessità di soluzioni e processi in grado di far fronte a
Akhela Journal n. 4 - gennaio 2012 2 www.zerounoweb.it
È sempre più vero che ormai molti percepiscono
la necessità di maggior sicurezza, ma pare altrettanto
vero che non se ne vorranno occupare direttamente,
preferendo soluzioni ‘in service’
ricolose, se vengono trattati prodotti speciali o laddove vi sia la necessità
Gianluca Carta,
Area Manager, di Akhela
di garantire la sicurezza di mezzi o apparecchiature speciali, si avvarranno
sempre di più di sistemi che integrandosi con il processo operativo mireranno
a tracciare personale, attività, materiali e mezzi, fornendo una visione integrata ed elevando il livello di sicurezza sull’intero processo - aggiunge Carta
-. Inutile dire che questo è uno dei casi dove la necessità di garantire la sicurezza in certi ambienti si scontra con le limitazioni legali sulla localizzazione e
tracciatura del personale (Privacy). Mi preme però fare presente che talvolta,
in presenza di situazioni di pericolo, la conoscenza precisa e in tempo reale
della posizione di una persona rappresenta il fattore differenziante per salvargli la vita”.
questa crescente complessità”, spiega Zazzara che porta l’esempio concreto
“La Pubblica Amministrazione in alcune aree sta invece lottando contro il
della sicurezza applicata ai sistemi di controllo industriale. “Tali sistemi sono
degrado, una battaglia che pare essere impari. Oggi esistono soluzioni in gra-
parte integrante delle infrastrutture critiche relative a elettricità, acqua, gas,
do di rilevare e di segnalare lo svolgersi di attività illecite quali sversamento
prodotti chimici, trasporti ecc. La capacità di collegare in rete questi sistemi
di materiali, intrusioni in aree riservate, utilizzo di bombolette per graffitare i
offre opportunità senza precedenti per migliorare la produttività e ridurre
muri, ecc., e tutto questo a costi risibili, senza ricorrere a complesse e costose
gli impatti sull’ambiente. Purtroppo, le stesse opportunità derivanti dall’inte-
soluzioni che si sono rilevate spesso inefficaci”, sostiene Carta che aggiunge
grazione di una rete informatica in un sistema industriale hanno introdotto
una nota sugli aspetti normativi. “Anche se pare un controsenso, purtroppo
diverse minacce e vulnerabilità nei sistemi di controllo stessi. La situazione
le normative non vengono spesso in aiuto alla sicurezza. In genere, queste
attuale è che le industrie per affrontare queste problematiche si rivolgono a
risultano molto più lente ad adeguarsi alle reali esigenze rispetto al variare
fornitori specializzati in servizi di IT security che hanno poca (per non dire
delle tipologie di attacco (condizione ancora più vera per la sicurezza logica).
nulla) esperienza sui sistemi industriali (Scasa/Dcs), con il conseguente rischio
A questo punto esiste il rischio di scegliere e adottare soluzioni che mirano
che le attività di Vulnerability Assessment e Penetration Test tradizionali ab-
soltanto al rispetto delle norme (condizione peraltro imprescindibile) e delle
biano impatti sulla ‘safety’ e sulla produzione”.
best practice. Così facendo però di fatto non si fa davvero sicurezza ma si fa
SICUREZZA FISICA: ANCORA TANTA STRADA DA FARE
Ormai nel campo industriale, gli interventi canonici intesi come antintrusione, videosorveglianza e controllo accessi sono stati per la maggior parte
realizzati (ne restano invece ancora molti da realizzare sulle utenze residenziali): “La maggior parte degli interventi sono rivolti alla localizzazione e ge-
solo “compliance”. Per offrire servizi davvero efficaci a garantire la sicurezza
a un buon livello occorre integrare quanto imposto (talvolta solo consigliato)
dalla legge con tecniche e soluzioni molto più efficaci ed attuali”.
IL FUTURO DELLA CONVERGENZA E DELL’ALWAYS ON
stione dei beni (e delle persone), sia per quanto riguarda la sicurezza, sia per
Riflettendo sugli scenari futuri in ambito security, Carta ritiene probabile
quanto attiene all’integrazione con processi produttivi e di gestione”, spiega
che “si andrà sempre di più verso l’integrazione, la virtualizzazione, la centra-
Carta. “Si fa un ampio utilizzo di tecnologie Rfid (anche Uwb - Ultra Wide-
lizzazione, l’always-on; tutto in rete, tutto connesso, tutto sempre disponibile
band, tecnologia che consente di costruire sistemi di localizzazione molto
anche e soprattutto su device mobili, tutto gestito centralmente”.
sofisticati) e di sistemi di geolocalizzazione. Un’altra tipologia di interventi
“È sempre più vero che ormai molti percepiscono la necessità di mag-
riguarda l’analisi delle immagini e dei suoni, con sistemi esperti, in grado
gior sicurezza, ma pare altrettanto vero che non se ne vorranno occupare
di offrire soluzioni all’avanguardia nella sicurezza, nella profilazione e nel
direttamente, preferendo soluzioni ‘in service’. Ci saranno così sempre più
miglioramento delle funzioni di Crm”.
servizi esperti, legati a persone e mezzi che dovranno essere costantemente
E per entrare nel dettaglio delle specificità del business o del settore di
geolocalizzati, in modo che in funzione delle mutevoli condizioni adatteranno
appartenenza di un’azienda, Carta descrive come siano le banche ad avere
i servizi di sicurezza (una sorta di self adaptive security); presumibilmente
oggi necessità importanti sul piano della sicurezza fisica. “Si sta andando
questo avverà con l’impiego sempre più intensivo di tecnologie wireless e di
verso il riconoscimento automatico delle persone presenti nelle filiali, da un
soluzioni di knowledge management in grado di gestire correlazioni, anche
lato per migliorare i servizi (integrazione del riconoscimento biometrico/fac-
di tipo cross (sicurezza fisica, sicurezza logica, mobilità) e anche su informa-
ciale con il Crm), dall’altro per regolamentare l’accesso dei dipendenti e per
zioni destrutturate (correlazioni con informazioni provenienti da blog, social
riconoscere in tempi rapidi persone pericolose o sgradite, o ancora meglio
network, condizioni meteo, ecc.), conclude Carta.
situazioni che possono preludere ad azioni malavitose, rilevabili attraverso
sistemi esperti di analisi audio e video”, osserva Carta.
“Anche gli ambienti industriali, soprattutto se sono presenti aree peAkhela Journal n. 4 - gennaio 2012 3 www.zerounoweb.it
Alitalia, migliorare la security
attraverso la compliance
“Coniugare l’obbligo normativo con l’opportunità di mettere in campo soluzioni efficaci e adeguate
alla continua evoluzione tecnologica è fondamentale e spesso è una formidabile leva di cambiamento”.
Così Attilio N. De Bernardo, Director Sicurezza Informatica - Sistemi Informativi e Telecomunicazioni di Alitalia Compagnia Aerea Italiana, semplifica quello che nell’azienda è un impegno costante volto a garantire
una vista globale di tutti gli aspetti della sicurezza
P
Attilio N. De Bernardo,
Director Sicurezza Informatica
Sistemi Informativi e Telecomunicazioni
di Alitalia
rotezione dei dati e delle informazioni relative ai
clienti, con un’organizzazione e processi di supporto
che devono essere continuamente aggiornati e rielaborati in modo coerente all’evoluzione tecnologica e normativa. Potremmo riassumere così la vision
di Alitalia in tema di sicurezza; una strategia che,
a detta di Attilio N. De Bernardo, Director Sicurezza
Informatica - Sistemi Informativi e Telecomunicazioni della compagnia aerea, vede nella compliance
uno stimolo e un’opportunità di miglioramento.
Quali sono gli elementi cardine su cui si fonda la strategia di
sicurezza in Alitalia?
De Bernardo: In sintesi: la tutela delle informazioni di concerto con
la compliance normativa.
Spesso le aziende si concentrano soltanto su una sola delle due tematiche privilegiando così l’applicazione di misure di sicurezza informatica
ritenute necessarie piuttosto che avviare progetti di conformità per ciascuna norma. Il rischio che deriva da questo tipo di approccio è la non chiara
comprensione degli obiettivi complessivi e la sensazione, da parte di chi
viene coinvolto di volta in volta nell’applicazione delle policy di sicurezza,
di dover affrontare a più riprese i medesimi argomenti (alimentando la per-
cezione di essere quasi come un “vincolo” alle attività quotidiane).
L’approccio ai temi di conformità come “silos of compliance” invece
che con una visione organica e coordinata alla sicurezza fa perdere di
vista i punti di contatto e le naturali sovrapposizioni che inevitabilmente
emergono. Evitare di moltiplicare gli impegni per le risorse in campo a più
riprese su tematiche affini o complementari, con un approccio sinergico,
deve essere una priorità. Coniugare l’obbligo normativo con l’opportunità
di mettere in campo soluzioni efficaci ed adeguate rispetto alla continua
evoluzione tecnologica è fondamentale e spesso è una formidabile leva di
cambiamento.
Quali sono i punti di maggior focalizzazione su cui si concentrano gli interventi?
De Bernardo: Dovendo gestire le informazioni di circa 25 milioni di
passeggeri all’anno, prestiamo particolare attenzione alla tutela dei dati
personali dei nostri clienti.
Akhela Journal n. 4 - gennaio 2012 4 www.zerounoweb.it
Sicurezza, le soluzioni
di System Integration di Akhela
Akhela progetta e sviluppa soluzioni di System Integration
basate su soluzioni biometriche, elaborazione immagini
e segnali audio, soluzioni Rfid-Uwb al fine di sviluppare
progetti di tracking di persone e/o eventi, intelligent
monitoring, safety and security, statistical pattern analysis.
L’Audience Measurement, per esempio, analizza i
volti presenti nella scena e genera informazioni relative
a: genere (maschio o femmina), fascia di età (bambino,
adolescente, adulto, anziano), etnia (Caucasica, Africana,
Asiatica), tempo di presenza, indice di attenzione.
La face recognition analizza i volti presenti nella scena
e ne valuta la somiglianza con quelli di identità note.
L’analisi biometrica permette di sviluppare una serie di
applicazioni di interesse: riconoscimento real-time di volti
per attivazione di allarmi (clienti Top, clienti indesiderati,
ecc.), riconoscimento off-line di volti (tracking di identità
per data mining, indagini di polizia), controllo accessi
biometrico per aree riservate (caveau banca, postazione
sicurezza fisica, ecc.).
L’audio Analysis fornisce un ausilio alla prevenzione
di eventi criminosi rilevando in tempo reale i seguenti
avvenimenti: aumento innaturale del tono della voce/urla
umane; vetri infranti; colpi d’arma da fuoco/esplosioni;
emissioni di spray da bombolette.
L’approccio ai temi di conformità come “silos
of compliance” invece che con una visione
organica e coordinata alla sicurezza, fanno
perdere di vista i punti di contatto e le
naturali sovrapposizioni che inevitabilmente
emergono.
Alitalia offre una vasta gamma di servizi web, mobile e self service; tutti
i differenti canali ci vedono impegnati nel garantire una corretta gestione
e fruizione da parte del cliente dei servizi offerti nella massima tranquillità.
Naturalmente rivolgiamo una particolare attenzione a tutti gli aspetti
connessi alle transazioni on-line.
Quali erano le necessità originarie che hanno portato Alitalia
a chiedere il supporto di Akhela?
De Bernardo: Inizialmente eravamo alla ricerca di un partner affidabile per alcune attività ricorrenti di verifica della sicurezza e della compliance
dei nostri sistemi. Venivamo da un periodo di forte discontinuità e di notevole evoluzione tecnologica (basti pensare alla sola integrazione con i
sistemi informativi di AirOne).
Con una accurata selezione abbiamo valutato positivamente le esperienze e le competenze di Akhela; quanto ci è stato proposto era adeguato rispetto alle nostre aspettative. Di fatto è stato l’avvio di una positiva
collaborazione.
Quali sono stati gli impatti tecnologici e gli interventi resisi
necessari?
De Bernardo: In ambienti complessi come quello di Alitalia, con la
necessità di garantire degli elevatissimi livelli di servizio, sono numerosi gli
attori che vengono coinvolti e spesso non è solo un problema di tecnologia.
Componenti applicative e tecnologiche si coniugano con la necessità di
coinvolgere componenti del processo per la sicurezza.
L’Enterprise Security
made by Akhela
L
La sicurezza è un processo continuo
all’interno dell’azienda.
Esiste un punto d’inizio, ma non
un vero e proprio punto di fine
a sicurezza deve essere affrontata in modo strutturato e
olistico, tenendo conto sì dell’infrastruttura informativa
di base e delle applicazioni, ma anche di elementi meno
tecnologici come i processi e le prassi comportamentali.
Soprattutto, dovrebbe essere un processo continuo di
miglioramento a livello organizzativo supportato ade-
guatamente dalle tecnologie. Va in questa direzione l’offerta Akhela, costituita da una suite di soluzioni autonome, ma integrate nativamente, le cui
componenti sono:
Vulnerability Assessment &Penetration Test per la valutazione del
grado di sicurezza di reti, sistemi e applicazioni.
Ci sono stati dunque anche interventi di natura organizzativa
Training: sensibilizzazione e formazione tramite corsi in aula o in moda-
(revisione di processi, cambio di competenze, revisione di ruoli e
lità e-learning in tema di sicurezza applicativa, sicurezza delle infrastrutture
responsabilità)?
(Network Security e System Security), gestione degli incidenti e compliance.
De Bernardo: La sola tecnologia normalmente non basta. Elaboriamo
Data Encryption: soluzioni per la cifratura dei dati su notebook, Pc e
abitualmente Politiche, Procedure e Processi di indirizzo a sostegno delle
dispositivi rimovibili e per la protezione contro accessi non autorizzati ai dati
operazioni informatiche di Alitalia, che sono racchiuse nel nostro ISMS -
presenti in rete e localmente.
Security Compliance: auditing, verifica di compliance e assessment a
Information Security Management System.
È evidente che organizzazione e processi debbano essere continua-
supporto dell’adeguamento a standard e normative.
mente aggiornati e rielaborati in modo coerente all’evoluzione tecnologica
Privileged Passwords Management: gestione sicura delle password
e normativa. Si pensi solo a come il provvedimento del garante della privacy
di amministrazione di sistemi, apparati e applicazioni da parte di utilizzatori
sugli amministratori di sistema del 2009 possa aver influito in modo diretto
autorizzati.
su tutti gli aspetti tecnologici e di processo di un’azienda come Alitalia.
Data Leakage Prevention: metodologie e soluzioni per prevenire la
fuoriuscita di informazioni riservate. L’offerta comprende le fasi di: classifica-
Quali saranno i prossimi step della strategia di sicurezza?
zione dei dati; discovery delle informazioni riservate presenti nella rete azien-
De Bernardo: Certamente l’evoluzione delle tecnologie mobile ci ve-
dale, negli archivi, nei file condivisi, sia a livello di server che di endpoint;
drà all’opera, ovviamente senza perdere di vista tutte le normali operazioni
monitoraggio e protezione dei dati confidenziali in uscita (via ftp, email, IM/
che quotidianamente ci vedono coinvolti per garantire la sicurezza della
P2P, web, stampanti).
compagnia e dei clienti di Alitalia.
Identity & Access Management: supporto sia dal punto di vista
tecnologico, nella scelta della soluzione che meglio si adatti al business del
Akhela Journal n. 4 - gennaio 2012 5 www.zerounoweb.it
Alessandro Rena,
Business Development Manager
di Akhela
cliente, sia dal punto di vista organizzativo, nell’analisi della metodologia di
approccio alle tematiche dell’Identity and Access Management e nella revisione dei processi organizzativi che ne derivano.
VA & Management Services: servizi erogati dal Soc (Security Operation Center) di Akhela per la valutazione continuativa del grado di sicurezza
dell’infrastruttura del cliente e per la prevenzione da eventuali attacchi informatici, mirati a comprometterne la continuità di servizio o a recuperare
illegalmente informazioni riservate.
Incident management H24: Security Help Desk H24 da contattare a
fronte di eventi straordinari come incidenti interni o attacchi informatici, al
fine di adottare contromisure rapide ed efficaci.
Security Risk Management: soluzioni in grado di effettuare un’analisi
del livello di esposizione al rischio della propria infrastruttura Ict, in modo da
poterne conoscere le criticità il più rapidamente possibile e gestire e mitigare
i rischi per il business.
Akhela cloud: arriva Consolidator
Policy compliance su network appliance: soluzioni per monitorare il
livello di compliance del proprio network o di specifici network device rispetto
a regole dettate da normative/standard di sicurezza o policy interne.
Si chiama Consolidator ed è un Baas, Business as a service, un servizio
Gestione Operativa Fw-Ids-Ips-Idp: servizi di Soc Operations per la
Akhela offerto in cloud (con la partnership di uno dei più noti operatori
gestione operativa degli apparati Fw, Ids, Ips e Idp (Security Change Manage-
italiani di Tlc con cui Akhela sta definendo gli ultimi accordi) per la gestione
ment, Security Problem Management, Security Event Management). Eroga-
della fatturazione (ciclo attivo e passivo).
zione in modalità Outsourced, In-Sourced, Co-Sourced.
“Abbiamo sviluppato un sistema modulare, che va a integrarsi nativa-
Internal fraud detection: soluzioni per il monitoraggio delle applica-
mente con i sistemi di pagamento bancari, per offrire alle piccole e micro im-
zioni di business che consentono di registrare il comportamento degli utenti
prese un servizio di gestione della fatturazione attiva e passiva, nonché degli
e degli amministratori dei sistemi, in modo da controllare pro-attivamente
incassi, pagamenti ed estratti conto”, spiega Alessandro Rena, Business De-
le minacce alla privacy e alla sicurezza tramite l’analisi dei comportamenti.
velopment Manager di Akhela. “La fruizione del servizio consente alle piccole
Log collection: collezionamento (con tecnologia agent-based o agen-
realtà di avere un sistema gestionale efficiente senza dover fare investimenti
tless), compressione, storicizzazione e consolidamento dei log di sistemi
tecnologici, oltre a favorire la dematerializzazione (gestione digitale e non
eterogenei. I dati catturati vengono poi esposti in maniera estremamente
cartacea) e conservazione sostitutiva a norma di legge di tutti i documenti
leggibile attraverso l’utilizzo di un portale web. La tecnologia proposta con-
fiscali (fatture, registri, giornali bollati, ecc.)”.
sente inoltre le gestione degli alert in real time, massimizzando il controllo
“Per ogni fase del ciclo attivo o passivo, Akhela ha sviluppato una serie
dell’infrastruttura da parte delle organizzazioni It.
di moduli (self-invoice; send-invoice; conservazione; registrazione contabile
Dashboard per il monitoraggio della sicurezza e della continu-
incassi; solleciti; registrazione pagamenti; help desk; ecc.) perfettamente in-
ità operativa: soluzioni che si integrano a quelle già presenti in azienda e
tegrati e interoperabili e sta lavorando tutt’ora alla realizzazione di nuove
che, connettendo dati provenienti da fonti diverse (applicazioni di business,
funzionalità che andranno ad arricchire ulteriormente la suite”.
sistemi di controllo degli accessi, sistemi di monitoraggio, ecc.), offrono una
L’obiettivo è raggiungere le piccole e micro realtà italiane che ancora
gestiscono la fatturazione in modalità tradizionale (nel 2009 in Italia circola-
visione globale e integrata sulla sicurezza e sulla continuità operativa, fornendo, attraverso grafici e tabelle, informazioni di sintesi sullo stato dei servizi.
vano 3 miliardi di fatture con un livello di adozione della fatturazione elettronica molto scarso, nell’ordine del 2-3%).
La sicurezza della suite è garantita a livello applicativo sin dalle prime
fasi di sviluppo e test: “In fase progettuale abbiamo previsto la segregazione fisica dei dati, perciò ogni cliente avrà il proprio database; per fruire del
servizio, abbiamo poi previsto un certificato digitale che verrà installato sui
dispositivi dell’azienda utente per il riconoscimento degli accessi (la sicurezza
per gli ambienti cloud è garantita, invece, direttamente dal service provider
che inserirà “Consolidator” nel proprio catalogo d’offerta)”, conclude Rena.
Akhela Journal n. 4 - gennaio 2012 6 www.zerounoweb.it
le tante facce della sicurezza
Dal 2004 Akhela gestisce i servizi Ict per il Gruppo
Saras, noto operatore del settore Oil & Energy che
sta intraprendendo una importante trasformazione
tecnologica, dove la sicurezza rappresenta uno
dei tasselli principali. L’esperienza maturata all’interno
di una realtà industriale complessa come questa
ha consentito ad Akhela di costruire un patrimonio
di metodologie, competenze, esperienze, procedure
e soluzioni applicative specialistiche per il settore.
Da poter rivendere poi sul mercato aperto
L
e aziende che operano nel settore Oil & Energy stanno
affrontando in questi anni cambiamenti radicali, che incideranno in modo significativo sui loro processi operativi.
Consolidamento, continuità operativa di business,
servizi di alta affidabilità, servizi di protezione di dati e
informazioni, servizi per la gestione integrata del rischio
operativo rappresentano solo alcune tra le problematiche
che hanno un impatto decisivo in questo settore.
Senza tralasciare aspetti critici come la conformità alle normative di go-
verno e di settore, i problemi relativi all’ambiente, alla salute e alla sicurezza,
l’integrazione e cooperazione nell’ambito della filiera.
Grazie alle attività svolte per la raffineria Saras, Akhela (società che fa a
sua volta parte del Gruppo Saras) ha maturato una significativa esperienza
in un ambiente critico. Partendo da un quadro legislativo sempre più delineato e stringente anche in materia di gestione della sicurezza nelle attività
industriali, per la tutela dei lavoratori e del territorio, aziende operanti in
segmenti delicati come quello energetico sono costantemente impegnate in
Akhela Managed Security
Services: progettazione
e implementazione
percorsi evolutivi di miglioramento progressivo degli standard e dei risultati;
ed è qui che, nel corso degli anni, Akhela ha avuto modo di costruire le sue
competenze.
Il Gruppo Saras rappresenta una realtà caratterizzata da impianti complessi e di grandi dimensioni, con un numero elevato di diverse attività operative che i lavoratori compiono all’interno degli impianti. Non solo: si tratta di
sistemi produttivi che necessitano di una manutenzione continua e spesso si
fa ricorso a numerosi cantieri mobili e temporanei, oltre a un elevato impiego
di manodopera in appalto.
SICUREZZA SUL LAVORO: AUTOMAZIONE PER PREVENIRE E CONTROLLARE
Esigenze, tuttavia, che non sono peculiari solo delle raffinerie o degli
impianti petrolchimici ma, in generale, di tutti i siti industriali dove, solitamente, si assiste alla concomitanza di cantieri differenti, con un alto numero
di operatori coinvolti (diversi attori con differenti responsabilità, lavoratori
esposti ai vari pericoli potenziali) che inevitabilmente inducono a prendere le
necessarie misure per la prevenzione degli incidenti e il rispetto di norme e
regolamenti sulla sicurezza.
Akhela Journal n. 4 - gennaio 2012 7 www.zerounoweb.it
Akhela fornisce supporto per
progettazione/implementazione del
Security Operations Center (Soc)
del cliente nelle fasi di: valutazione
delle potenziali vulnerabilità e rischi
a cui sono esposti gli asset (sistemi,
reti, dati, applicazioni); definizione
del modello tecnico-organizzativo,
delle policy e degli standard
per la sicurezza; definizione
degli strumenti a supporto delle
attività operative e di analisi;
progettazione dell’architettura/
infrastruttura; definizione dei
processi di escalation; disegno
dell’integrazione dei servizi,
delle attività e dei processi con
eventuali altri Soc; supporto nella
fase di avviamento del Soc e per
l’implementazione delle policy, dei
processi e dell’infrastruttura.
Per rispondere a queste criticità, Akhela ha sviluppato una serie di mi-
alla sicurezza dei lavoratori in particolari occasioni come quelle di emergenza
sure organizzative per la gestione dei rischi: valutazione preventiva; politiche
generale/evacuazione o per il monitoraggio delle condizioni del personale in
di mitigazione e controllo dei rischi potenziali; controllo e coordinamento
caso di incidenti o pericoli. Il sistema, per esempio, fornendo l’informazione
delle attività sui cantieri. Il tutto attraverso una serie di soluzioni e servizi che
del numero di persone presenti all’interno dell’area presidiata al momento
vanno dal controllo accessi; alle procedure di abilitazione/autorizzazione alle
dell’evento, assicura il controllo della complessa operazione di evacuazione e
attività nel sito; fino alla formazione sulla sicurezza, alla gestione dei permes-
facilita le eventuali operazioni delle squadre di salvataggio; oppure, permette
si di lavoro e al monitoraggio delle attività.
di monitorare le condizioni del personale e la loro esposizione a sostanze
In particolare, per avere maggior controllo sui cantieri, è stato ideato un
sistema mirato a consentire l’accesso al sito soltanto a personale e mezzi abilitati e riconducibili in maniera documentata e verificabile alle ditte titolari dei
lavori, oltre a predisporre una sorta di “permesso di lavoro”. Una soluzione
di prevenzione il cui scopo principale è quello di assicurare l’esecuzione dei
lavori nelle condizioni di massima sicurezza e nel rispetto delle norme vigenti,
pericolose attraverso la raccolta di dati di stato e il raffronto con indicatori
predefiniti.
DECLINAZIONI DI BUSINESS INTELLIGENCE
Gli aspetti di sicurezza (fisica e logica) non sono tuttavia i soli elementi
dell’esperienza Akhela maturata all’interno del Gruppo Saras.
attraverso l’assunzione di precise responsabilità decisionali e operative. Si
La peculiarità di Saras, infatti, ha portato Akhela a realizzare progetti
tratta, in sostanza, di soluzioni software che, attraverso dashboard e grafici
di Business Intelligence specifici. Partendo dalla necessità di controllo degli
intuitivi, raccolgono informazioni utili a fornire un’analisi preventiva dei rischi
accessi e gestione delle autorizzazioni agli impianti e ai cantieri, la società
(legati alla tipologia di lavoro e ai potenziali rischi per i lavoratori) e facilitano
ha sviluppato un ampio sistema di reporting: si tratta di un’unica soluzione,
il monitoraggio e il controllo dei lavori in atto. Attraverso una stretta integra-
chiamata Integrated Environmental Authorisation, in grado di gesti-
zione con i dati relativi alla pianificazione dei lavori, le soluzioni permettono,
re e monitorare accessi, autorizzazioni, controlli sui posti di lavoro, ecc. ma,
per esempio, in modo automatizzato, di: verificare l’adeguata prescrizione
soprattutto, di generare, attraverso questi dati, informazioni utili a supporto
delle misure e cautele necessarie e suggerite per l’esecuzione dei lavori;
dell’organizzazione operativa del business.
controllare se si verificano interferenze tra cantieri; monitorare le attività dei
controlli ambientali o quelle di supervisione dei lavori, ecc.
Sempre in ambito Business Intelligence, Akhela ha sviluppato un sistema
di Trading-oil analysis che permette l’analisi dei dati commerciali e di vendita
Consolidamento, continuità operativa di business, servizi di alta affidabilità,
servizi di protezione di dati e informazioni, servizi per la gestione integrata
del rischio operativo rappresentano solo alcune tra le problematiche che hanno
un impatto decisivo nel settore oil & gas
CANTIERI E PERSONE: LOCALIZZAZIONE IN REAL TIME
specifici del settore Oil & Energy.
A complemento della gestione dei permessi di lavoro, Akhela ha svilup-
E per dare un concreto supporto al Gruppo nel mantenere i livelli di com-
pato anche un sistema di Real Time Location, per il monitoraggio in tempo
petitività raggiunti (nonché all’obiettivo di migliorarli), Akhela ha anche svi-
reale di mezzi e personale presenti in aree critiche.
luppato una web application per la valorizzazione delle materie prime. Attra-
È stata scelta la tecnologia Ultra-wide band (Uwb) che consente di realiz-
verso un sofisticato sistema di monitoraggio e analisi la soluzione consente a
zare dei real time location systems (Rtls) in grado di fornire una localizzazione
Saras di avere in tempo reale il calcolo esatto del costo delle materie prime,
molto precisa, nello spazio e nel tempo, di un oggetto o di una persona,
dei prezzi di mercato applicati alle vendite, dei prodotti che ne derivano e dei
anche in ambienti molto difficili e ostili, con livelli di affidabilità elevati.
margini raggiungibili.
Il sistema traccia in tempo reale gli spostamenti soltanto del personale
precedentemente autorizzato (che, nel rispetto delle normative a tutela della
privacy, viene identificato e provvisto di un particolare badge per l’identificazione Rtl), fornendo dati precisi rispetto ai tempi di movimento e di sosta, in
relazione alle aree in cui il personale si trova. I dati forniti dal sistema sono
resi poi disponibili ai sistemi di sorveglianza (oltre alle varie applicazioni che
si desidera interfacciare), per una visualizzazione in tempo reale della situazione nelle aree controllate e nella visualizzazione di allarmi scatenati da
situazioni anomale in base a regole definite.
Il sistema può essere usato anche per il monitoraggio e il Track&Trace
di veicoli che accedono agli impianti e ai cantieri nonché dei beni e prodotti
che vi circolano.
Sulla base di questa tecnologia, Akhela ha sviluppato soluzioni mirate
Akhela Journal n. 4 - gennaio 2012 8 www.zerounoweb.it
testi di Nicoletta Boldrini
Next Editore srl
via dei Martinitt, 3 - 20146 Milano
www.zerounoweb.it
progetto grafico Blu GraphicDesign