Speciale: I casi • Introduzione dell`area tematica • Il caso

Estratto dell'Agenda dell'Innovazione
Smau Milano 2011
Speciale: I casi
• Introduzione dell'area tematica
• Il caso GAMESTOP
I
Innovare e competere con le ICT - PARTE I
Cap.10
Il valore della sicurezza dei Sistemi Informativi aziendali
L’Information Security può essere definita come l’insieme delle misure,
tecnologiche, organizzative e legali, finalizzate ad impedire, prevenire o ridurre i
danni causati da eventi intenzionali (crimini, frodi) o non intenzionali (errori umani,
fenomeni naturali) che violano la confidenzialità, l’integrità e la disponibilità del
patrimonio informativo aziendale.
La rilevanza della sicurezza informativa è cresciuta
con continuità negli anni e risulta ancora più
attuale oggi per alcune ragioni in particolare:
• lo stringersi del legame fra Sistemi
Informativi aziendali, ed in generale tecnologie
ICT, e processi di business ha fatto sì che sia
oggi impensabile per un’azienda svolgere le
proprie attività in modo indipendente dai Sistemi
Informativi;
• la pervasività delle tecnologie che
raccolgono, gestiscono e comunicano
La versione digitale di questa pubblicazione
è disponibile su www.smau.it/pubblicazioni
informazioni permette alle aziende di disporre
di informazioni potenzialmente su ogni attività o
processo di interesse, ma le espone anche a rischi
di accesso alle informazioni da parte di soggetti
non autorizzati o che potrebbero farne un uso
fraudolento;
• lo sviluppo e la maturazione di tecnologie,
in particolare software, che spostano la gestione
delle informazioni ed il supporto ai processi
dell’azienda al di fuori dei propri confini fisici (si
pensi alle tecnologie Cloud o alla fruizione di
AGENDA DELL’INNOVAZIONE
I
PARTE I - Innovare e competere con le ICT
applicazioni attraverso il Software as a Service),
hanno portato risorse chiave dell’azienda al di
fuori della propria tradizionale area di controllo.
service oriented SOA in cui l’effettiva erogazione
di un servizio dipende dalla interazione efficace di
molte risorse).
Le tipologie di problematiche legate alla
sicurezza in cui un’azienda può incorrere sono
quindi molteplici, dall’accesso non autorizzato a
contenuti informativi alla diffusione fraudolenta,
dalla perdita di informazioni alla interruzione nel
funzionamento di applicazioni critiche.
Tali problematiche sono inoltre trasversali ai
settori aziendali ed alle dimensioni delle aziende.
Le tecnologie informatiche possono
rappresentare anche una opportunità per
l’implementazione di adeguati livelli di sicurezza.
I sistemi per la comunicazione cifrata sono oggi
più user friendly ed integrati nelle applicazioni
utilizzate (si pensi ai sistemi di crittografia
integrati nei siti di commercio elettronico). Nuovi
sistemi di controllo degli accessi sono disponibili
(si pensi alle potenzialità di riconoscimento dei
sistemi di videosorveglianza). La sensoristica o i
dispositivi cosiddetti smart, in grado di rilevare e
trasmettere informazioni su qualunque fenomeno
dell’azienda, rappresentano uno strumento utile
per monitorare anche l’effettiva disponibilità di
infrastrutture e servizi.
Le proprietà tradizionalmente associate alla
Information Security, confidenzialità, integrità e
disponibilità (spesso indicate con l’acronimo CIA:
Confidentiality, Integrity, Awareness), sono valide
ancora oggi, ma con una accezione più estesa.
La Confidenzialità riguarda non solo la garanzia
di riservatezza nelle comunicazioni o nell’accesso
a contenuti informativi in azienda, ma anche la
tutela delle informazioni che possono riguardare
l’azienda ed il suo personale e che possono
essere “derivate” da tutto ciò che l’azienda rende
pubblico attraverso Internet (si parla ad esempio
di social hacking o di hacking etico per indicare
la possibilità di inferire dati riservati a partire da
informazioni pubbliche contenute in email non
protette o pubblicate attraverso siti Internet).
L’integrità, ovvero la prevenzione di modifiche
nelle informazioni comunicate, si estende a tutte
le operazioni effettuate dal personale dell’azienda
al di fuori dei confini dell’azienda stessa,
attraverso computer portatili, dispositivi mobili o
tablet.
La garanzia di disponibilità dei servizi realizzati
dai Sistemi Informativi si complica a causa della
articolazione delle architetture informatiche dove
una parte o tutte le componenti del Sistema
Informativo possono risiedere in server remoti
(si pensi alle applicazioni basate su architetture
AGENDA DELL’INNOVAZIONE
Tuttavia, in uno scenario così complesso e
dinamico, la garanzia della sicurezza deve
necessariamente comprendere un insieme
di attività coordinate che complessivamente
costituiscono la ICT governance e che
comprendono:
• risk assessment & prevention, ovvero
l’identificazione delle aree di rischio e dei
processi critici e la determinazione di un piano
per le opportune contromisure. L’analisi dei
rischi richiede una identificazione dei dati gestiti
dall’organizzazione, una mappatura delle risorse
attraverso cui tali dati sono archiviati, elaborati
e trasmessi, una identificazione delle potenziali
minacce e l’individuazione delle tipologie di
rischi ed una valutazione dei rischi derivanti dalle
potenziali minacce;
• monitoraggio in continuo del rischio (risk
monitoring), ovvero una analisi e controllo di
indicatori di sicurezza;
• business continuity e crisis management,
La versione digitale di questa pubblicazione
è disponibile su www.smau.it/pubblicazioni
I
Innovare e competere con le ICT - PARTE I
ovvero l’insieme di strumenti di controllo e
di metodologie di intervento per garantire la
continuità di funzionamento dei servizi e la
risoluzione di problemi;
• policy, processi e organizzazione, ovvero la
definizione della struttura organizzativa deputata
alla sicurezza, dei ruoli e delle responsabilità, la
formulazione di politiche, norme, procedure e
passi operativi per la sicurezza, la realizzazione
di audit periodici, la soddisfazione degli
adempimenti legislativi e/o normativi;
• incident management, ovvero la definizione
delle procedure operative per la gestione degli
incidenti al fine di limitarne l’impatto;
• Identity Access Management (IAM),
intesa come insieme di strumenti e metodi
per migliorare la gestione delle identità
digitali, centralizzando le informazioni,
definendo le responsabilità nella gestione e
nell’aggiornamento e controllando accessi ed
interventi sulle informazioni;
• adozione di strumenti di controllo, logico e
fisico, degli accessi e di tutela della riservatezza
delle comunicazioni.
La versione digitale di questa pubblicazione
è disponibile su www.smau.it/pubblicazioni
AGENDA DELL’INNOVAZIONE
I
PARTE I - Innovare e competere con le ICT
IL CASO GAMESTOP
Ridurre il tempo dedicato alla manutenzione dei
dispositivi Mobile attraverso una soluzione di
Information Security
L’azienda
La multinazionale statunitense GameStop Corporation
è uno dei principali rivenditori mondiali di videogiochi,
è presente in circa venti Paesi e in Italia opera dal 2005
dopo l'acquisizione di EB Games. L'azienda è attiva nel
nostro Paese con una rete di negozi gestiti direttamente
con propri dipendenti che entro fine 2011 raggiungerà
il numero di 400 unità. I dipendenti in Italia sono
circa 1.700 e una parte consistente di questi si muove
quotidianamente sul territorio nazionale per assolvere a
diversi compiti. Il fatturato della filiale italiana è di circa 370
milioni di euro.
L’applicazione
L'azienda dispone di circa 500 dipendenti che si muovono
quotidianamente in aree prefissate del territorio nazionale.
A questi sono stati dati in dotazione diversi dispositivi
mobili come iPhone, iPad, sistemi BlackBerry, che coprono
circa il 95% del parco mobile operativo, e sistemi Android.
AGENDA DELL’INNOVAZIONE
Gli addetti in mobilità assolvono diverse funzioni oltre a
quella commerciale: auditing dei punti vendita, relazioni
con gli enti pubblici locali e gestione delle risorse umane.
Ogni mobile worker, quindi, oltre alle applicazioni
caratteristiche del suo ruolo dispone sul suo dispositivo
dell'accesso alla intranet e al servizio di posta elettronica
aziendale e anche alle applicazioni gestionali italiane e
statunitensi (dalla gestione degli ordini al magazzino, al
marketing...) che risiedono su sistemi As/400 e Navision.
Per gestire al meglio questa architettura soprattutto, ma
non solo, sotto il profilo delle problematiche di sicurezza,
l'azienda ha deciso di implementare una serie di soluzioni
Sophos della linea SafeGuard. Il mobile worker accede
alla rete privata virtuale aziendale tramite un normale
meccanismo di login/password ma all'interno della rete
è stata comunque implementata anche la crittografia,
con lo scopo di permettere l'utilizzo in piena sicurezza
di strumenti quali la firma digitale e la posta elettronica
certificata. Due strumenti, questi ultimi, utili per coloro che
La versione digitale di questa pubblicazione
è disponibile su www.smau.it/pubblicazioni
I
Innovare e competere con le ICT - PARTE I
devono interloquire con le pubbliche amministrazioni e per
compiere tutti gli adempimenti relativi alla gestione delle
risorse umane. Oltre ad un'architettura di sicurezza altamente
affidabile basata su un ampio utilizzo delle soluzioni di
crittografia, la nuova soluzione di Information Security
comprende anche funzionalità di Device Management, in
grado di aumentare il livello di automazione e di rendere
più snelli diversi processi di gestione del parco dei sistemi
mobili: dalla distribuzione del software alla creazione e
gestione delle policy, dalla cancellazione da remoto dei
dati residenti sui sistemi mobili, in caso di smarrimento, alla
sincronizzazione e all'allineamento delle informazioni con
i sistemi di back end e una più veloce gestione dei cicli di
backup e restore dei dati e delle applicazioni di business.
In precedenza il personale operativo sul campo era dotato
di piattaforme laptop o notebook che risentivano dei
limiti intrinseci di questi sistemi e che spesso obbligavano
il personale e svolgere l'attività di imputazione dati e
inserimento delle foto digitali, e il loro invio alla sede
centrale, non dal negozio stesso durante la visita, ma alla
sera alla fine della giornata di lavoro. L'adozione di dispositivi
mobili delle ultime generazioni, tutti dotati di fotocamere ad
alta risoluzione e di invio dei dati in modalità 'on air' (ovvero
quando c'è la disponibilità di un collegamento wireless),
hanno consentito il superamento di questi limiti elevando di
molto il livello di soddisfazione dei mobile worker.
I benefici
Con l'adozione dei dispositivi mobili per i dipendenti che
operano sul campo, la società ha registrato fin da subito
un forte aumento della produttività degli stessi, non più
costretti a imputare e trasmettere i dati a fine giornata,
e un forte miglioramento nei tempi di aggiornamento
delle informazioni raccolte sul campo. Inoltre l'architettura
di sicurezza implementata con i prodotti Sophos
gestendo anche la maggior parte dei sistemi fissi utilizzati
dall'azienda ha consentito di ridurre considerevolmente il
carico di lavoro per il personale IT interno. Questo grazie
alla sua facilità d'uso, a molte funzionalità self service
utilizzabili direttamente dai clienti interni, come per
esempio quelle relative alla gestione dell'help desk, e alla
distribuzione delle applicazioni sviluppate internamente
che viene realizzata direttamente dalla console centrale
della soluzione, senza la necessità di richiamare in sede il
personale operativo su tutto il territorio nazionale.
info: vedi pag.257
SOPHOS
Sophos, il tuo partner ideale nella sicurezza informatica
Gamestop Corporation si è affidata a noi, principalmente, per
mettere in sicurezza 500 dispositivi mobili dati in dotazione
ai dipendenti che lavorano in mobilità sull'intero territorio
nazionale.
L'obiettivo del progetto era quello di garantire la sicurezza dei
dati contenuti nei vari dispositivi, proteggere le transazioni ed
intervenire tempestivamente in caso di furto o smarrimento.
Per sviluppare questo progetto abbiamo implementato le
seguenti soluzioni:
• SOPHOS MOBILE CONTROL
Con questa soluzione abbiamo dato la possibilità agli
utenti di usufruire delle ultimissime tecnologie mobili, pur
mantenendo i dati dell'azienda al sicuro. Con Sophos Mobile
Control, Gamestop Corporation può proteggere, monitorare
e controllare i dispositivi sulla rete, grazie alla funzionalità di
controllo over-the-air e ad un portale self-service che semplifica
la gestione dei dispositivi mobili.
• SOPHOS SAFEGUARD ENTERPRISE
Con Sophos SafeGuard Enterprise, siamo stati in grado di
La versione digitale di questa pubblicazione
è disponibile su www.smau.it/pubblicazioni
proteggere e prevenire la
perdita dei dati su desktop, laptop e supporti rimovibili. La
cifratura e la prevenzione della perdita dei dati (DLP) bloccano
i tentativi di violazione dei dati e
facilitano la conformità, senza interferire con le altre attività.
Inoltre, grazie alla console centrallizzata per la gestione degli
endpoint, la struttura IT di Gamestop ha potuto dedicare il
suo tempo a task più importanti.
La scelta di Sophos non si è limitata ai dispositivi mobili,
Gamestop Corporation ha deciso di proteggere anche
l'ambiente web con Sophos Web Secuirty & Control che,
grazie alla Web Appliance, blocca le minacce Web alla fonte
e fornisce l'accesso sicuro e produttivo alle risorse e agli
strumenti Web necessari, applicando contemporaneamente
politiche d'uso accettabile e garantendo la protezione contro
la perdita dei dati.
Passa al nostro stand!
AGENDA DELL’INNOVAZIONE