Da dove iniziare a costruire le policy di sicurezza in azienda? Lo chiediamo a Giuseppe Paternò, solution architect “veterano” dell’Open Source per aziende internazionali (Canonical, Red Hat, Sun, …), oggi CTO di GARL e ideatore di SecurePass, il SaaS di autenticazione e gestione delle identità per i servizi Internet basato su protocolli aperti che guarda al futuro delle architetture aziendali frammentate negli hosting.
Iniziamo dalle basi: perché parlare di gestione delle identità nelle policy di sicurezza oggi?
La gestione delle identità fa parte da sempre delle policy di sicurezza, fino a che si trattava di gestire una directory di utenze nella intranet aziendale il problema era relativamente di facile soluzione. Oggi assistiamo alla frammentazione dei servizi in hosting, che significa avere diverse utenze, con diversi diritti d’accesso, che accedono contemporaneamente da device personali tramite VPN o connessioni pubbliche. Un’opportunità di risparmio di tempo e costi ma anche un rischio per la confusione tra account personali e risorse aziendali. Avere un sistema di identity management centralizzato consente di avere “il colpo d’occhio” sull’organizzazione e una protezione dedicata.
Perché usare i protocolli aperti e l’Open Source in generale in un servizio di sicurezza? La sicurezza non dovrebbe essere “un segreto di stato” protetto per definizione?
Open Source significa indipendenza: abbracciare una filosofia Open Source significa poter scegliere e non essere vincolati “mani e piedi” ad un singolo vendor, non condizionando così le scelte aziendali presenti e future. SecurePass ha adottato il modello Open attraverso i protocolli aperti LDAP, CAS e RADIUS, per essere compatibile con il maggior numero di software web, per dare la possibilità agli sviluppatori di integrarlo con facilità nei loro programmi e per essere facilmente configurabile nelle VPN o connessioni protette. L’obiettivo è fare in modo che gli utenti compongano l’architettura secondo le esigenze del momento e possano sempre aggiungere un grado di sicurezza elevato senza fare modifiche e investire mesi di lavoro.
Il fenomeno “cloud” ha spinto le aziende a preferire servizi web per la loro immediatezza. Che garanzie dà un servizio sicuro?
Il futuro è nella strong authentication, e per farsi un’idea basti pensare al numero di piattaforme che lo hanno già offerto, ad esempio Google, Twitter e Facebook. Un altro aspetto importante è avere delle garanzie di sicurezza esplicite da parte dello sviluppatore e dal gestore della piattaforma, sia in merito al livello di crittografia utilizzato sia in merito alla disponibilità del servizio.
SecurePass ha fatto della compatibilità la sua forza, come si integra nel mondo dei servizi Open Source per le aziende?
SecurePass nasce per integrarsi in pochi passaggi. Questo è possibile grazie ai protocolli aperti, sono già disponibili sul sito diverse guide per proteggere i propri server e plugin per i CMS, ad esempio Joomla e WordPress.
Qualche numero su SecurePass: le domande più immediate nella scelta di un servizio “Quanto tempo ci vuole?” “Quanto costa”?
L’esperienza degli utenti dice che ci vuole qualche ora per un’azienda medio-grande, massimo un giorno per datacenter o ISP, ma un sistemista Linux ci può mettere anche molto meno.
I costi sono legati al numero degli utenti e vengono venduti a pacchetti a partire da 10 utenti, il che rende possibile avere un servizio di sicurezza dedicato anche alle aziende più piccole o ai singoli dipartimenti. SecurePass non vende licenze e non fa lock in, è sempre possibile dismettere la soluzione senza penalità o senza dedicare troppo tempo.
Che formazione dovrà avere il CTO tra dieci anni?
Sto assistendo a un numero sempre maggiore di aziende che abbandonano le tecnologie proprietarie e adottano soluzioni Open Source, il CTO in particolare può influenzare le decisioni aziendali e il futuro dell’azienda proponendo le soluzioni più adatte. Il suo compito sarà sempre più quello di selezionare i servizi che saranno disponibili on-line, verificarne la compliance con le policy aziendali e comporre un quadro che ottimizza il budget ma anche il tempo dedicato.