La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus

More documents

Recommendations

Info

22 Security Redazionale Determinare il TCO di una soluzione di autenticazione a due fattori Daniele Zappelli Channel Account Manager daniele.zappelli@rsa.com Le organizzazioni da sempre richiedono la verifica delle identità degli utenti prima di consentire l’accesso a risorse strategiche aziendali. Il fine è sempre il medesimo: prevenire l’accesso non autorizzato. Le modalità di identificazione utilizzate/scelte dipendono dall’importanza e dal valore delle risorse da proteggere e offrono differenti livelli di sicurezza, praticità per l’utente e costi. L’autenticazione a due fattori richiede all’utente di utilizzare ciò che lui conosce, la sua password, unitamente a ciò che possiede, un token, una smart card, una immagine biometrica. L’identificazione a due fattori è il metodo più utilizzato per l’accertamento dell’identità. I fattori che comprimono il total cost of ownership (TCO) della soluzione e forniscono un framework di comparazione per offerte simili costituiscono l’oggetto di questo articolo e sono: Il costo d’acquisto del prodotto, che può essere un token, una smart card, un telefono cellulare… Alcuni apparati hanno aspettative di funzionamento (durata) che impattano sul costo iniziale. Ad esempio, il costo di un token che ha un’aspettativa di vita maggiore, potrebbe essere inizialmente più costoso, ma avrebbe un costo annuale inferiore rispetto ad uno con durata più breve. Perché un token, o un qualsiasi device, ha un aspettativa di durata predeterminata? Sulla base di quanto confermato dai clienti, RSA ha rilevato preferibile prevedere e pianificare la scadenza di ogni device piuttosto che trovarsi in balia di scadenze improvvise. Altro aspetto da considerare è la qualità del device e la garanzia offerta dal vendor. Device di scarsa qualità si rompono facilmente e i costi di sostituzione erodono il risparmio iniziale. La perdita di produttività del dipendente, i costi di help desk, quelli di implementazione aggiuntivi e di riacquisto aumentano considerevolmente il TCO. Il server di autenticazione è la componente che riceve e verifica le informazioni fornite dall’utente, autorizzandolo o meno all’accesso. Il server dovrebbe fornire l’interfaccia amministrativa per la gestione di funzioni basilari quali l’inserimento o la cancellazione di utenti e/o l’assegnazione, ri-assegnazione di device. Inoltre, grazie alla console self service, gli utenti possono effettuare in autonomia azioni quali il reset del codice PIN o richiedere una password di emergenza. E’ importante prevedere funzionalità di alta affidabilità, e verificare se la soluzione scelta le include nel costo iniziale. Alcuni vendor perseguono la tattica dell’unbundling, vendendo certe funzionalità separatamente e con costi aggiuntivi. Il costo di manutenzione, solitamente calcolato come percentuale sul prezzo del server di autenticazione, può variare da vendor a vendor. Considerando l’offerta di manutenzione siate sicuri di valutare il costo orario del supporto tecnico, dei servizi online e delle policy relative al rilascio di nuove software release. Alcuni vendor potrebbero prevedere costi aggiuntivi per nuove release di prodotto. I costi di system integration sono quelli associati alla personalizzazione della soluzione sulla base di specifiche esigenze. Un vendor che offre un certificato di assoluta interoperabilità con molti sistemi terze parti contribuisce ad eliminare dei costi addizionali di servizi professionali, riducendo il TCO. I costi giornalieri associati all’operatività dei servizi di autenticazione. Spetta ad un amministratore la gestione dei task di assegnazione dei device e il relativo supporto/ help desk (PIN dimenticato, sincronizzazione del device o del server…). Questi costi amministrativi e di staff possono essere ridotti offrendo funzionalità self service. La necessità di sostituire un device danneggiato o smarrito rappresenta un costo, non solo per il ri-acquisto ma anche per le spese di distribuzione. Per i device danneggiati è bene prestare attenzione alla qualità e alla garanzia offerta dal vendor. Prodotti che frequentemente si danneggiano fanno lievitare i costi. Alcuni vendor offrono una garanzia limitata nel tempo mentre alti potrebbero richiedere dei costi addizionali per questo servizio. RSA SecurID RSA SecurID, viene utilizzato da oltre 40.000.000 di persone al mondo. Facile comprendere come RSA sia ben posizionata nel mercato e sia la guida naturale per quelle aziende che vogliono proteggere identità, infrastrutture e informazioni da attacchi esterni. Per ulteriori informazioni: www.rsa.it
Rischi normativi per le aziende derivanti dalla perdita di dati La perdita di dati e informazioni dai sistemi informatici aziendali, può avere anche delle conseguenze sotto il profilo sanzionatorio, in caso di mancato rispetto delle normative vigenti che impattano su questo ambito. In particolare, occorre considerare che i sistemi informatici aziendali contengono inevitabilmente dati personali, in alcuni casi anche sensibili, ed il legislatore comunitario ed italiano hanno pertanto considerato i rischi di violazione della privacy connessi all’utilizzo delle nuove tecnologie. Per questi motivi il decreto legislativo 30 giugno 2003 n° 196 (Codice in materia di protezione dei dati personali) ha modificato e introdotto ex novo specifici obblighi di sicurezza anche per coloro che trattano dati personali con l’ausilio di strumentazioni informatiche. Come noto, il codice, con riferimento alle misure di sicurezza, ha previsto l’importante distinzione tra misure idonee e misure minime, con le differenze in termini di disciplina ad esse associata di seguito brevemente delineate. Il principio fondamentale in materia di applicazione delle misure di sicurezza a protezione dei dati personali è quello stabilito dall’art. 31 d.lgs 196/2003 (“Obblighi di sicurezza”) in base al quale ”I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”. Questo articolo, quindi, impone alle organizzazioni di effettuare una valutazione al proprio interno dei rischi di compromissione del proprio patrimonio informativo, al fine di individuare le misure di sicurezza che risultino idonee alla loro prevenzione. Il Codice prevede espressamente un obbligo di protezione dei dati personali dal rischio di una loro distruzione o perdita anche accidentale. Si sottolinea come il legislatore abbia ritenuto di non fornire alcuna elencazione delle misure di sicurezza, proprio in considerazione del fatto che l’idoneità di un complesso di misure di sicurezza dipende delle specifiche caratteristiche del contesto delle singole organizzazioni. Il codice, inoltre, non ricollega alla violazione di questa norma alcuna sanzione di carattere penale, tuttavia, sul piano civilistico, la mancata adozione delle misure idonee che risultino in tal senso insufficienti nella valutazione del magistrato eventualmente adito determinerebbero la condanna al risarcimento dei danni patiti dal terzo interessato. Attraverso la qualificazione del trattamento dei dati personali come attività pericolosa (art. 2050 c.c.), infatti, la colpa in capo all’azienda nella verificazione di un danno si considera presunta, con il difficile onere in capo a quest’ultima di dimostrare, a sua giustificazione, di aver adottato tutte le misure idonee ad evitarlo e che lo stesso si è quindi verificato per causa a lei non imputabile. Il Codice, ha poi introdotto il concetto di “misure di sicurezza minime”, che si sostanziano in quelle misure di sicurezza (dettagliatamente elencate nell’articolo 34 e nell’Allegato B del Codice) che devono tassativamente essere applicate nei casi ivi previsti da tutti i soggetti che effettuano trattamenti di dati personali con strumenti elettronici (analoghe misure minime sono previste anche per i trattamenti non automatizzati). Lo scopo di tale previsione è quello di assicurare a tutti i tipi di trattamento effettuati con tali strumenti una soglia minima di protezione, al di sotto della quale non è consentito scendere posto che in tali casi di inadempimento si applicano le sanzioni amministrative (da ventimila euro a centoventimila euro – art. 162 comma 2 d.lgs. 196/2003) e penali (l’arresto sino a due anni in capo al soggetto tenuto all’applicazione delle misure minime, salva la possibilità si estinguere il reato a particolari condizioni - art. 169 d.lgs. 196/2003) previste dal codice e recentemente inasprite. Sulla base delle precedenti considerazioni, il titolare del trattamento dei dati per Parola di legale Security Gabriele Faggioli Legale, Partner ISL gabriele.faggioli@ islconsulting.it 23
Page 1 and 2: Innovation in IT Distribution Techn
Page 3 and 4: Cari lettori, ho il piacere di apri
Page 5 and 6: - Segue zionali, come l’uso del V
Page 7 and 8: Avocent Corporation leader a livell
Page 9 and 10: - Segue Consolidamento e virtualizz
Page 11 and 12: Red Hat è lieta di invitarLa all
Page 13 and 14: - Segue hanno acquistato la licenza
Page 15 and 16: Fuori, la solidità della tecnologi
Page 17 and 18: - Segue geografico degli ambienti s
Page 19 and 20: Attualità Tecnologie: Clienti, DlP
Page 21: Redazionale Juniper Networks dà vi
Page 25 and 26: Case Study AuSl di Piacenza si affi
Page 27 and 28: - Segue D: Come si sono evolute le
Page 29 and 30: Professional Services uno sguardo s
Page 31 and 32: l’offerta prodotti e servizi di M

La TempesTa perfeTTa: è iL momenTo deLL'open source - Magirus

Create successful ePaper yourself

Delete template?

Save as template?