Primi consigli sulla gestione dei problemi di sicurezza

Dopo aver visto tre casi in cui vengono gestiti problemi di sicurezza volevo tentare di fare il punto della situazione, se mai fosse possibile.
Quanto avete letto nei tre post precedenti è solo la punta dell’iceberg per quanto riguarda il numero di segnalazioni di vulnerabilità dei software che vengono fatte ogni giorno e delle discussioni, più o meno animate che scatenano.
Cosa posso dirvi in generale sui problemi di sicurezza e su come sono affrontati?
Devo avvertivi che effettivamente ci sono pochissime persone al mondo che capiscono appieno problematiche di sicurezza. Persino gli sviluppatori di linux hanno alcune diatribe con chi gli sottopone vulnerabilità presunte o reali.
Da quando internet si è diffusa negli anni ’90 a oggi molta acqua è passata sotto i ponti e i servizi che una volta erano erogati dai vari fornitori sono cambiati. Non pensate al web 2.0 o ad una pletora di nomi creati dal marketing ma pensate al nocciolo di servizi essenziali come la posta, server web e gestione dei client.
Oggi non è più sufficiente dare un servizio su internet, è necessario che quel servizio venga messo in piedi con molti accorgimenti per la sicurezza oltre ad avere funzioni accattivanti per gli utenti.
Molte società private e pubbliche si avvalgono di servizi di sicurezza interni ed esterni sia per fare il deploy in ambienti protetti sia per fare scansioni cercando eventuali problematiche e cambiare o aggiornare le proprie policy.
Il rovescio della medaglia è che mentre grandi realtà riescono a trovare una fetta del loro budget per dare questo tipo di servizio ai propri utenti o cittadini, le piccole realtà sono un po’ tagliate fuori.
È di norma trovare nelle grandi aziende prodotti proprietari che svolgono compiti importanti di accentramento e accorpamento della gestione di attività sistemistiche come l’autenticazione centralizzata, gli aggiornamenti del parco macchine e decine di altre. Al contrario, nelle piccole e medie aziende si sta diffondendo, se non una cultura, l’uso di software libero, anche se spesso sono soluzioni libere a metà.
Quale può essere la differenza nella gestione delle problematiche di sicurezza tra un prodotto proprietario e uno libero? La risposta non è banale come sembra e potrei salvarmi con un dipende.
Dipende da cosa? Da chi c’è nel vostro staff tecnico per seguire queste problematiche.
Mi spiego meglio. Oggi è molto facile aprire il portafoglio ed avere in casa soluzioni pronte quasi per tutte le esigenze, senza che ci sia all’interno uno staff tecnico che lo gestisca. Oggi va di moda l’outsourcing, dare all’esterno la gestione di risorse interne anche se critiche, magari per risparmiare.
E in caso di problemi di sicurezza? Chi fa gli aggiornamenti? Chi ci mette una pezza nel caso di gravi criticità prima che esca e si installi l’aggiornamento? Come si comportano le società in outsourcing in questi casi?
Bene, molti non si pongono questo problema, l’importante è risparmiare.
Ma chi ha al proprio interno uno staff serio e competente potrebbe avere molte più possibilità di risolvere criticità in tempi rapidi, soprattutto quando si usano soluzioni libere. Come ho iniziato a farvi vedere, alcuni grossi produttori software non si curano molto di rilasciare aggiornamenti di sicurezza in tempi brevi. C’è chi fa rilasci periodici, c’è chi decide per i propri clienti che il problema non è poi così rilevante.
Perché in questi casi è meglio usare software libero? Perché non c’è bisogno di aspettare settimane o mesi, molto spesso il problema viene risolto nel giro di 24/48 ore dalla conferma e dall’assegnazione della vulnerabilità, senza contare il fatto che spesso è presente fin da subito un fix non ufficiale da poter applicare a proprio piacimento. Certo bisogna ricompilarsi il software a mano e spesso non è una gran opzione, ma almeno è una possibilità che con il software chiuso non esiste.
Non vorrei che il mio discorso sembri una contrapposizione tra software proprietario contro software libero. C’è stata una grande apertura negli ultimi anni anche da parte di chi definiva comunista il free software. È vero che è un’indiscussa libertà per qualsiasi utente non chiudersi dentro soluzioni uniche e costose ma è giusto che ci sia una scelta tra più prodotti di varia natura e che sia l’utente finale a decidere. È giusto dare un’equa opportunità a tutti, quindi non fare più bandi di gara pubblici dove si chiede l’uso di una particolare tecnologia o prodotto. Può sembrare quasi ovvio ma fino a pochi anni fa non lo era.
Mentre il software libero deve ancora crescere dobbiamo anche imparare a gestire al meglio le problematiche di sicurezza e a integrare i vari prodotti definendo degli standard comuni. Avrò modo di approfondire questi aspetti in molte occasioni, al momento mi interessava mettere una pulce nell’orecchio di chi vuole ascoltare.


This entry was posted on Monday, September 28th, 2009 at 6:20 PM and is filed under security.

You can follow any responses to this entry through the RSS 2.0 feed. Both comments and pings are currently closed.

Comments are closed.