RSA, la divisione di sicurezza di EMC (NYSE: EMC), ha presentato i risultati di un nuovo studio sui vantaggi che le organizzazioni possono ottenere - tra cui riduzione dei costi e maggiore sicurezza - attraverso l'adozione di un framework di controlli di sicurezza basato sugli standard di settore.  Lo studio mostra inoltre come dei framework complessivi di sicurezza sono in grado di aiutare le aziende a far fronte in modo più agevole alla varietà di norme che sono preposte da enti di regolamentazione, organismi di settore, partner, clienti e da policy interne aziendali. 

RSA ha introdotto nuovi strumenti di reportistica nell’ambito della soluzione RSA enVision^® di Security Information & Event Management (SIEM). I nuovi modelli sono progettati per consentire alle organizzazioni di generare in modo più semplice report su aspetti chiave dello standard ISO 27002 – un codice completo di procedure per la gestione della sicurezza informativa, utili per definire un efficace insieme di best practice per il controllo della sicurezza, come parte di un sistema di conformità.

Nel Marzo 2008, RSA ha incaricato Michael Rasmussen, analista del settore e Presidente di Corporate Integrity - azienda leader nel campo della consulenza in materia di governante -  di realizzare uno studio basato sulle implicazioni di un programma di conformità IT sostenibile e vantaggioso.  I risultati più significativi di questo programma di ricerca indicano che il tipico approccio alla compliance, basato su una risposta puntuale alle singole normative, senza un programma integrato di gestione della conformità IT, aumenta i costi, riduce la visibilità sulla capacità globale di controllo, porta a uno spreco di risorse e a un’inutile complessità, a mancanza di flessibilità, vulnerabilità ed esposizione al rischio. 

"Un approccio proattivo alla conformità IT consente alle organizzazioni di guardare con fiducia al futuro e insieme di mitigare i rischi della gestione corrente", ha dichiarato Michael Rasmussen.  "Un efficace programma di conformità IT deve essere centrato su un framework completo, basato su standard comuni del settore, come l’ISO 27002".

Un framework di sicurezza per semplificare la conformità IT

Le organizzazioni mondiali sono chiamate a rispettare una grande quantità di richieste  di conformità alle normative  e a migliorare la sicurezza a livello aziendale complessivo. In questo contesto un approccio basato su framework, fondato su best practice e sistemi di controllo, aiuta i clienti a costruire un programma proattivo di sicurezza che può efficacemente abbattere i muri che spesso isolanoi silos organizzativi in materia di compliance. Grazie ad un approccio olistico della conformità -  cioè a livello di sistema globale, invece di rispondere alle singole richieste una per una - le aziende possono ridurre i costi, evitando controlli tecnologici ridondanti e facilitando il processo di gestione della conformità. 

Inoltre, facendo leva su standard internazionali quali l’ISO 27002 - che comprende un insieme di procedure di IT security e di conformità normative  - è possibile aiutare le organizzazioni ad allineare i propri sforzi con le parti più importanti di molte normative a livello internazionale tra cui: la Payment Card Industry (PCI),  il Data Security Standard (DSS), l’HIPPA, la Sarbanes-Oxley, i requisiti di protezione dei dati  dell'Unione Europea e le leggi nazionali sulla privacy dei dati personali.

"I nostri clienti più all’avanguardia utilizzano programmi di conformità e sicurezza basati su frameworkper rispondere  in modo economicamente vantaggioso a  molteplici richieste e per gestire l’information risk", afferma Steven Preston, Senior Director Solutions Marketing di RSA. "Quest’obiettivo può essere raggiunto tramite il ricorso ad  un insieme coerente e olistico di controlli replicabili, scalabili ed estesi a livello aziendale, centrati su best practice riconosciute per la sicurezza IT".

Le soluzioni RSA per una conformità semplificata delle strutture di sicurezza

Il portafoglio di soluzioni tecnologiche di RSA offre controlli - chiavi di sicurezza che consentono alle organizzazioni di definire quadri di riferimento, basati su best practice e standard globali. I principali strumenti di controllo forniti dalle soluzioni RSA includono:

Authentication:

•       L’RSA SecurID^® Authenticators e RSA^® Authentication Manager comprendono le soluzioni leader di mercato per fornire autenticazione forte agli utenti che accedono alle risorse di rete da remoto.  La soluzione RSA SecurID è stata studiata per integrarsi con centinaia di dispositivi di rete e piattaforme software, per permettere l'autenticazione forte nell’accesso amministrativo e dell’utente verso i sistemi operativi . La tecnologia RSA SecurID è stata progettata per controllare l’accesso a dispositivi mobili come i notebook ed è inoltre ideata per consentire alle aziende di restringere l'accesso ai dati sensibili con il de-provisioning delle credenziali RSA SecurID.

•       In più, RSA^® Digital Certificate Solutions, RSA^® Smart Cards e RSA^® Adaptive Authentication sono sviluppate per offrire una serie di controlli flessibili per un'efficiente autenticazione dell’utente.

Data Loss Prevention:

•       La suiteRSA^® Data Loss Prevention (DLP) è progettata per fornire una politica centralizzata e senza soluzioni di continuità all’interno dell’organizzazione, permettendo così ai clienti di trovare e monitorare i dati sensibili e applicando gli opportuni meccanismi di enforcement per assicurare la protezione dei dati sensibili in tutto lo strato aziendale. In più è progettata per compiere una scansione regolare dell’ambiente così da individuare contenuti che non rispettino la conformità normativa entro certe policy definite, eseguire le conseguenti notifiche agli amministratori o intraprendere azioni – come la messa in quarantena dei dati sensibili – in funzione delle regole prestabilite.

 La suite RSA DLP è configurata per permettere  alle organizzazioni un

continuo monitoraggio di tutti i messaggi in entrata e in uscita, attraverso  e-mail o il Web,  assicurandosi, in questo modo, che non avvenga alcun trasferimento dati che violi le normative. Inoltre è ideata per verificare quali informazioni possano muoversi dentro e fuori i dispositivi degli utenti (ad esempio i notebook), fornendo un controllo completo del movimento dei dati sensibili all’interno e all’esterno dell’azienda.

Encryption & Encryption Key Management:

•       RSA^® File Security Manager protegge i dati sensibili su server in ambienti operativi Microsoft^®Windows^® e Linux^®, a livello di file e directory attraverso una crittografia trasparente e capacità di controllo degli accessi che aiutano ad assicurare agli amministratori continuità nello svolgere le proprie mansioni senza avere tuttavia visibilità delle informazioni riservate. 

•       RSA^® Key Manager offre una gestione di chiavi a livello enterprise per un’ampia varietà di soluzioni di crittografia di RSA, di EMC e di terze parti.  RSA Key Manager con Application Encryption offre una crittografia a livello  applicativo tale da permettere di crittografare i dati sensibili direttamente all’origine. RSA Key Manager per Datacenter supporta soluzioni di crittografia di EMC, Cisco, Oracle e RSA a livello di database, file, disco e nastro.  RSA Key Manager Server è ideato per distribuire, compiere vaulting dei nastri e fornire un ILM per le chiavi crittografiche.

Logging, Monitoring e Reporting

•        La tecnologia RSA enVision^® è la soluzione per la gestione dei log, così da semplificare gli aspetti di conformità, aumentando la sicurezza e ottimizzando le operazioni in ambito IT e delle reti. La piattaforma RSA enVision è ingegnerizzata per fornire un fondamento solido alle aziende così in grado di introdurre un framework basato su specifiche ISO 27002 per la sicurezza, la conformità e le operazioni IT. RSA enVision mette a disposizione le funzionalità chiave necessarie per istituire un programma basato  su ISO 27002, compreso il monitoraggio dei componenti  IT gestiti da terze parti, la correlazione degli eventi attraverso l'infrastruttura, il monitoraggio degli elementi di rete e dei sistemi di business information per gli eventi e gli incidenti riguardanti la sicurezza, la gestione e la protezione dei log di eventi, il rilevamento di eventi di sicurezza e la capacità di avvisare gli amministratori di tali minacce.

Nuove funzionalità di reporting per l’ISO 27002

La piattaforma RSA enVision è studiata per offrire un set completo di report pronti all’uso, che consentono alle organizzazioni di monitorare in modo efficace i propri programmi di sicurezza e conformità basati sullo standard ISO 27002. Questi report sono predisposti per corrispondere allo standard e supportano le organizzazioni a dimostrare la loro conformità con gli aspetti critici contemplati dall’ISO 27002.Tali report si focalizzano su aree quali l'attività di logon dei singoli account di un PC, lo stato dell'account stesso, il controllo delle evidenze raccolte, il controllo dei dati sulle risorse umane, l'attività di malware, le modifiche e le scadenze delle password e l'accesso al codice sorgente.

Servizi di information security a supporto delle iniziative di conformità basate su framework

Oltre a fornire un ampio ventaglio di controlli di sicurezza, è disponibile una gamma di servizi di consulenza sulla sicurezza di tipo infocentrico che aiutando le aziende nell’implementazione di efficaci programmi di conformità basati su framework. Tra questi: 

• Information Risk Assessment - offre una visione sistematica delle capacità di sicurezza aziendale e una roadmap delle attività di risk remediation. Questo servizio si basa su una metodologia che comprende valutazione di governance, policy, protezione dei dati, autenticazione, accesso e di altri controlli di sicurezza.

• Information Security Policy Development – per assicurare la conformità grazie a regolamentazioni interne ed esterne definendo e mappando le policy relative alle best practice, ai requisiti aziendali e alle normative.

• Information Security Program Development-  permette di allineare l’aspetto di sicurezza agli obiettivi di business e contribuire a rispondere ai requisiti di conformità normativa.

• RSA Data Loss Prevention RiskAdvisor fornisce un’individuazione automatizzata delle informazioni sensibili non protette, oltre a processi di correzione e raccomandazioni sulle policy.

• Assessment Service for storage Security aumenta la protezione delle informazioni business-critical, con una valutazione della sicurezza e dando priorità alle azioni correttive per  le infrastrutture di archiviazione aziendale, tra cui i sistemi e gli switch di storage e le console di gestione.

• La Classificazionedell’Information Security è un servizio progettato per offrire la base d’implementazione dei controlli di sicurezza, tramite la catalogazione e l’identificazione del valore, della riservatezza e dei requisiti di protezione delle informazioni business-critical.

• RSA Design & Implementation Services guida i clienti nelle fasi di progettazione e implementazione di una soluzione, assicurando un ritorno durevole dell’investimento tecnologico.