Intervista/ Strategie Microsoft sulla sicurezza

Microsoft ha moltiplicato i suoi sforzi per fornire agli utenti e alle aziende informazioni, servizi e corsi inerenti la sicurezza. Per difendere la propria posizione sul mercato. Ne abbiamo parlato con Marco Agnoli

Intervista/ Strategie Microsoft sulla sicurezzaRoma - All?interno della divisione che segue i grandi clienti, Microsoft Italia ha di recente creato un team che si occupa di sicurezza e della messa in atto delle iniziative definite in seno allo Strategic Technology Protection Program (STPP). Marco Agnoli è il coordinatore di questo gruppo ed il responsabile delle attività di sicurezza di Microsoft Italia. A lui abbiamo posto alcune domande sullo STTP e su altri temi inerenti la sicurezza.

Punto Informatico: Perché Microsoft ha sentito soltanto oggi l?esigenza di varare un programma su vasta scala come lo STTP?

Marco Agnoli: Noi avevamo già una serie di iniziative sulla sicurezza ben prima che il programma STTP venisse varato. Penso, ad esempio, ai security bulletin, che offrono la possibilità di ottenere direttamente via e-mail tutti gli aggiornamenti di sicurezza e le notizie sulle vulnerabilità; ai vari servizi di consulenza ed a quelli offerti dalla divisione per il supporto tecnico; ai vari tool di sicurezza; a tutta la documentazione, ecc.. Tutte iniziative che erano già in essere ma che, probabilmente, non siamo stati in grado di presentare in modo uniforme e razionale come invece stiamo facendo oggi grazie allo STTP.
Questa iniziativa ha, da un lato, raggruppato e messo un po? in ordine tutte le attività sulla sicurezza che Microsoft portava avanti già da tempo; dall?altro lato, ha proposto una serie di innovazioni ? fra cui i nuovi servizi associati a Windows Update; le patch e i service pack cumulativi; i Security Tool Kit, ecc. ? nate per dare nuova linfa e nuova vitalità all?iniziativa sulla sicurezza.
Sicuramente quello che è successo di recente ? anche al di là degli attacchi informatici ? ha fatto sì che il tema della sicurezza sia divenuto ancor più centrale ed il mondo aziendale abbia cominciato a pensare alla sicurezza non più come ad un costo ma come ad un investimento. Microsoft, che è un?azienda con un ruolo di piena rilevanza nel mercato del software, si è sentita in dovere di razionalizzare le proprie energie, metterle insieme, presentarle in modo adeguato e completare l?attività che già andava svolgendo con tutta una serie di servizi.
PI: Il recente intensificarsi della proliferazione di worm come Code Red e Nimda ha in qualche modo condizionato la presa di posizione di Microsoft nei confronti della sicurezza? Lo STTP ne è una conseguenza?

MA: Ovviamente no. Come dicevo prima, Microsoft è andata incontro a quel trend che, soprattutto dopo gli accadimenti di settembre, ha visto le tematiche di sicurezza guadagnare sempre più priorità nell?agenda dei responsabili dei sistemi informativi aziendali.
Microsoft, che ha un ruolo importante nel mondo del software, si è sentita in dovere di rispondere adeguatamente al sorgere di nuove esigenze da parte del mondo aziendale.
Non vorrei che si pensasse che l?iniziativa STTP sia stata conseguenza dell?arrivo dei worm. Questi non sono stati che la conferma di una carenza di cultura inerente la sicurezza nel mondo dell?IT, carenza a cui Microsoft sta cercando di porre rimedio varando una serie di iniziative che possano mettere in evidenza come il problema sicurezza sia di grande rilevanza nel mondo delle aziende così come nella vita di tutti i giorni. Come ha detto Brian Valentine, vice presidente della divisione Windows, se Microsoft non facesse tutto questo evidentemente non sarebbe un buon leader.

PI: Microsoft non ha sentito in qualche modo l?esigenza di riabilitare la propria immagine sul lato della sicurezza?

MA: Direi proprio di no. Riferendomi ancora ai worm, bisogna tenere conto del fatto che quando questi hanno colpito, le patch che avrebbero potuto fermarli erano già a disposizione da tempo. Chi voleva proteggersi da questi virus aveva già tutti gli strumenti per farlo. Quindi, a mio avviso, per Microsoft non è questione di riabilitare la propria immagine, ma semmai volontà di diffondere, attraverso queste nuove iniziative, una cultura della sicurezza che, probabilmente, non è così radicata nelle persone che rivestono ruoli di responsabilità all?interno dei reparti IT aziendali. In una buona parte delle grandi aziende non esiste neppure un responsabile della sicurezza, o se esiste è una persona che oltre ad occuparsi della sicurezza si preoccupa tipicamente anche di altre attività legate all?IT. In merito ad un problema così grave come quello della sicurezza le competenze dovrebbero invece essere molto forti e la cultura molto approfondita: Microsoft si sta proprio occupando di diffondere questa conoscenza, questa competenza.
A mio avviso le cose più importanti incluse ad esempio nei Security Tool Kit distribuiti da Microsoft non sono tanto i tool di sicurezza, ma quella raccolta di documenti e di best practice che raccolgono suggerimenti su come migliorare le politiche di sicurezza e le migliori esperienze che le aziende vogliono mettere a disposizione di tutti. Sono questi documenti e queste esperienze, a mio avviso, il grande valore di quel Tool Kit.
Noi, anche attraverso corsi e seminari, stiamo tentando di convincere le aziende che la sicurezza non è un dazio che deve essere pagato al fornitore di antivirus o di sistemi operativi, ma un investimento essenziale per tenere il sistema IT in perfetta efficienza e funzionalità. In Italia non è ancora molto diffusa questa mentalità e molto spesso la sicurezza viene considerata solo quando si subisce un danno rilevante ed è ormai troppo tardi per porvi rimedio.
A tal proposito mi ha particolarmente colpito un?indagine divulgata dal Computer Security Institute dell?FBI, e denominata ?Computer Crime and Security Survery 2001?, che quantifica in circa 2 milioni di dollari per azienda il danno subito dagli ultimi attacchi, decisamente più di quanto questi soggetti possano aver mai speso in sicurezza.

PI: Quali iniziative state varando qui in Italia in seno allo STTP?

MA: Per prima cosa abbiamo già attivato il supporto tecnico gratuito per chi è stato colpito da un virus e necessita di assistenza: in questo caso i nostri clienti si potranno infatti avvalere del numero telefonico 02-70398398 (opzione 1, assistenza tecnica). A breve, accedendo all?home page di Microsoft Italia dedicata alla sicurezza, sarà poi possibile riempire un modulo per farsi recapitare gratuitamente il CD del Security Tool Kit. Al momento stiamo valutando la possibilità di sgravare i clienti anche dalle spese di trasporto.
Accanto a questo, stiamo facendo partire un?attività di formazione accessibile attraverso i centri Microsoft che già tenevano corsi sulla sicurezza. Ancora una volta stiamo cercando di mettere insieme iniziative che in larga parte già esistevano ma in modo frammentato.
Dall?altra parte offriremo dei servizi in modo che le aziende possano far riferimento ai partner Microsoft che hanno competenza sulle tematiche di sicurezza. Un?azienda, a partire da oggi, è così in grado di sapere che può far riferimento alla società ?pinco pallino? invece che direttamente a Microsoft. Inoltre porteremo avanti un?attività di valutazione dello stato dei nostri clienti sulla sicurezza aiutandoli a definire e applicare alcune linee guida per incrementare la loro sicurezza.
Con alcuni partner stiamo inoltre cercando di collaborare con le aziende per aiutarle a comprendere anche gli aspetti della sicurezza non prettamente legati alla tecnologia, come quello legale. Come saprai, in Italia abbiamo una delle normative più avanzate in questo senso, ma molte aziende non sono ne sono a conoscenza ed ignorano le eventuali ripercussioni che possono derivare, nel nostro Paese, nel non adempiere le politiche di base sulla sicurezza previste dalla legge: basti sapere che le condanne possono essere anche penali.
Alcuni partner ci aiutano a completare le nostre competenze tecnologiche con quelle legali e organizzative. Questo, insieme alle nostre varie attività di formazione e di divulgazione che stiamo portando avanti, completa la localizzazione del programma STTP.
TAG: microsoft
12 Commenti alla Notizia Intervista/ Strategie Microsoft sulla sicurezza
Ordina
  • Sicuramente l?open source non è da sottovalutare. Già diversi dirigenti di Microsoft nel recente passato hanno sottolineato come la cultura che sorregge il movimento open source sia assai rilevante.

    Infatti:

    "Gates: la GPL è come PAC-MAN"

    P.I. del 21/06/2001
    non+autenticato
  • "Sicuramente l?open source non è da sottovalutare. Già diversi dirigenti di Microsoft nel recente passato hanno sottolineato come la cultura che sorregge il movimento open source sia assai rilevante."

    infatti:

    "linux è un cancro"
    Così si è espresso Steve Ballmer, CEO di Microsoft, nel commentare la competizione dei prodotti proprietari con Linux e il software open source. Al centro del mirino nuovamente la licenza GPL e la sua incompatibilità con il business

    da P.I. del 04/06/2001

    No comment
    non+autenticato
  • "..in Italia abbiamo una delle normative più avanzate in questo senso, ma molte aziende non sono ne sono a conoscenza ed ignorano le eventuali ripercussioni che possono derivare, nel nostro Paese, nel non adempiere le politiche di base sulla sicurezza previste dalla legge: basti sapere che le condanne possono essere anche penali."

    Cioe` se un'amministratore non applica le patch lo arrestano?

    E gli amministratori di sistemi con sw M$ dormono tranquilli??

    Quanto alle famose colpe M$: mi sa che alla M$ si mettono al sicuro col fatto che l'utente accetta la licenza.. che se non sbaglio di solito declina varie responsabilita`..

    Ciao!

    non+autenticato
  • quelli che comprano m$ sono fuori dalla legge...
    e ormai chiaro a tutti che quel sistema ancora un po e cade a pezzi...quindi loro hanno gia la loro punizione
    ;-0)

    > "..in Italia abbiamo una delle normative più
    > avanzate in questo senso,
    e meno male aggiungerei io...con un pizzico di ironia...


    > ma molte aziende
    > non sono ne sono a conoscenza ed ignorano le
    > eventuali ripercussioni che possono
    > derivare, nel nostro Paese, nel non
    > adempiere le politiche di base sulla
    > sicurezza previste dalla legge: basti sapere
    > che le condanne possono essere anche
    > penali."
    >
    > Cioe` se un'amministratore non applica le
    > patch lo arrestano?
    >
    > E gli amministratori di sistemi con sw M$
    > dormono tranquilli??
    >
    > Quanto alle famose colpe M$: mi sa che alla
    > M$ si mettono al sicuro col fatto che
    > l'utente accetta la licenza.. che se non
    > sbaglio di solito declina varie
    > responsabilita`..
    >
    > Ciao!
    >
    non+autenticato
  • forse un mea culpa sarebbe più credibile.

    Scaricare le responsabilità sull'utente è puerile. I sistemi M$ sono insicuri "in partenza".

    E' impossibile recuperare sicurezza una volta che il sistema sia stato costruito insicuro.

    non+autenticato
  • "MA: Come per tutti i prodotti Microsoft c?è uno staff apposito che si occupa, per l?appunto, della localizzazione degli aggiornamenti. Il tempo che in genere intercorre fra l?uscita della patch in inglese e quella in italiano è di 45-60 giorni, un arco di tempo.. [cut]"

    questo è il progresso... dopo che spunta il bug qualche mese per patchare in inglese, e DOPO al massimo altri 2 SOLI MESI per patchare anche in italia... non ho parole
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 7 discussioni)