Il protagonista di questa video intervista è Giovanni Iotti, IT manager dell’azienda SAER Elettropompe di Guastalla nel Reggiano. In questa chiacchierata partiamo da BeyondTrust per fare il punto sulle tecnologie e strategie di cybersecurity aziendale più avanzate che il mercato possa offrire.
La SAER è un eccellenza italiana, produce direttamente ed esporta in tutto il mondo, da circa settant’anni, oltre 1.300 differenti tipi di pompe sommerse, centrifughe e motori. Avevo già intervistato Giovanni Iotti nel 2018 e in quell’occasione avevamo parlato di BeyondTrust e di come era arrivato a questa tecnologia per gestire i privilegi di amministratore in azienda. (qui trovi la news: Privilegi di amministratore: alla SAER Elettropompe hanno la soluzione)
Concedere ai nostri utenti privilegi di amministratore sulle workstation è un rischio che al giorno d’oggi un’azienda non può più permettersi, in quanto le moderne forme di attacco all’integrità dei dati e alla continuità di servizio sono sempre più sofisticate e numerose.
Giovanni Iotti, 2018
La sua visione delle problematiche legate ai privilegi di admin era decisamente avanzata allora, quindi con grande piacere ho chiesto nuovamente il suo punto di vista. Giovanni e il suo team con ricerca e studio portano avanti una visione della sicurezza IT, molto matura e al contempo di fuori dalle logiche con cui il marketing ci bombarda in questi anni.
La pirateria informatica ha raggiunto dei livelli veramente preoccupanti, adesso si rivolgono a 360° anche alle piccole e medie imprese. Quindi è importante tenere aggiornati e monitorati i propri asset, utilizzando tecnologie che permettano una gestione centralizzata. E’ necessario avere una visione d’insieme di quello che accade ed essere in grado di avviare alert o report che ci consentano di intervenire in maniera tempestiva.
Sappiamo tutti che negli ultimi anni le cose si sono molto complicate, sono aumentate non solo le minacce ma anche le complessità delle aziende. Giovanni mi parla dei tanti device da proteggere, della sempre crescente richiesta di smartworking. Mi racconta anche dell’aspetto IT legato all’attuazione di Industria 4.0, sia di implementazione sulle macchine dell’officina; sia di integrazione sui sistemi aziendali come la gestione commesse; sia di accesso dall’esterno per l’assistenza delle macchine.
Pensare alla sicurezza informatica per la propria azienda, non è comprare il prodotto più gettonato, ma è studiare e scegliere in maniera oculata tutti i componenti che servono per assicurarsi una visione d’insieme di quello che accade e mettere in atto quando serve le relative contromisure.
La sua ricetta prevede buone regole interne, una console di gestione chiara, vulnerability assessment ricorrenti e un valido sistema di autenticazione.
Noi dobbiamo garantire che chi fa un login a uno dei nostri sistemi sia effettivamente chi dice di essere.
L’autenticazione a due fattori è uno dei tasselli fondamentali della sicurezza ma molta attenzione va posta anche alla gestione dei permessi. All’utente va concesso il giusto livello di accesso a determinate applicazioni per determinati asset. L’utente può fare e vedere solo quello per cui è autorizzato. Queste autorizzazioni possono essere gestite per ruoli, gruppi, oppure individualmente. Giovanni ci racconta che questo vale anche per il reparto CED. Io sono profondamente d’accordo non c’è niente di peggio che vedere nelle aziende profili admin generici e non nominativi.
con un Audit fai in modo tale che le attività di autenticazione e autorizzazione funzionino in modo adeguato e siano corrette e sempre aggiornate. Nel corso del tempo cambieranno gli accessi, le autorizzazioni, le esigenze.
In questa lunga intervista tanti sono gli argomenti trattati, Giovanni mi racconta di come hanno implementato il loro sistema antispam e di tecnologie che hanno provato ed ora stanno utlizzando.
Giovanni mi racconta che hanno suddiviso un po i compiti anche all’interno del reparto IT, anche se chiaramente tutti fanno un po un po tutto.
Abbiamo documentato soprattutto tutte quelle che sono le procedure da seguire per le varie applicazioni, per i vari servizi, in modo tale che, in caso di necessità, tutti sappiano metterci le mani.
E questo è secondo me è un punto fondamentale per un ottimo piano B.
