Come coniugare sicurezza e conformità per la Digital Transformation

L’architettura cloud della piattaforma di Qualys consente di identificare gli asset distribuiti in ambiente ibrido, utilizzando agenti e scanner leggeri

 

Le aziende oggi affrontano una nuova sfida: devono trasformare digitalmente il loro business, in un ambiente di lavoro sempre più complesso a livello normativo.

In questo processo, osserva  Philippe Courtot, CEO di Qualys, la Digital Transformation, e cioè  l’uso di cloud computing, mobility, IoT e di altre nuove tecnologie che rendono le aziende più innovative, agili e flessibili, diventa un requisito competitivo per la crescita.

Il processo è ampio e coinvolge anche gli enti governativi, che stanno ampliando le normative e in particolare quelle che incrementano la sicurezza e la privacy dei dati dei propri cittadini, e in primis la General Data Protection Regulation (GDPR). La convergenza di queste tendenze oggi impone alle organizzazioni di accelerare i propri processi di trasformazione digitale e di ripensare la sicurezza, affinché sia realmente integrata.

La chiave di volta, o perlomeno una delle principali, ritiene Qualys, e non è difficile essere d’accordo, può essere trovata in architetture e soluzioni basate su cloud, che automatizzano  e valutano costantemente entrambi gli aspetti legati a sicurezza e rispetto della conformità negli ambienti on premise, per gli endpoint e nelle strutture cloud pubbliche e private su larga scala.

Questo, mette in guardia  Courtot , è però  un compito complesso poiché le iniziative legate alla  trasformazione digitale introducono applicazioni e servizi web nuovi e in continua evoluzione, che generano, raccolgono e analizzano enormi quantità di dati dei clienti. La completa visibilità degli ambienti IT ibridi – on premise, in cloud e degli endpoint mobili – diventa di primaria importanza per consentire alle aziende di monitorare e proteggere in modo costante queste risorse IT, per gestire i rischi e la compliance.

“Dal cloud, per il cloud”  con la piattaforma Qualys

Coniugare sicurezza e cloud è uno degli obiettivi che si è dato Qualys, società attiva nella fornitura di soluzioni di sicurezza e di conformità che analizzano e producono report in modo automatico sullo stato della compliance delle risorse, ovunque esse si trovino, e questo tramite una piattaforma cloud scalabile.

“L’architettura cloud della piattaforma di Qualys consente di identificare gli asset distribuiti in qualsiasi ambiente ibrido, utilizzando agenti e scanner leggeri (attivi e passivi). Questi sensori raccolgono automaticamente e in modo continuo i dati provenienti da dispositivi IT, di sicurezza e di conformità e li inviano alla piattaforma per consentirne l’analisi in tempo reale”, ha spiegato Courtot.

Consolidare lo “stack”

Il consolidamento di tutti i componenti, osserva Courtot, è diventato un imperativo per CIO e CISO, in quanto non possono continuare ad aggiungere sicurezza e soluzioni di conformità in base a nuovi ambienti e normative. Grazie alle integrazioni a livello nativo con i principali provider di cloud pubblico, Qualys si è posta l’obiettivo di fornire una suite di applicazioni in cloud integrate e dotate di self-update in grado di soddisfare le nuove esigenze imposte dalla normative, tutto fornito da un’unica piattaforma che dà la visualizzazione da un singolo pannello per CIO, CISO, team di sicurezza e auditor di compliance.

Ad esempio, l’App Policy Compliance (PC) permette di ridurre in modo costante i rischi e assicura la conformità a una vasta gamma di policy interne e normative esterne, come il GDPR. Poiché la Digital Transformation richiede automazione nella raccolta di questi dati, l’app PC automatizza questo processo di valutazione e documentazione delle impostazioni di configurazione di ogni risorsa IT presente in rete.

Altre App comprese nella Qualys Cloud  Platform  per quanto concerne la conformità, sono ad esempio:

  • PCI Compliance (PCI): automatizza e semplifica il DSS di test, report e richiesta di compliance, in modo tale che le aziende siano certe di rispondere ai requisiti di protezione di raccolta, archiviazione, elaborazione e trasmissione dei dati.
  • Vulnerability Management (VM): analizza e identifica in modo costante le vulnerabilità con accuratezza Six Sigma, crea report personalizzati a seconda dei ruoli, includendo documentazione automatica sulla sicurezza per gli auditor di compliance.
  • File Integrity Monitoring (FIM): effettua il log e il tracciamento delle modifiche ai file su tutti i sistemi IT globali, in modo tale che le aziende possano rilevare e identificare rischi e incidenti a seguito di eventi normali e dannosi.
  • Security Assessment Questionnaire (SAQ): automatizza il processo di valutazione del rischio di sicurezza IT tra le terze parti di un’azienda, come vendor, partner e appaltatori. SAQ automatizza la progettazione di survey, la gestione di campagne, la raccolta di risultati e la creazione di report.
  • Cloud Security Assessment (CSA): permette di monitorare e proteggere in modo continuo la propria infrastruttura cloud pubblica da errori di configurazione, comportamenti pericolosi e installazioni non standard.

Il consolidamento di Qualys dello stack di sicurezza e conformità, conclude Courtot, semplifica le operazioni di protezione IT in modo che le aziende non debbano preoccuparsi dei costi e dei tempi necessari per gestire prodotti eterogenei di più vendor. Possono così concentrarsi sul garantire risposte tempestive e accurate agli auditor, dimostrando che i controlli richiesti sono in atto e il loro ambiente costantemente conforme.