Home » Virtualizzazione » La scelta del software crea rischi agli incauti

La scelta del software crea rischi agli incauti

Tech Page One

La scelta del software crea rischi agli incauti

 

Le aziende sono ben coscienti dei rischi associati all’utilizzo di software gratuito o open source, ma molte si stupiscono nello scoprire che anche le applicazioni commerciali o con marchi famosi presentano vulnerabilità.

“Sia il software commerciale che quello open source può contenere bug”, afferma Vik Mehta, COO di VastEdge Inc., un fornitore di soluzioni IT con sede a San Francisco.

Mehta sostiene che la differenza sta nel fatto che gli sviluppatori di software commerciale, grazie alla base di utenti più ampia e diversificata, sono in grado di risolvere i problemi più rapidamente rispetto agli sviluppatori di software open source. Per questo motivo, suggerisce alle aziende di considerare tutte le sfaccettature della sicurezza quando acquistano software.

Sonia Cuff, una direttrice di Computer Troubleshooters Aspley, un’azienda di consulenza tecnologica per piccole e medie imprese con sede in Australia, concorda sul fatto che le aziende non dovrebbero dare per scontato che i software commerciali siano sicuri.

“Il fatto che tutti i maggiori marchi software rilascino patch di sicurezza prova che i loro software non sono blindati”, afferma. “C’è un limite alla quantità di scenari replicabili in laboratorio. Inoltre, una volta rilasciato, il software è alla mercé degli hacker, il cui unico scopo è quello di trovare le vulnerabilità sfuggite agli sviluppatori.”

Valutazione dei rischi e scelta del software

La scelta del software crea rischi agli incautiSe tutti i software hanno dei bug e se le minacce sono sempre presenti e in evoluzione, come possono le aziende scegliere l’opzione più adatta a loro?

Gli esperti consigliano a tutte le aziende di valutare in anticipo le soluzioni software che ipotizzano di acquistare. Il costo dev’essere soltanto uno dei fattori di valutazione.

“Il costo non è determinato solo dal prezzo sul cartellino”, afferma Mehta. “È necessario fare una stima di più ampio respiro e determinare il costo totale di proprietà per almeno tre anni”.

Secondo Mehta i criteri di valutazione aggiuntivi, a seconda del tipo di software, dovrebbero includere:

Sicurezza dei dati

Costi di implementazione

Opzioni di assistenza e disponibilità. Più supporto è disponibile, meglio è.

Compatibilità con il settore e i processi dell’azienda

Caratteristiche e funzioni

Gestione delle autorizzazioni in base ai ruoli

Scalabilità e ridondanza

Interoperabilità con altri software

Integrazione cloud

Compatibilità a livello hardware e del sistema operativo

La Cuff afferma che le aziende devono assolutamente esaminare la documentazione accompagnatoria per accertarsi che il software sia stato installato e configurato secondo le raccomandazioni dello sviluppatore. Ritiene inoltre che sia necessario un audit post-installazione, per determinare come il software interagisce con workstation, reti, Internet e cloud. Secondo la Cuff le aziende dovrebbero inoltre registrare quali dati aziendali o degli utenti vengono memorizzati dal software e confermare la sicurezza di eventuali autorizzazioni di accesso remote.

Le patch fanno parte della vita

La maggior parte degli sviluppatori di software inserisce almeno qualche funzione di sicurezza nei propri programmi. Tuttavia, mantenere la sicurezza in condizioni reali può risultare difficile, perché le infrastrutture hardware e software degli utenti variano da azienda ad azienda e si evolvono nel tempo, con l’aggiunta o la rimozione di nuovi componenti e pacchetti.

“Un codice sicuro è sicuramente importantissimo, ma i nostri software e le infrastrutture sottostanti sono più complessi che mai”, afferma la Cuff. “Gli sviluppatori dovrebbero integrare nel software le difese dalle minacce già note, ma occorrono test nel mondo reale, e perfino l’intervento della comunità degli hacker, per scovare e correggere ogni singola falla.”

Man mano che i bug o le vulnerabilità rimanenti vengono a galla si rendono necessari gli aggiornamenti, che gli esperti considerano un’attività normale nel supporto continuo di un prodotto.

“Credo che patch e aggiornamenti faranno sempre parte della vita”, continua la Cuff. “Per fortuna, oggi i processi sono più automatizzati, facili e rapidi da applicare, sia per gli utenti che per gli amministratori dei sistemi.”

La velocità di sviluppo e di rilascio delle patch da parte delle software house è in gran parte dovuta al loro modello aziendale: le vendite generano ricavi, i quali finanziano valutazione, risoluzione dei problemi e iterazioni continue dei prodotti. Il software open source “non genera il flusso di ricavi necessario per poter fornire un supporto di livello aziendale”, afferma Mehta di VastEdge.

Non si può barattare la fruibilità con la sicurezza

La Cuff ritiene che, per quanto possano essere migliori delle controparti open source, i software commerciali possano comunque essere migliorati dal punto di vista della sicurezza. “Gli sviluppatori di software commerciale devono ulteriormente semplificare il rilascio di aggiornamenti, alleviando le problematiche legate al passaggio a nuove, importanti versioni”, afferma.

Secondo Mehta, è opportuno aggiungere un livello di protezione alle procedure già solide applicate nelle fasi di valutazione del prodotto, vigilanza durante l’installazione e monitoraggio costante.

“I software avranno sempre dei bug, per questo motivo le aziende dovrebbero prendere in considerazione l’idea di utilizzare appliance di sicurezza per i Big Data”, osserva.

Naturalmente c’è un limite alle possibilità degli sviluppatori di garantire la sicurezza. Se le funzionalità che bloccano un programma a causa di un’intrusione interferiscono con la fruibilità, gli utenti smetteranno di utilizzare il software, poiché hanno ben poca pazienza verso ciò che intralcia il loro lavoro e riduce la produttività.

“Gli sviluppatori di software devono trovare un equilibrio tra una solida sicurezza e la fruibilità”, afferma la Cuff. “Avvisi di sicurezza o blocchi frequenti rischiano di frustrare gli utenti al punto da spingerli a disattivare le funzionalità di protezione.”

 

 

Michael O'Dwyer

Michael O'Dwyer

Nato a Londra ma residente ad Hong Kong, Micheal O’Dwyer ha speso oltre 15 anni nell’industria dell’elettronica gestendo informatica, processi aziendali e processi di distribuzione. Egli scrive per diversi portali online sull’informatica e sulla tecnologia.

Ultimi post:

 

Tag: Virtualizzazione