F5 Networks: i 6 passaggi fondamentali per mettere in sicurezza il network aziendale

Se analizziamo il modello di business di molte delle nuove realtà, sia startup sia aziende ormai affermate, è facile notare come il capitale alla base di queste imprese non sia fatto di prodotti finiti da vendere, ma di applicazioni. Pensiamo a Whatsapp, Linkedin, Facebook: la loro fortuna è basata sulle applicazioni che hanno creato, quello che viene definito capitale applicativo. 

Le aziende di medie dimensioni possono contare su centinaia di applicazioni nel loro portafoglio e il numero incrementa velocemente man mano che la società cresce: ci sono banche il cui business è basato sul corretto funzionamento di migliaia di applicazioni, anche 10.000 in alcuni casi, alcune delle quali girano in locale, altre su cloud di differente tipo. 

Secondo F5 Networks però non sempre il capitale applicativo è protetto adeguatamente, in parte anche a causa dell'enorme complessità delle infrastrutture e della velocità con cui si implementano in azienda nuove tecnologie, tanto che Kara Sprague, Executive Vice President and General Manager, Application Services di F5 Networks a affermato "fino ad oggi non ho ancora incontrato un’organizzazione di grandi dimensioni capace di indicarmi, con sicurezza, quale sia il numero di applicazioni che ha nel proprio portfolio".

I 6 passi per una corretta strategia applicativa 

Proteggere il capitale applicativo di un'azienda richiede prima di tutto una valida strategia. È fondamentale stabilire delle policy aziendali su come queste app vanno costruite, distribuite, gestite e protette. Una strategia che, secondo F5 Networks, deve 6 passaggi: 

1. Creare un inventario delle applicazioni che includa la funzione e l'origine di ogni app, insieme all'indicazione dei dati che consuma, ai servizi con cui si interfaccia, ai componenti open source o di terze parti in essa contenuti, a chi ha accesso e a chi la sviluppa o la deve gestire;
2. Valutare il rischio informatico per ciascuna applicazione in termini di costo o impatto relativi a una violazione dell'applicazione stessa o delle identità associate a tale applicazione;
3. Definire categorie di applicazioni dal punto di vista del rischio informatico associato alle applicazioni e assegnare requisiti minimi in termini di servizi applicativi per ciascuna;
4. Identificare i servizi applicativi necessari a supportare ciascuna delle categorie di applicazioni, come web application firewall, anti-DDoS, anti-bot, disponibilità globale e servizi di bilanciamento del carico;
5. Definire i parametri per il deployment e la gestione dell’app per ciascuna categoria di applicazioni, comprese architetture di distribuzione, opzioni di cloud pubblico adeguate e servizi di terze parti;
6. Chiarire i ruoli e le responsabilità in merito a distribuzione, sicurezza, accesso degli utenti, monitoraggio delle terze parti, e all'accounting per le app che vengono aggiunte o rimosse.

"L'obiettivo primario di una strategia applicativa deve essere quello di migliorare e proteggere tutto il patrimonio digitale, anche se l’azienda continua ad aumentare e accrescere tali capacità" - ha dichiarato Kara Sprague - "La combinazione di questi elementi aiuta a garantire che tutti stiano facendo la cosa giusta, documentando e proteggendo tutte le applicazioni nell'ecosistema dell'organizzazione in modo da sostenere il ritmo dell’innovazione in atto. È una delle principali differenze tra il patrimonio fisico e quello digitale a rendere questo processo così cruciale: le cyber minacce sono sempre presenti. Dato che le applicazioni si estendono oltre l'azienda, ai clienti e ai partner che le utilizzano, la gestione efficace del capitale delle applicazioni è un imperativo aziendale".