Le politiche di sicurezza di SharePoint si fermano all’identificazione e all’accesso dell’utente, troppo poco per uno strumento di condivisione così diffuso. Per Luca Rossetti di CA la sfida è nell’analisi del contenuto

Come noto Microsoft SharePoint è una delle più importanti piattaforme di collaborazione nel panorama aziendale, la sua adozione è in rapida ascesa: ad oggi conta circa 125 milioni di licenze vendute a più di 65000 clienti enterprise al mondo. La solita Gartner nel suo ultimo “Magic Quadrant of Horizontal Portals” posiziona SharePoint come piattaforma leader in termini di completezza di visione e capacità di esecuzione. È interessante notare come nell’ultimo report il distacco dai concorrenti sia aumentato rispetto alle medesime valutazioni dell’anno precedente.

 

Il rovescio della medaglia

“La semplicità con la quale è possibile condividere documenti comprensiva della possibilità di collaborare con team interni ed esterni – sottolinea Luca Rossetti CA Technologies Sr Customer Solutions Architect – sono indubbiamente valori fondamentali di SharePoint, che è in grado di fornire enormi benefici di business come piattaforma di collaborazione ma presenta anche potenziali problemi di sicurezza: l’accesso ai siti SharePoint, infatti, viene spesso concesso a una popolazione di utenti eterogenea, sia interna sia esterna all’organizzazione. Tuttavia ciò rende più semplice condividere inavvertitamente documenti anche con utenti che non dovrebbero avere accesso al loro contenuto”.
Combinando questo con il fatto che SharePoint viene spesso utilizzato come repository per la condivisione di volumi molto grandi di documenti, ciascuno dei quali potrebbe contenere informazioni riservate o sensibili, il quadro di sicurezza può diventare molto complesso.
Le politiche di sicurezza di SharePoint, infatti, osserva l’esponente di CA, partner di Microsoft, si fermano all’identificazione e all’accesso dell’utente, riguardano cioè la capacità di comprendere chi sia un utente per poi decidere se debba essere concesso o meno l’accesso a un sito o sotto-sito. La sfida più importante in realtà consiste nel valutare il contenuto che rende un sito sensibile, ovvero la combinazione di documenti e dati presenti su un sito unitamente al loro contenuto. Il compito di mettere in sicurezza un documento non è semplice, poiché implica la necessità di esaminarne e conoscerne il contenuto per poi determinare il grado di protezione cui deve essere sottoposto. Inoltre anche quando questo è stato determinato, il documento deve essere protetto sia nella sua posizione (locazione fisica) sia nelle politiche e modalità di distribuzione. Esistono diverse soluzioni di sicurezza che supportano aspetti fondamentali della protezione SharePoint, concentrandosi inizialmente su come abilitare l’accesso sicuro ai siti, per poi mettere a punto e ottimizzare l’accesso a livello di contenuto e, infine, ampliando i controlli di sicurezza per governare l’accesso ai documenti e alle informazioni in tutto il loro ciclo di vita.
Il punto di vista di CA, puntualizza Rossetti, sul tema è che nell’utilizzo di Sharepoint un’organizzazione debba dotarsi di una soluzione di sicurezza che sia in grado di offrire le seguenti funzionalità: autenticazione tramite le funzionalità di Single Sign-On, autorizzazione e auditing, ovvero registrazione puntuale e verifica dell’attività eseguita dagli utenti; gestione degli accessi basata sul contenuto dei documenti (Content-Aware) con funzioni automatizzate di rilevazione dei dati, classificazione e controllo degli accessi sensibile al contenuto; controllo del ciclo di vita delle informazioni e dei dati contenuti in SharePoint dalla creazione all’eliminazione, passando per lo storage, l’accesso e la distribuzione. Inoltre è necessario che la soluzione sia in grado di eseguire la scansione, l’individuazione e la classificazione dinamica del contenuto sensibile archiviato comprese proprietà intellettuali, informazioni finanziarie e informazioni personali, ad esempio numeri di carta di credito, numeri di documenti di identità e altri dati riservati dei dipendenti”.

 

Un periodo di rischi e sfide
Oggi che le organizzazioni iniziano a passare da una fase di razionalizzazione e ottimizzazione dell’IT a una fase mirata alla crescita e all’innovazione nel campo dei servizi di business, le tecnologie content-aware sono da ritenersi, almeno secondo CA, fondamentali per migliorare il livello di protezione, incrementando la velocità e le prestazioni e realizzando efficienze in termini di costi e di rischi. Per aiutare le aziende ad affrontare queste sfide, conclude Rossetti, CA sta continuamente integrando nuove release delle proprie soluzioni di sicurezza con funzionalità avanzate di Content-Aware Identity and Access Management, estendendole a protezione di Microsoft SharePoint.