Comune di Cremona: un approccio integrato alla sicurezza con WatchGuard
La sfida
Il Comune di Cremona gestisce un territorio di circa 70 km2 per un totale di oltre 70.000 abitanti. Sorge in un bellissimo edificio storico del 1200 e ospita circa 600 dipendenti che operano su più sedi dislocate nella città.
Per le attività svolte dal Comune e per la sensibilità dei dati dei cittadini che vengono trattati, la sicurezza informatica riveste un ruolo molto importante. Con l’aumento di attacchi alle PA centrali e locali, e delle problematiche di sicurezza legate allo smart working e all’uso sempre più esteso di applicazioni Internet, il Comune si è trovato nell’esigenza di rafforzare la cybersecurity e di avere una gestione più integrata ed efficiente della sicurezza.
Attraverso consulenze esterne sono state eseguite delle analisi preliminari sull’infrastruttura informatica esistente basandosi sul framework nazionale di AGID. Dai risultati emersi, integrati con i dati del reparto IT del Comune, è risultato evidente che la sicurezza informatica del Comune non poteva più essere gestita solo con risorse interne ma occorreva affidarsi a un fornitore di servizi di sicurezza gestita.
Nell’aprile 2023 è stato indetto un Bando di gara mediante procedura aperta per un Servizio di Security as a Service (SECaaS), con licenze e noleggio operativo per il periodo 1 aprile 2023 – 31 marzo 2025, con possibilità di rinnovo per un anno. L’obiettivo era individuare un fornitore di servizi di sicurezza gestita (MSSP) che offrisse determinate tecnologie e servizi come descritti nel bando di gara e una collaborazione continuativa per garantire che le soluzioni in uso fossero sempre adeguate e aggiornate.
La gara prevedeva la fornitura e gestione della sicurezza perimetrale e una serie di strumenti di sicurezza collaterali: era in scadenza l’antivirus ed era richiesto un servizio gestito con un SOC per avere risorse che costantemente monitorassero l’infrastruttura del Comune e che supportassero le risorse tecniche del Comune nella configurazione dei servizi. C’era poi un tema importante legato all’autenticazione per l’accesso ai vari servizi: il Comune da qualche anno ha optato per trasferire il 95% dei server in cloud e molti software in uso sono SaaS, quindi si rendeva necessario adottare misure di autenticazione più forti.
La soluzione
La gara è stata vinta da GPV Solutions, partner Gold di WatchGuard. Il Comune aveva già in uso soluzioni UTM di WatchGuard e anche Dimension, lo strumento di visibilità della rete. Si è proceduto nel segno della continuità installando nuove soluzioni e nuovi servizi WatchGuard, per avere più strumenti integrati che consentono oggi di fare analisi più efficaci.
Il Comune ha consolidato la sicurezza perimetrale: tutte le interconnessioni di rete passano e vengono analizzate da un unico strumento (firewall WatchGuard M4600) presente nel CED del Comune. Ci sono all’attivo 22 sedi periferiche dotate di firewall WatchGuard T20, interconnesse tramite VPN con la sede principale del Comune ai firewall WatchGuard M4600 in alta affidabilità, la gestione delle policy di sicurezza e il controllo della navigazione avvengono attraverso il management server WatchGuard e i dispositivi nel CED. L’appliance WatchGuard gestisce anche la connessione sicura tramite VPN con fornitori di servizi terzi (per le soluzioni cloud, VDI, ecc.).
Sono state aggiunte anche le funzionalità della piattaforma WatchGuard Cloud. In particolare, sono stati implementati 2 servizi: l’autenticazione multifattore con AuthPoint per l’accesso al portal e per le VDI; l’endpoint protection con EPDR su tutti i dispositivi in gestione al Comune. Al completamento di tutte le attività verrà attivato anche un terzo servizio, DNSWatchGo, che offre funzionalità di difesa e filtro dei contenuti in grado di proteggere gli utenti che si trovano all’esterno della rete.
È stato poi affiancato un servizio di Remote Monitoring and Management (RMM) per una gestione puntuale e da remoto di tutti i dispositivi del Comune e un servizio di verifica e analisi delle vulnerabilità.
“I dirigenti del Comune hanno compreso che la tecnologia è sì importante ma persone, processi e procedure fanno la differenza” ha dichiarato Gian Piero Monfredini di GPV Solutions, partner Gold di WatchGuard. “Abbiamo lavorato non solo sulla parte tecnica ma anche sulla sensibilizzazione delle persone. L’impegno deve essere non solo tecnologico ma anche sul piano della consapevolezza.”
Risultati
Oggi GPV Solutions, in qualità di MSSP, offre al Comune una consulenza continuativa. L’installazione e l’adozione di soluzioni e servizi WatchGuard non ha creato rallentamenti nell’operatività o problematiche negli utenti. Anche la soluzione di autenticazione multifattore è stata recepita positivamente dai dipendenti del Comune.
La configurazione dell’accesso alle macchine da remoto (per i portatili del Comune) tramite WatchGuard Cloud ha permesso di configurare l’accesso di 100 utenti in soli 15 giorni, a differenza di un’altra soluzione usata in passato che aveva richiesto molto più tempo e che richiedeva che i dati transitassero per i server del fornitore di sicurezza. Ora i dati non escono dalla rete del Comune, passano dal firewall WatchGuard e vengono ridiretti direttamente ai portatili.
“Le soluzioni WatchGuard sono strumenti molto facili da utilizzare, non servono capacità specifiche per costruire una regola e per capire come regolarla” ha dichiarato Marco Rossetti, System Administrator del Comune di Cremona. “Gestire AuthPoint dal cloud è semplice e lo stesso vale per tutti gli altri servizi WatchGuard. Questo agevola di molto l’intera gestione quotidiana della sicurezza. Crediamo che un approccio integrato alla sicurezza, senza avere tanti strumenti diversi, difficili da gestire, seguire e utilizzare, sia una scelta vincente.”
GPV Solutions, grazie all’integrazione nella piattaforma WatchGuard Cloud di tutti gli strumenti di sicurezza forniti al Comune, permette di erogare un servizio più tempestivo e completo. Con EPDR può bloccare minacce dirette al Comune provenienti anche dall’esterno.
Gli sviluppi futuri prevedono l’implementazione di AuthPoint sui portatili usati all’esterno della rete comunale. È in valutazione da parte del Comune anche il nuovo servizio WatchGuard MDR (Managed Detection and Response).