A parole la sicurezza è tra le priorità dei responsabili aziendali. I fatti spesso parlano un’altra lingua: le limitazioni dei budget impongono scelte spesso dolorose, che raramente mettono la sicurezza sullo stesso piano delle altre priorità aziendali.
Negli ultimi tempi però, complici i fatti di cronaca, la sicurezza ha scalato molti posti nelle agende dei responsabili in azienda. E se c’è interesse, è ovviamente più facile che alla questione venga dedicato un budget adeguato. Il discorso ora si sposta sul modo più efficace in cui la sicurezza può essere implementata in azienda.
La separazione dei sistemi crea vulnerabilità
Lo scenario tradizionale prevede una divisione netta tra sicurezza fisica e sicurezza logica. Ambiti differenti, strumenti differenti, collocazioni differenti all’interno dell’organizzazione aziendale.
«Ormai da tempo le cose non stanno più così – ci dice Marco Bavazzano, CEO di Axitea -. La continua evoluzione tecnologica ha creato un’interazione sempre più stretta tra questi ambiti, che non solo spesso condividono le basi infrastrutturali – la rete IP – ma sono ormai intimamente interconnessi tra loro».
Le aziende riescono a riconoscere questa interconnessione? «Come spesso accade, la risposta non è univoca. Se lo scenario è sempre più chiaro, la risposta delle organizzazioni non è per forza efficace. Molte realtà ancora oggi hanno due organizzazioni e infrastrutture differenti che non comunicano tra loro, come potrebbero e dovrebbero. E questo genera nuovi elementi di criticità».
Uno scenario quando mai reale è quello in cui un dipendente non risulta presente in azienda (banalmente perché non ha passato il badge) ma si collega alla rete wi-fi interna. O risulta collegato sia tramite VPN remota che alla LAN aziendale. «Si tratta di anomalie che possono essere tempestivamente individuate solo se i differenti sistemi di controllo comunicano tra loro – spiega Bavazzano -. Un segnale debole di allarme può non essere per forza rilevante, ma due segnali deboli distinti combinati possono essere il segnale di qualcosa di serio».
La convergenza, o gestione olistica della sicurezza è un tema di cui oggi si dibatte. Negli ultimi anni la sicurezza fisica è diventata fortemente dipendente e interconnessa con i sistemi informatici importandone benefici e sfide, ma acquisendo al tempo stesso anche le vulnerabilità associate. E anche se alcuni standard di riferimento sono ancora in fase di definizione, l’adozione di una efficace security convergence viene fortemente suggerita come risposta strategica alle problematiche di sicurezza e sta diventando sempre più una best practice raccomandata dagli esperti che operano in ambito di converged security threat.
Integrazione dei processi di sicurezza
Come applicare quanto detto all’organizzazione aziendale? La convergenza della sicurezza può essere definita come un insieme di processi che integra tutte le attività, procedure e programmi dedicati alla protezione degli asset aziendali e organizzativi. Se fino a poco tempo fa sicurezza fisica e logica venivano gestite da funzioni diverse, è ormai fondamentale per le organizzazioni operare con una strategia allargata che tenga conto e includa tutte le aree di rischio.
Come spiega Bavazzano, «’implementazione di un modello di security convergence si articola su tre ambiti e direttici, quello delle risorse umane, quello tecnologico e quello organizzativo»
Il primo prevede lo sviluppo di team multidisciplinari con una formazione estesa, eventualmente supportati da terze parti specializzate nell’ambito della gestione integrata della sicurezza; la componente tecnologica deve essere arricchita e integrata da strumenti di interpretazione dei dati (intelligenza artificiale) e nuovi sistemi di identificazione, rispristino e response. Infine, deve essere adottato un modello organizzativo trasversale e fortemente integrato, soprattutto nei processi decisionali.
Oltre alla convergenza, Bavazzano insiste sul concetto fondamentale di correlazione. «I sistemi di analisi, in particolare, devono poter comunicare per mettere in relazione tra loro i singoli eventi che, presi singolarmente, possono avere un impatto limitato su sicurezza e operatività aziendali ma, all’interno di uno scenario più ampio, possono essere un segnale significativo di rischio».
C’è poi un altro grande vantaggio nell’avere un singolo punto di ownership per tutti gli aspetti di security di un’organizzazione. «Un’unica funzione assume la responsabilità sia per la protezione degli asset fisici sia per quelli intangibili, così come per la crescente complessità degli aspetti di compliance, anche e soprattutto in vista dell’imminente entrata in vigore della nuova normativa GDPR – che tra i suoi pilastri chiave annovera i concetti di visibilità e responsabilità».
Se il mondo è sempre più interconnesso, allo stesso modo la sicurezza aziendale deve essere interconnessa e convergente, per poter fare fronte a strategie di attacco che sono per loro natura sempre più integrate.
