Fra fine gennaio e inizio febbraio, a brevissima distanza, si sono susseguite due giornate a chiaro stampo cybersecurity, quella della data protection, rivolta prevalentemente a educare alla sicurezza dei dati personali, e quella per rendere Internet un luogo più sicuro. Converremo che le giornate mondiali hanno un senso se i temi che dettano vengono colti e svolti non solamente per un giorno, ma quotidianamente.
Abbiamo quindi voluto simbolicamente far partire una call to action, rivolgendoci ad alcune aziende di riferimento sullo scenario italiano, spostando l’asticella un po’ più in alto.
Sappiamo, infatti, che il tema della protezione dati, non nuovo, vive da sempre un problema di attrattività all’interno delle aziende, che se non obbligate per legge, difficilmente fanno un passo più del richiesto per investire in sicurezza e in protezione dati.
Ma riteniamo che qualcosa stia cambiando, ma vogliamo dare una spinta in più nel fare proseliti, nel raccogliere adesioni, senza ambire a che siano entusiastiche
Ci siamo posti dunque nella posizione di capire come rendere la cybersecurity attraente in azienda, come lo sono le tecnologie smart sul piano personale.
Così ci ha risposto Antonio D’Ortenzio, Manager Solution Architect di Amazon Web Services.
Può la cybersecurity essere davvero smart nell’azienda di oggi?
La cybersecurity aziendale oggi è tanto più smart quanto essa viene integrata nel lavoro di tutti. Non è più sufficiente relegare questo tema a team di specialisti dedicati; e non è più sufficiente che essi debbano sorvegliare il livello di rischio introdotto dal lavoro degli altri, andando ad implementare policy stringenti. La sicurezza è diventata lavoro di tutti e infatti l’obiettivo per le aziende è quello di costruire una cultura della security al loro interno, che riguardi tutti i loro dipendenti; tutti infatti dovranno essere informati sui livelli di rischio e i relativi strumenti di controllo e dovranno condividere un insieme di norme e pratiche che siano rivolte a mantenere l’azienda sicura.
Dal punto di vista della security nell’ambito del software development, il principio guida deve essere quello per il quale è più conveniente costruire la sicurezza insieme al software anziché andare ad applicarla ad un software già costruito. E questo si ottiene tenendo sempre presente qualsiasi capability si stia mettendo in piedi in ambito IT dovrà continuare a funzionare anche quando verrà messa sotto stress da contesti reali, che potrebbero prevedere rischi o, più in generale, dovranno affrontare l’inaspettato.
Quali sono gli elementi tecnologici che lo consentono?
Il cloud di Aws fornisce strumenti che aiutano le aziende ad affrontare questo cambiamento. Innanzitutto, la gestione della sicurezza delle infrastrutture fisiche è sollevata dalla responsabilità del cliente grazie allo Shared Responsibility Model che Aws implementa. In base a questo modello, Aws mantiene la responsabilità “del” cloud mentre al cliente rimane la responsabilità “nel” cloud, ovvero quella di implementare misure di sicurezza che proteggano le applicazioni che vengono rilasciate su una infrastruttura già altamente sicura. Per fare ciò, i clienti hanno a loro disposizione servizi evoluti che abbracciano cinque aree: Identity and Access Management, Detection, Infrastructure Protection, Data Protection e Incident Response. Ognuna di queste aree comprende servizi che sempre più includono funzionalità basate sull’Intelligenza Artificiale, e ciò rende sempre più smart l’accesso da parte di tutti a funzionalità che una volta erano complesse da realizzare e riservate a pochi. Un esempio fra molti riguarda il servizio Amazon Guard Duty che offre funzionalità di threat detection basate su Intelligenza Artificiale e in grado di monitorare costantemente gli Aws Account di un cliente, alla ricerca di attività potenzialmente dannose quali accessi insoliti ai dati, chiamate API da indirizzi IP noti come malevoli, e molto altro.
Quali le iniziative organizzative da intraprendere?
Indubbiamente il primo step per definire una cultura della sicurezza consiste nella definizione delle best practice a cui si vuole che tutta l’azienda aderisca; in seguito, va definito un metodo di monitoraggio di tali best practice che sia smart e accessibile da tutti. Aws offre metodologie, frameworks e tecnologie che abilitano questi step. Aws Well-Architected è un framework che aiuta i clienti a identificare le loro best practice, nella fattispecie nell’ambito di uno dei suoi 5 pillar che è, appunto, Security; Well-Architected fornisce le linee guida per implementazioni sicure nonché approcci per selezionare i servizi Aws giusti, che implementino le suddette best practice nei workload di ogni specifico cliente. Aws integra la sicurezza nei suoi servizi fin dal loro sviluppo e dotandoli inoltre di importanti funzionalità di automazione. L’automazione è l’aspetto chiave che assicura che la security venga applicata in maniera frequente e consistente. Gli aspetti di monitoraggio possono quindi essere gestiti attraverso le Aws Foundational Security Best Practices che sono parte del servizio Aws Security Hub; attraverso questa funzionalità è possibile definire un insieme di controlli che individuino quando gli account Aws e le relative risorse deviano dalle best practices di Security. In questi casi, si otterranno linee guida azionabili su come migliorare e mantenere il livello di Security a livello aziendale e di organizzazione.
E se davvero fosse smart, un euro speso in cybersecurity che rendimento avrebbe per l’azienda?
Secondo il modello descritto finora la sicurezza non dovrebbe essere considerata come un elemento a se stante bensì come parte integrante di qualsiasi altro effort un’azienda compia in ambito IT. La sicurezza non dovrebbe essere giustificata in Roi per l’azienda, ma piuttosto in fiducia da parte dei clienti: un’azienda che perde la fiducia dei suoi clienti a causa di un problema di sicurezza è un’azienda che avrà problemi ben più grandi che calcolare il ritorno di ogni euro speso (o non speso) in security.
In questo senso, il cloud di Aws offre finalmente una democratizzazione della sicurezza. Con Aws, ogni tipo di azienda ha accesso agli stessi servizi di Security che sono utilizzati da clienti con un requisito elevatissimo di sicurezza (associazioni governative, banche, servizi di intelligence). Grazie al pay-as-you-go, l’accesso a questi stessi livelli di sicurezza è reso possibile anche per realtà più piccole e che spesso non dispongono di budget IT milionari.
