L’intervista a Umberto Pirovano di Palo Alto Networks.
A distanza di un anno dal varo a livello europeo del recovery plan, che in Italia ha portato al PNRR, 01net realizza un’inchiesta, basata su un ciclo di interviste con le principali società che operano in Italia nell’ICT sulla loro strategia per la digitalizzazione delle aziende italiane nel 2022.
Parliamo con loro di quattro temi cardine della trasformazione digitale: resilienza, cybersecurity, cloud, sostenibilità ambientale e sociale e le risposte consentono di costruire la mappa di partecipazione delle realtà ICT alla crescita del Paese in senso digitale.
E c’è un tema in più, il quinto: con spirito consulenziale, chiediamo di fornire agli imprenditori italiani un’idea in più, capace di produrre valore immediato sul piano dell’efficienza e della competitività.
Per Palo Alto Networks ha risposto Umberto Pirovano, Senior Manager Systems Engineering.
Un anno dopo il Recovery Plan, a che punto siamo con la reale trasformazione del Paese: con quali soluzioni, competenze e servizi partecipate alle missioni del PNRR che coinvolgono il digitale?
Il PNRR, Piano Nazionale di Ripresa e Resilienza, per la Pubblica Amministrazione e per il sistema produttivo strategico per il Paese, sta contribuendo alla spinta in chiave della trasformazione digitale e dell’innovazione ed all’adozione di nuove tecnologie per le abilitanti, andando ad operare su iniziative già avviate e creando nuovo spazio per le attività innovative;
Lato infrastrutture, il 5G è oggi priorità di ogni Innovation Manager e rappresenta una forte accelerazione all’adozione delle nuove tecnologie; lato cambiamento delle attività umane, il Web 3.0 alle porte incrementerà in modo ancor più sensibile il fenomeno di accelerazione centripeta e decentralizzazione (sia dell’erogazione del servizio verso il cittadino digitale, sia della fruizione dello stesso servizio), l’intelligenza artificiale sarà a diretto supporto delle più diffuse attività, ed insieme tali tendenze renderanno più naturale quella evoluzione delle tematiche di smart working e mobile user, che hanno già dimostrato di portare beneficio marginale a produttività e innovazione qualora non affiancate da tecnologie emergenti, e che potranno essere incisive se associate a infrastrutture senzienti, con tecnologie di realtà aumentata e rinnovata semplificazione nell’uso.
Parliamo di disruption: per avviare questo circolo virtuoso non dobbiamo temere di essere fattori di cambiamento abilitante, in primis noi produttori di tecnologie; nello specifico il ruolo che riteniamo ci competa come Palo Alto Networks, con esplicito riferimento alla cyber security, è quello della visione di insieme dello scenario di medio periodo, di advisor, e di partner fidato per la creazione del percorso di trasformazione, una sorta di bussola in grado di indicare la rotta corretta da seguire per la digital transformation sicura.
Mettere al servizio del Pubblica Amministrazione l’innovazione tecnologica emergente diventa criterio cardine per comprendere ed innescare le priorità del cambiamento: le maggiori convenzioni pubbliche finora pubblicate da CONSIP coprono perfettamente le necessità del periodo pre-pandemic, adesso abbiamo la necessità di immaginare insieme lo sviluppo del futuro della PA attraverso un’adozione pervasiva del modello cloud e multi-cloud.
Le iniziative in arrivo sulla realizzazione di servizi per la PA dal Cloud Nazionale potranno certamente rendere ancor più semplici e fruibili le misure di tipo tecnologico richieste dalla normativa vigente e quella in arrivo; dobbiamo, infatti, tenere in considerazione la continuità e l’evoluzione normativa in ambito cyber security che nel Paese è riuscita a coniugare il nuovo Perimetro di sicurezza cibernetica, le istanze di controllo della neo nata Agenzia per la sicurezza cibernetica nazionale, e la imminente direttiva NIS2, nella direzione del rafforzamento delle infrastrutture critiche del Paese, della sicurezza Pubblica, della sicurezza degli Operatori dei servizi essenziali strategici per la missione del PNRR.
In Palo Alto Networks sappiamo che è necessario bilanciare l’innovazione delle infrastrutture e l’adozione dei nuovi servizi cloud, sposare le iniziative multi-cloud del Cliente, e supportare le strategie del Paese in chiave Cloud Nazionale per la data sovereignty.
Il nostro impegno si manifesta nell’innovazione continua delle soluzioni tecnologiche.
Il 2021 è stato l’anno in cui il tema della cybersecurity è atterrato in tutte le imprese. Quali prospettive concrete vi siete dati per il 2022?
Immaginiamo un mondo in cui ogni giorno sia più sicuro e più protetto di quello precedente. Questa è la visione alla base di Palo Alto Networks, ecco perché ci impegniamo a innovare continuamente.
Il nostro obiettivo è e rimane quello di aiutare a rendere i nostri clienti, e tutte le persone con cui entrano in contatto, più sicuri e protetti ogni giorno. Comprendiamo come l’ambiente attuale abbia richiesto ai leader profondi ripensamenti alle strutture IT/OT nell’ultimo periodo.
I nostri clienti in tutto il mondo stanno accelerando e persino ampliando i percorsi di trasformazione digitale delle loro organizzazioni. Le aziende di tutto il mondo stanno fondamentalmente rimodellando il modo in cui operano, innovano e mantengono la continuità aziendale.
Le tecnologie odierne stanno creando opportunità rivoluzionarie, anche in un momento di crisi: vediamo aziende di tutto il mondo che sfruttano la tecnologia per garantire continuità e vantaggio aziendale e, in definitiva, fare meglio le cose per le persone che servono.
Ma i rischi nell’era del COVID sono più significativi che mai: la superficie di attacco è cresciuta notevolmente, la sicurezza delle aziende non tiene il passo con l’evoluzione, creando sicurezza incoerente e lacune nella visibilità.
I criminali informatici, dagli hacker indipendenti agli stati nazionali, si stanno muovendo per trarne vantaggio. L’aumento degli attacchi che i clienti subiscono è esponenziale.
Per questo noi siamo convinti che le soluzioni puntuali non siano più una soluzione sostenibile al problema della cybersecurity: integrazione e automazione sono vitali anche nella cybersecurity, richiedendo più che mai un approccio basato su piattaforma.
Continuiamo a fare evolvere le soluzioni di sicurezza in modo che possano essere adottate velocemente e facilmente, nativamente integrate, alla velocità del business, insomma, garantendo nel contempo che tutto e tutti siano protetti.
Non ci interessa giocare in difesa: I team di sicurezza che si perdono in mezzo ad un mare di alert per rispondere ad una violazione, devono essere un ricordo del passato. L’intero ciclo della sicurezza deve essere automatizzato il più possibile.
I clienti con cui parliamo sono tutti molto diversi, ma le loro esigenze di sicurezza sono allineate: hanno bisogno di vedere tutto, in un insieme sempre più ampio e diversificato di ambienti, incluso l’IoT. Hanno bisogno di soluzioni semplici da implementare e gestire, tenendo conto dei sistemi legacy. Hanno bisogno di automatizzare per scalare, eliminare gli errori e concentrare i loro team sulle minacce reali. E questi sono gli obiettivi per continuare ad innovare anche nel 2022.
Componente fondamentale della trasformazione digitale è il cloud. Quali sono le scelte che dovranno compiere le aziende italiane nel 2022?
L’adozione del cloud ha subito un’accelerazione ulteriore nel 2021 anche grazie alle mutate condizioni generali in cui ancoraci troviamo. Ma sarebbe un errore non riconoscere la variabilità nelle strategie di cloud adoption, che vanno da un iniziale shift&lift di alcuni servizi fino ad una piena strategia cloud first con la ridefinizione dei modelli di sviluppo e delivery di nuove applicazioni. In uno scenario così variegato, nessun fornitore di servizi cloud o un tipo di cloud workload è ideale per tutte le organizzazioni e per tutti i gradi di adozione. In Palo Alto Networks ce ne siamo accorti sin dalle prime fasi della cloud transformation e abbiamo governato questo fenomeno presentando la prima piattaforma di sicurezza cloud nativa del settore che comprende DevSecOps, CSPM, CWPP, CNS e CIEM per ogni tipo di workload e provider cloud.
Esattamente come una piattaforma di sicurezza nativa del cloud (CNSP) è più di un semplice ombrello per diversi prodotti in una piattaforma, allo stesso modo le aziende devono avere un approccio integrato alla protezione di ambienti e applicazioni cloud, indipendentemente dai cloud providers e dai modelli di consumo utilizzati, considerando anche evoluzioni future che in questo ambito sono molto rapide. Per chi poi sviluppa le proprie applicazioni cloud internamene o per terzi, è necessario securizzare tutto il ciclo di vita dello sviluppo software (SDLC) e della messa in produzione consentendo alla sicurezza quello shift left che si è sempre ricercato e che i modelli DevOps ora consentono.
Occorre prestare attenzione anche agli ecosistemi fortemente connessi al cloud, come 5G e IoT, mantenendo anche per questi un approccio alla cybersecurity integrato col resto degli ambienti tecnologici.
Dopo il Cop26 si è capito che la sostenibilità, sia ambientale sia sociale, oramai riguarda non solo tutti i Paesi ma anche tutte le aziende. Qual è la vostra strategia riguardo questi temi?
Rendere il mondo più sicuro e protetto è un compito importante e il nostro impegno è massimo per essere cittadini aziendali modello ed elevare in modo costante le nostre pratiche aziendali, dalle iniziative rivolte ai dipendenti, al codice di condotta, ai fornitori ed ecosistema dei partner.
Come leader globale nella cybersecurity, Palo Alto Networks è impegnata a proteggere lo stile di vita digitale. Al centro di questa missione vi è la nostra piattaforma di responsabilità aziendale, che include l’impegno a proteggere e rispettare il nostro pianeta, e riconosciamo il ruolo che dobbiamo assumere per farlo. Dai nostri sforzi di gestione ambientale nei siti di tutto il mondo, all’impegno di diventare neutrali al carbonio entro il 2030, stiamo intraprendendo azioni significative per rendere la nostra attività sostenibile per il pianeta a lungo termine. Abbiamo a cuore le comunità in cui viviamo e lavoriamo e mobilitiamo la nostra forza lavoro globale per avere un impatto sociale positivo e crediamo che proteggere il nostro stile di vita digitale sia un privilegio, per questo ci sforziamo di educare tutti sugli aspetti della cybersecurity. Investiamo in cause che allineano gli interessi dei dipendenti alle esigenze delle comunità mondiali e le sosteniamo attraverso i nostri programmi di sensibilizzazione.
L’idea ICT del 2022 di Palo Alto Networks
Se doveste proporre un unico investimento (prodotto, soluzione, metodologia) a un’azienda italiana, una scelta capace di produrre da subito un beneficio a livello di efficienza e competitività, su cosa verterebbe il vostro consiglio?
Suggerirei se non è già stato fatto di fare un’analisi della propria strategia alla cyber difesa per capire quanto sia distante da una metodologia di processi e architetture che vadano nella direzione dello Zero Trust.
L’adozione dei principi Zero Trust, infatti, può aumentare notevolmente la protezione delle risorse critiche dall’esfiltrazione e dalle minacce in generale. La metodologia 0 Trust non si adotta in un unico step, ma è più simile ad un percorso formato da molti passaggi: questo può apparire complesso e scoraggiante, ed è per questo che Palo Alto Networks ha pensato ad un servizio di progettazione personalizzato per creare assieme al cliente una roadmap di implementazione 0 Trust.
Fondamentale per il modello Zero Trust è la tracciabilità accurata sullo stato di visibilità/sicurezza di tutti gli asset di alto valore in una rete aziendale. Una risorsa di alto valore è rappresentata da un qualsiasi dato, siano esse informazioni di identificazione personale, proprietà intellettuale o qualsiasi altra informazione ad alto rischio che sia di valore strategico per un’impresa e per gli aggressori.
Il primo passo per implementare Zero Trust nella propria IT è la prioritizzazione degli asset di alto valore. Utilizzando tali informazioni, i design delle topologie delle reti IT/OT/Cloud, la visibilità degli asset in internet e altri dati, il nostro consulente esperto creerà un’architettura Zero Trust mirata, che include un piano di implementazione completo, per proteggere dati, reti ed utenti.
Ci muoviamo nell’ambito di alcuni principi guida:
1) Zero Trust non dovrebbe mai concentrarsi su una tecnologia ristretta. Dovrebbe invece considerare l’intero ecosistema di controlli (rete, endpoint, cloud, applicazioni, IoT, identità e altro) su cui molte organizzazioni si affidano per la protezione.
2) L’implementazione di Zero Trust non è facile, ma iniziare non dovrebbe essere difficile. Si Considera quale attuale set di controlli può essere sfruttato immediatamente. Una volta stabilita la base di partenza Zero Trust, noi aiutiamo a passare a quello che verrà dopo.
3) Zero Trust non è un servizio, è un concetto, e per di più semplice: non fidarsi di nulla. Piuttosto che impiegare soluzioni puntuali specializzate in un linguaggio geek, Zero Trust è facile da trasmettere ai managers non tecnici. Non fidarti di niente, convalida tutto. Sempre.
4) Non possiamo farti utilizzare il nostro framework se non rende la tua azienda più sicura e spende meno. Palo Alto Networks offre molte soluzioni pienamente integrate e, anche se non facciamo tutto, siamo sicuri di essere una risorsa per l’intero percorso Zero Trust.
