Fra fine gennaio e inizio febbraio, a brevissima distanza, si sono susseguite due giornate a chiaro stampo cybersecurity, quella della data protection, rivolta prevalentemente a educare alla salvaguardia dei dati personali, e quella per rendere Internet un luogo più sicuro. Converremo che le giornate mondiali hanno un senso se i temi che dettano vengono colti e svolti non solamente per un giorno, ma quotidianamente.
Abbiamo quindi voluto simbolicamente far partire una call to action, rivolgendoci ad alcune aziende di riferimento sullo scenario italiano, spostando l’asticella un po’ più in alto.
Sappiamo, infatti, che il tema della protezione dati, non nuovo, vive da sempre un problema di attrattività all’interno delle aziende, che se non obbligate per legge, difficilmente fanno un passo più del richiesto per investire in sicurezza e in protezione dati.
Ma riteniamo che qualcosa stia cambiando, ma vogliamo dare una spinta in più nel fare proseliti, nel raccogliere adesioni, senza ambire a che siano entusiastiche
Ci siamo posti dunque nella posizione di capire come rendere la cybersecurity attraente in azienda, come lo sono le tecnologie smart sul piano personale.
Ci ha risposto Sabino Trasente, Senior Business Solution Strategist VMware Semea.
Può la cybersecurity essere davvero smart nell’azienda di oggi?
Per essere davvero smart, è necessario per un’azienda ripensare le strategie di cybersecurity per cercare di rispondere a tutte queste esigenze: la visibilità è ancora tutto e bisogna dare la priorità al controllo della rete distribuita; prepararsi agli attacchi ransomware; colmare le lacune nella tecnologia e nei processi legacy; ripensare la sicurezza e renderla un servizio distribuito; fare una sicurezza cloud-first, con le dovute cautele.
È necessario dunque ripensare alla sicurezza come una parte intrinseca e distribuita dell’impresa moderna, incorporando continuamente tutti gli aspetti dello stack tecnologico per fornire una sicurezza più efficace attraverso un approccio Zero Trust (o architettura Zero Trust). Ciò significa un approccio connesso, che unisce i punti critici di controllo tra: utenti, dispositivi, applicazioni e reti. La sicurezza deve essere una parte integrante dei punti di controllo e distribuita fin dove i punti di controllo si trovano, all’interno dell’infrastruttura. Le informazioni devono essere contestualizzate, combinando i dati provenienti da tutte le fonti, in modo intelligente e condividendo questo contesto tra gruppi diversi, per ridurre i silos.
Bisogna dapprima mettere in sicurezza i dati. La protezione deve concentrarsi sulla riduzione della superficie di attacco, e questo inizia con la micro-segmentazione. Una forte strategia di micro-segmentazione impedisce alle minacce di diffondersi lungo il vettore est-ovest e mantiene l’azienda il più sicura umanamente possibile, aggiungendo funzionalità automatizzate che semplificano l’applicazione delle politiche di sicurezza in futuro.
Poi serve segmentare i dispositivi. Proprio come la micro-segmentazione tiene gli utenti fuori dalle aree a cui non possono accedere, così anche i dispositivi e/o accesso a Internet possono essere segmentati lontano dai flussi di rete, applicazioni e dati critici.
Infine bisogna proteggere l’endpoint. Utilizzare una sicurezza legacy sull’endpoint non è efficace per prevenire attacchi sempre più avanzati. Servono capacità di rilevamento robuste, non sono contro I malware conosciuti ma anche contro il ransomware. Serve inoltre una gestione integrata e semplice delle soluzioni, non con un approccio a silos, per evitare che il personale addetto alla cybersecurity spenda la maggior parte del tempo a manutenere la tecnologia, invece che scoprire le minacce. Un esempio è una singola console cloud-based dalla quale gestire gli endpoint, investigare gli incidenti e smistare gli alert. Serve un modo per visualizzare velocemente la timeline di un attacco, riuscendo a tracciare come e da dove la minaccia entra e se si può spostare lateralmente, incluso un meccanismo di reporting puntuale per documentare la root cause evitare di subire lo stesso attacco in futuro. Servono soluzioni cloud based, software defined, aggiornate costantemente. Se le soluzioni non hanno gli ultimi avanzamenti in termini di protezione dagli attacchi, risulta difficile rispondere efficacemente soprattutto con un ambiente IT e una forza lavoro sempre più distribuita.
Quali sono gli elementi tecnologici che lo consentono?
Per ottenere ciò, occorre mettere in pista alcune tecnologie abilitanti, che vanno dal Digital Workplace, che consente ai dipendenti di lavorare ovunque si trovino garantendo esperienze sicure e senza intoppi, il Secure Access Service Edge (SASE) ossia la convergenza di cloud networking e cloud security per semplicità, scalabilità, flessibilità e sicurezza pervasiva, il modern Endpoint Protection, che abilita una gestione moderna e nativa per il cloud per semplificare le operation IT, proteggere gli endpoint e migliorare l’esperienza dei dipendenti da tutti i dispositivi, la Software Defined Network, un approccio al networking che utilizza controller basati su software o interfacce di programmazione delle applicazioni (API) per indirizzare il traffico sulla rete e comunicare con l’infrastruttura hardware sottostante Tutti questi elementi concorrono a consentire alle organizzazioni di accelerare sulla strategia zero-trust.
Quali sono le iniziative organizzative da intraprendere?
È fondamentale intraprendere un approccio DevSecOps, che integra la sicurezza delle applicazioni e dell’infrastruttura fin dall’inizio del ciclo di sviluppo, offre il vantaggio competitivo di un team unificato, perché la sicurezza è uno sport di squadra. Forrester Consulting ha analizzato per conto di Vmware le attuali dinamiche dei rapporti tra team IT, security e sviluppo includendo i risultati nella ricerca Bridging the Developer and Security Divide. Secondo la ricerca, gli addetti alla sicurezza che devono garantire la protezione delle organizzazioni per cui lavorano spesso escludono gli sviluppatori dall’attività di pianificazione security, chiamandoli in causa solo quando è il momento di applicare le procedure, e questo non fa che complicare rapporti già delicati. Le organizzazioni in cui i team di sicurezza e sviluppo hanno un rapporto positivo possono ridurre il ciclo di vita dello sviluppo del software di cinque giorni per ogni release rispetto alle aziende dove questo rapporto non esiste, a dimostrazione dell’impatto di questa sinergia sul time-to-market e sul vantaggio competitivo.
Lo studio fornisce inoltre diverse raccomandazioni: avere una vision solida che parta dall’alto per ridurre i conflitti tra le priorità e per dotare i team degli strumenti e dei processi di cui hanno bisogno; includere gli specialisti della sicurezza nei team di sviluppo invece di imporre la sicurezza dall’alto; parlare un linguaggio comune con gli sviluppatori per eliminare gli attriti tra i team.
E se davvero fosse smart, un euro speso in cybersecurity che rendimento avrebbe per l’azienda?
Consideriamo che, mentre una parte del ROI viene realizzata gradualmente, la mitigazione delle potenziali perdite associate con un attacco prende forma immediatamente. In un rapporto di Ibm Security sui costi della violazione dei dati nel 2021, il costo medio di un attacco informatico in Italia si aggira sui 3,61milioni di dollari , con alcune variazioni a seconda del segmento di mercato: si va, ad esempio, da 1,93 milioni di dollari della Pubblica Amministrazione a 5,72 milioni di dollari del settore finanziario. Queste stime sono basate su quello che viene definito ABC – Activity Based Costing composto dal rilevamento dell’attacco (investigazione, assessment, gestione crisi), costi di notifica dell’attacco agli utenti coinvolti (email, comunicazione con regulators), risposte ex-post (help desk, legal, multe), danno di immagine (system downtime, perdite di clienti).
Pur trattandosi di stime, ci danno la misura di quanto sia importante essere preparati e avere la consapevolezza dell’impatto negativo che il non implementare una corretta strategia di cybersecurity avrà sull’organizzazione.
