SentinelOne
 

26/06/2017

Share    

Raffaela Citterio
Raffaela Citterio

Guardare alla security in modo nuovo

È arrivato il momento di innalzare le barriere difensive. Per affrontare nel migliore dei modi le nuove sfide non esiste però un approccio univoco. Capiamo insieme quali possano essere le migliori strategie da adottare.

Sicurezza - © lucadp – Fotolia.com

Il tema della sicurezza è di grande attualità, e le aziende italiane ne sono consapevoli, tanto che, secondo l’ultimo rapporto Assintel, hanno risposto al rischio di attacchi investendo nel 2016 1.224 milioni di euro, in crescita del 6,1% rispetto all’anno precedente. La Security, insomma, non è più un argomento specialistico e di nicchia, da considerare solo un costo, ma sta diventando un vero e proprio asset strategico, tanto che, non solo secondo Assintel, risulta ai primi posti delle priorità di investimento anche per il 2017 e oltre. Per affrontare nel migliore dei modi le nuove sfide non esiste però un approccio univoco. Per capire quali possano essere le migliori strategie da adottare in tema di security abbiamo coinvolto alcuni operatori del settore, ai quali ha rivolto le seguenti domande:

1. Sta crescendo in Italia la sensibilità nei confronti della sicurezza informatica, a fronte dei casi eclatanti emersi negli ultimi tempi e dell’entrata in vigore, a maggio del 2018, del nuovo Regolamento Europeo sulla Protezione dei Dati (GDPR)?

2. Quali sono, dal vostro osservatorio, le strategie messe in atto dalle aziende per fronteggiare minacce sempre più sofisticate, e che ruolo sta avendo il cloud in questo ambito?

3. Quali sono gli strumenti e le competenze necessarie per fornire alle aziende un adeguato supporto consulenziale e operativo?

Claudio PaneraiClaudio Panerai, CTO, Achab
1. Sì, sicuramente. La drammatica diffusione del ransomware ha messo in evidenza che l’antivirus da solo o il firewall da solo oggi non sono in grado di proteggere adeguatamente le aziende. Questo doloroso richiamo alla realtà ha però un effetto positivo poiché costringe a ripensare la sicurezza, non solo in termini di soluzioni, ma soprattutto dal punto di vista dei processi aziendali. In passato i produttori hanno invaso le aziende di soluzioni mettendo in secondo piano sia le motivazioni alla base di determinate scelte sia il fatto che la tecnologia debba essere al servizio del business e non viceversa. In questo scenario si innesta il GDPR che, benché manchi ancora un anno alla sua entrata in vigore, sta già mettendo sul chi vive un po’ tutti. Spero vivamente che il GDPR rappresenti una grande opportunità per le aziende per ripensare i propri processi e quindi per investire nelle tecnologie davvero necessarie.

2. Poiché le minacce moderne sono sempre più imprevedibili è evidente che un nuovo approccio di difesa è ormai necessario. Esso deve essere in grado di intuire quello che sta per succedere, di analizzare rapidamente, o addirittura in tempo reale, una grande quantità di dati e di metterli in relazione cercando di capire se c’è ‘qualcosa’ di sospetto. Il cloud gioca un ruolo chiave perché dispone di spazi di memorizzazione virtualmente infiniti e di capacità di calcolo potenzialmente illimitate, tanto che nessuna azienda potrebbe investire in sistemi di questo tipo. Ma prodotti basati sul cloud, come per esempio gli antivirus di nuova generazione, per agire più velocemente rispetto ai concorrenti, legati a vecchi schemi tecnologici, grazie al cloud, appunto, sono in grado di effettuare un’analisi in tempo reale di una grande quantità di dati conferendo così alle aziende che li utilizzano una sorta di sicurezza in tempo reale.

3. Oggi le aziende non hanno bisogno di consulenti o di società di servizi iper-tecnici, bensì di consiglieri fidati (trusted advisor) in grado di saper selezionare e offrire i servizi migliori presenti sul mercato in base alle caratteristiche delle aziende clienti. È necessario che i tecnici si evolvano in broker di servizi. A questa ‘nuova’ figura spetta il compito di armonizzare sistemi eterogenei come: Office 365 in cloud, il gestionale installato presso la sede e i progetti affidati a team di lavoro sparsi sul territorio che se includono anche professionisti esterni all’azienda possono introdurre nei sistemi potenziali rischi. Concludendo, il settore ICT può considerarsi al passo con i tempi solo se chi ne fa parte in maniera attiva è in grado di armonizzare e mediare fra le esigenze delle aziende e i servizi che la tecnologia rende disponibili.

Ferruccio RadiciFerruccio Radici, Direttore Tecnico, Asystel Italia
1. La pervasività dei sistemi e delle applicazioni informatiche, nonché la possibilità di usufruirne nella quotidianità aziendale anche in mobilità, hanno portato la sicurezza IT, o cyber security, e la data privacy ad essere asset aziendali irrinunciabili. Oltre alle esigenze quotidiane i concetti di sicurezza informatica sono sempre più attuali anche a seguito dell’emanazione del nuovo GDPR che il legislatore ha ritenuto opportuno emanare al fine di armonizzare le regole della tutela della privacy in tutti i paesi europei. Le numerose novità introdotte, quali la nomina di un Data Protection Officer (DPO), i concetti di ‘Privacy by Design’ e ‘Privacy by Default’, nonché le modalità di valutazione dei rischi, l’impatto delle stesse sui dati e le misure di sicurezza da implementare, rappresentano una vera sfida per le aziende.

2. Dal nostro punto di vista e dalle richieste del mercato, si può notare che le aziende hanno una maggior consapevolezza dei rischi legati alla sicurezza informatica, ma poche hanno figure ad hoc, vision di lungo periodo e approcci tecnologici idonei a sostenere le prossime sfide. L’attenzione delle aziende è attualmente concentrata su ambiti specifici come network security, business continuity e non su tecnologie emergenti quali IoT, mobile e cloud. Per poter cogliere le opportunità che la digitalizzazione offre, è fondamentale per le aziende dotarsi di figure con responsabilità manageriale, quale il Chief Information Security Officer (CISO), affinché le strategie di information security possano essere modulate ed implementate in tempi consoni alle esigenze. In ambito di tecnologie emergenti, il cloud, canale tipico delle comunicazioni per l’IoT, e i servizi in cloud rappresentano per le aziende un’ottima opportunità di innovazione e velocizzazione dei propri modelli di business. Al contempo, dal punto di vista della sicurezza IT e privacy, possono essere però di non facile gestione, soprattutto se si dispone di provider e data center geograficamente distribuiti in paesi con differenti legislazioni. Ulteriore esigenza è dunque la definizione di responsabilità, regole, modalità di conservazione delle informazioni in cloud nonché l’individuazione, la valutazione e gestione adeguata dei relativi rischi.

3. Per gestire in modo adeguato la sicurezza IT, soprattutto in caso di implementazione di nuove tecnologie quali digitalizzazione, IoT, big data, cloud, virtualizzazione, mobile, intelligenza artificiale, ChatBOT e robotica, le aziende devono introdurre competenze specialistiche e nuove figure professionali. Un nuovo approccio alla sicurezza dovrà comunque essere economicamente sostenibile, per cui potrebbe risultare opportuno demandare a un outsourcer tutta la gestione del tema privacy e sicurezza. Tra le risorse di maggior valore evidenziamo: DPO, Data Protection Officer, CISO, Chief Information Security Officer, Risk manager in ambito sicurezza IT e data privacy, SOC, Gruppo Operativo di Sicurezza, tecnici che svolgono attività di monitoraggio e di gestione degli apparati di sicurezza attraverso cui possono attivare procedure idonee a fronteggiare le minacce rilevate.

Lucilla ManciniLucilla Mancini, Chief Consulting Officer, Business-e
1. Si, il crescente utilizzo dei servizi digitali comporta una maggiore esposizione a rischi, come abbiamo visto soprattutto negli ultimi anni attraverso Cryptolocker, ransomware, o le sempre crescenti campagne di phishing. Questi attacchi, che puntano su quei ‘pochi’ soggetti che si lasciano ingannare, hanno di per sé una percentuale di successo molto bassa, ma sono comunque estremamente efficaci se in abbinamento con massicce campagne di infezione. Un simile attacco ha un costo estremamente ridotto rispetto ad uno mirato, data la bassa ingegnerizzazione necessaria, ed è accessibile anche a criminali con una bassa alfabetizzazione informatica. Un aspetto ancora più importante è la versatilità di questo tipo di attacchi: non solo questi sono spesso platform-indipendent, ovvero validi per i più diffusi browser o sistemi operativi, ma possono colpire una moltitudine di bersagli. Per quanto riguarda il GDPR vale la pena sottolineare che è stato emanato sotto forma di Regolamento, per cui non necessita di essere recepito dagli stati membri dell’UE. Il nuovo regolamento europeo è fondamentale perché interviene sull’armonizzazione delle regole sul trattamento dei dati personali.

2. Le aziende devono far fronte a nuovi rischi informatici, alla violazione di dati e privacy, al furto di proprietà intellettuale, a guasti tecnici, a cyber-estorsioni, alla perdita di informazioni confidenziali e soprattutto all’interruzione delle attività. Hanno come obiettivo primario quello di aumentare la redditività, ottimizzare i costi di esercizio e migliorare la sicurezza dei dati e dei processi e per questo stanno sempre più affiancando alle tecnologie esistenti servizi gestiti in outsourcing, esternalizzando i servizi che hanno necessità di formazione e miglioramenti continui ma soprattutto di un costante monitoraggio e una tempestiva velocità di intervento.

3. Per garantire la sicurezza è fondamentale approcciarla in modo olistico sapendo individuare le migliori tecnologie dei vendor internazionali. Noi forniamo servizi di consulenza come ad esempio la verifica e l’adeguamento delle politiche e procedure aziendali agli obblighi legislativi, la misurazione e gestione del rischio informatico e attività di Ethical Hacking per analizzare le vulnerabilità. È un approccio molto ampio, che comprende la progettazione, il supporto, la gestione e la manutenzione, con SLA h24, delle soluzioni per la sicurezza perimetrale, la protezione delle informazioni e la gestione delle identità degli utenti. Sicurezza informatica non è solo questione di tecnologia ma implica anche interventi organizzativi e di gestione del personale. Sono aspetti di un progetto di cui Business-e si fa carico con servizi di consulenza organizzativa e metodologica. Gli strumenti per fornire alle aziende un adeguato supporto sono vari e cambiano a seconda del business del cliente e dell’infrastruttura esistente, ciò che conta sono le competenze che devono essere in grado di mitigare il rischio, attraverso un’analisi attenta e tempestiva, investigare sull’origine degli attacchi e ripristinare l’operatività. Recentemente abbiamo lanciato sul mercato Cerbero Cyber Security Services, una piattaforma di sicurezza gestita in outsourcing che consente di monitorare, grazie ad unico pannello di controllo, lo stato della sicurezza informatica delle aziende.

Andrea FerrazziAndrea Ferrazzi, Security Executive di Maticmind e Consigliere di Amministrazione Cybermind 
1. Il rapporto Clusit indica il 2016 come il peggior anno per la sicurezza informatica, quando solo pochi anni fa pensavamo di aver toccato il fondo. In termini relativi indubbiamente il livello di sensibilità si è alzato di molto, ma è la risultante di una condizione lungamente sottostimata sia dalle imprese che dal quadro normativo di riferimento. Riguardo l’adozione del nuovo Regolamento Europeo sulla Protezione dei Dati si ha la sensazione che la compliance normativa non venga percepita come un’imposizione ma venga altresì recepita in chiave positiva, in considerazione di contenuti sufficientemente adeguati al contesto di riferimento che determinano lo spostamento del peso specifico dagli aspetti sanzionatori a quelli di indirizzo. È un segnale dell’importante incremento del livello di maturità nazionale sul tema della sicurezza informatica che già stiamo osservando da più di un anno nelle amministrazioni pubbliche e nel settore privato, e che si sostanzia in una lungamente attesa convergenza tra aspetti tecnici e impianto normativo, nel perseguire un comune obiettivo.

2. Dipende dalle dimensioni aziendali, dal settore merceologico in cui opera, dal modello di business e dal livello di maturità interno. È tuttavia comune il senso di titubanza di fronte alle tecnologie innovative, che implicano da un lato spese importanti sia in termini di costi di acquisto che di costi operativi, e dall’altro logiche di contrasto la cui efficacia è difficilmente misurabile. A questa pesante asimmetria informativa, che rende più lungo il processo di adozione di tecnologie di contrasto, fa da contraltare un nuovo portafoglio di servizi a valore aggiunto che spaziano dalla consulenza ai servizi gestiti. Il cloud è un concetto parzialmente sdoganato, impiegato dalla maggioranza dei produttori per incrementare la qualità dei servizi, e meglio recepito dalle grandi aziende rispetto alla media impresa, ma è solo questione di tempo.

3. Esistono tre elementi che devono essere adeguatamente sviluppati per fornire alle aziende un supporto adeguato: cultura sugli aspetti di governance e compliance, grande esperienza sulle tecnologie e una linea di servizi a valore aggiunto che possano spaziare dai servizi gestiti ai servizi professionali. Riguardo il primo ambito è determinante essere aggiornati sulle normative e sui processi di supporto per poter definire le azioni successive. Ogni azione prende poi la forma di uno o più progetti dove la tecnologia rappresenta uno strumento abilitante, e pertanto in un mercato così ricco di soluzioni è necessario avere una conoscenza approfondita delle singole capacità di ogni strumento identificato come abilitante. A corredo di questi elementi c’è poi il confronto quotidiano con le nuove minacce, in quanto solo l’effettiva comprensione può determinarne la corretta gestione. La combinazione intelligente di questi tre elementi rappresenta il livello minimo di competenze necessarie oggi per supportare le aziende nel governo della sicurezza delle informazioni.

Marco CecconMarco Ceccon, Senior Security Advisor, Sinergy
1. Nel 2016 le aziende hanno investito circa 1 miliardo di Euro sulla voce Information Security (+5%, fonte Il Sole24Ore) e, molto probabilmente, il trend sarà altrettanto in crescita nel 2017 anche per motivi di conformità al GDPR. La Sicurezza deve però necessariamente entrare a far parte di ogni processo aziendale fin dalla genesi, evitando così ritardi ma proteggendo informazioni e asset strategici con azioni e allocazioni di budget preventive. Investire 1 euro in sicurezza per ogni 66 euro spesi sull’ICT (Rapporto Clusit 2017) significa, inoltre, non poter assolutamente competere con i trend di crescita delle varie tipologie di attacco sempre più complesse. Ecco allora la necessità di equilibrare gli investimenti in tecnologie con opportuni processi di gestione nonché con l’assegnazione di idonei ruoli e responsabilità (approccio ‘People, Process and Technology’).

2. Fino a qualche tempo fa la situazione era estremamente eterogenea e fluida. Ora si assiste a una maggiore consapevolezza sui rischi cyber, avvenuta quasi sempre in concomitanza all’emanazione di direttive e regolamenti e alla pubblicazione di metodi per affrontare in modo omogeneo la cyber security riducendo il rischio legato alla minaccia (ad esempio il Framework Nazionale di Cyber Security). La spinta della compliance è, inoltre, quasi indipendente dalla modalità con cui le organizzazioni usufruiscono di servizi IT tradizionali mediante il proprio data center o legandosi ai nuovi paradigmi cloud di tipolgia IaaS, PaaS o SaaS. In tal senso il GDPR prevede per la prima volta obblighi di legge e relative sanzioni anche per i data processor, ruolo ricoperto dalla maggior parte dei fornitori di servizi cloud. Nel caso di adozione di servizi cloud, risulta fondamentale per mitigare i rischi e garantire i requisiti di conformità, giungere alla definizione di un ‘punto di controllo’ che si interpone tra l’azienda e il cloud service provider assicurando l’applicazione di opportuni e mutui controlli di sicurezza ai servizi cloud.

3. Servono indubbiamente competenze multidisciplinari: Sinergy, ad esempio, ha la possibilità di supportare le aziende con il team Advisory, mediante servizi strategici basati su metodologie e standard internazionali riconosciuti e con le competenze dei Professional Services. I servizi offerti partono dalla valutazione del livello di maturità del cliente sui vari temi di analisi (fase assess) e continuano nell’identificazione e la progettazione di soluzioni tecnologiche e organizzativoprocedurali più idonee al raggiungimento degli obiettivi di cyber security e compliance (fase design). Gli step successivi prevedono l’implementazione delle soluzioni e l’attuazione dei processi di governo individuati e progettati nella fase precedente (fase build) e si completano con l’erogazione di servizi di supporto continuo come, ad esempio, le attività di Internal Audit o i servizi di ‘DPO as a service’ (fase operate).Tutte le fasi sono trattate con le giuste componenti e le diverse competenze (tecnologiche, organizzative, legali, etc.) che permettono, nell’insieme, di coprire in modo omogeneo e completo i temi di cyber security e compliance.

 
TAG: Canale

TORNA INDIETRO >>