Le esigenze quotidiane più stringenti dei Chief Information Security Officer, dalla detection di un attacco alla gestione delle identità, hanno rappresentato il filo rosso dell’evento digitale “Time 4 Security – per una sicurezza esponenziale” organizzato da IBM Italia in partnership con Digital360 e trasmesso in streaming nella mattinata del 9 settembre.
I numeri della diretta hanno dimostrato quanto la sicurezza informatica sia un tema da affrontare a 360 gradi, che assorbe l’attenzione e l’impegno di tutti gli attori coinvolti, dagli addetti al settore, ai vendor come Big Blue fino ai responsabili aziendali. Le tre ore di live dagli IBM Studios hanno visto infatti: l’alternarsi di 15 relatori con interventi di scenario, approfondimenti tecnici e casi utente; 9 sketch con attori professionisti che hanno messo in scena i momenti tipici della giornata di un Ciso; con una platea di oltre 1000 iscritti; un alto livello di interazione con il pubblico testimoniato da più di 60 commenti lanciati in diretta.
La necessità di una sicurezza esponenziale
L’evento è stato sviluppato a partire da una serie di considerazioni sulla necessità urgente di una security strategy coesa ed estesa, che abbracci una pluralità di componenti e restituisca risultati esponenziali, su tutti gli asset dell’azienda.
Stiamo vivendo infatti una trasformazione epocale. Digitalizzazione del business, cloud e mobile computing, proliferazione dei dati, intelligenza artificiale: la miscela dell’It contemporaneo è esplosiva e stravolge il terreno di gioco della cybersecurity. La battaglia tra vittime e attaccanti si svolge in ambienti ibridi, aperti e distribuiti su più nuvole, mentre le minacce crescono in numero e sofisticazione. Le vulnerabilità si estendono a tutti gli endpoint che si connettono ai sistemi informativi aziendali. L’errore umano e la mancanza di sensibilizzazione della forza lavoro rappresentano un fattore di rischio altissimo.
Ecco perché occorre maturare un piano di difesa olistico e integrato, che prende in considerazione tre aspetti fondamentali ovvero processi, tecnologie e persone, agendo contemporaneamente su domini differenti dalla gestione delle minacce e del rischio alla protezione degli accessi. L’emergenza Covid-19, con il ricorso forzato allo smartworking per superare le limitazioni del lockdown, ha stressato ulteriormente la necessità di una sicurezza a più livelli.
Con la moderazione di Francesco Teodonno, Security Leader, IBM Italia, e Vincenzo Zaglio, Head of Content, Digital360, l’evento Time 4 Security si è quindi sviluppato su tre sessioni tematiche, finalizzate ad approfondire le esigenze e a fornire soluzioni in materia di:Threat Management & Cloud Security, Digital Trust e Strategy and Risk. In aggiunta, è stato incluso anche un intervento ad hoc dal titolo “Risposta aziendale a una crisi cyber”.
Threat Management & Cloud Security
La prima sessione ha messo in luce gli aspetti fondamentali per definire una strategia di difesa unificata attraverso la piattaforma aperta e multicloud proposta da IBM.
L’obiettivo è fornire una soluzione integrata ed efficace che permette di identificare rapidamente le minacce, orchestrando e automatizzando le risposte agli incidenti. Secondo le dichiarazioni di Luca Pugliese, Italy team lead, IBM X-Force IRIS, infatti, nel 2020 il tempo medio per scoprire e neutralizzare un cyberattacco è pari rispettivamente a 203 e 65 giorni (i dati si riferiscono a una recente indagine del Ponemon Institute).
A fronte di ambienti ibridi sempre più distribuiti e minacce in numero crescente che non risparmiano nessun settore (come riporterà in seguito Alessio Pennasilico, Information & CyberSecurity Advisor P4I commentando le statistiche dell’ultimo report Clusit), si rende necessario un piano di protezione che permetta di accelerare le attività di incident response.
Pugliese indica alcune chiavi strategiche per contrastare un attacco in modo proattivo: avere accesso a informazioni di threat intelligence aggiornate, definire una politica di ritenzione e salvaguardia dei log, ottenere visibilità sulle attività di rete e soprattutto di sistema. «Molte organizzazioni – puntualizza – soffrono per la carenza di know-how interno e quindi è fondamentale disporre in modalità 24/7 di consulenti esperti nella gestione degli incidenti e nell’analisi dei dati relativi».
I suggerimenti arrivano anche per l’elaborazione di un piano di prevenzione e recovery: ad esempio, bisogna definire un Computer Security Incident Response Plan e politiche di backup adeguate. L’accento qui viene messo soprattutto sulla necessità di testare e affinare continuamente le strategie in essere perché funzionino effettivamente nel momento del bisogno.
Alfonso Ponticelli, Security Technical Sales IBM Italia, fornisce ulteriori dettagli sulla definizione di un percorso di crescita per la gestione della sicurezza volto alla minimizzazione dei rischi. Si parte dalla fase “ad-hoc” con il penetration-test per individuare eventuali falle di sistema e le necessarie patch da applicare. Quindi, per arrivare a una gestione realmente strategica e proattiva della security, si passa dallo stadio intermedio di maturità, che prevede l’inclusione di componenti fondamentali quali il Security Operation Center (Soc), il Computer Incident Response Team (Cirt), le soluzioni Siem (Security Information and Event Management) e Soar (Security Orchestration, Automation and Response).
Una sottolineatura importante di Ponticelli è la necessità di creare una vista univoca e complessiva sullo stato di salute dei sistemi e il rilevamento delle minacce, mentre la difficoltà è raccogliere i dati spesso disgregati in silos e sistemi non comunicanti.
Protagoniste di questa sessione tematica sono state alcune delle proposte più all’avanguardia di IBM:
- il sistema di security analytics QRadar, che permette di ottenere una visibilità completa dei dati aziendali in ambienti ibridi (si tratta sostanzialmente di un Siem per l’aggregazione e l’elaborazione di registri, informazioni su eventi e utenti, dati relativi alle minacce e alle vulnerabilità);
- la piattaforma Cloud Pak for Security composta da software containerizzati e pre-integrata con OpenShift di Red Hat (recentemente acquisita da Big Blue). Collegandosi agli strumenti di sicurezza esistenti, la suite consente di individuare gli indicatori di minaccia in ambienti multicloud ibridi;
- il team X-Force IRIS che fornisce alle aziende servizi di training, threat intelligence e incident responce.
Durante la sessione, il Chief Security Officer Francesco Ficarola, ha riportato l’esperienza di Sapienza – Università di Roma, che ha implementato in sistema di sicurezza incentrato su QRadar per ottenere visibilità sui sistemi dell’istituto e contrastare l’elevato numero di minacce giornaliere. Con 630milioni di richieste malevole identificate quotidianamente dalle blacklist, 537mila attacchi respinti dalle sonde IPS, 29mila eventi anti-malware e anti-bot, l’ateneo è infatti il più minacciato d’Europa. Grazie all’integrazione del Siem di Big Blue con le soluzioni di sicurezza in essere, l’università ha ottenuto un deciso aumento del security rating (calcolato da un ente terzo), passando da un punteggio di 550 punti (livello basso) a uno score di 750 (fascia avanzata), tra i più alti per le pubbliche amministrazioni italiane.
Insomma, come hanno ribadito più volte i relatori durante la prima sessione, spendere in sicurezza ripaga: nonostante i budget siano spesso limitati perché la cybersecurity non viene considerata un’attività core per l’azienda, qualsiasi investimento è minimo se paragonato alla portata dei danni economici dovuti a un eventuale incidente, considerando i costi diretti di risposta, il calo di produttività, le conseguenze sulla brand reputation.
Digital Trust
La seconda sessione invece ha portato sotto i riflettori la questione della protezione dei dati e le problematiche legate all’identity and access management. In particolare si è parlato di come mettere in sicurezza le risorse digitali, gli utenti e le informazioni attraverso lo sviluppo di una relazione di fiducia (digital trust) e la corretta gestione dei flussi di lavoro.
Ander Schiavella, Security Technical Sales, IBM Italia, ha chiarito le sfide che le aziende di oggi sono chiamate ad affrontare in termini di data protection : difesa sia dai data breach sia dalle minacce interne, protezione delle informazioni in ambienti ibridi e multicloud, facilitare il processo per l’adeguamento normativo e l’adempimento agli obblighi di conformità. L’approccio suggerito per uscire dall’impasse consiste in una serie di step: classificare i dati sensibili secondo criticità, valutare il rischio delle sorgenti e le vulnerabilità, proteggere i dati con cifratura e controllo degli accessi, monitorare l’accesso ai dati e comportamenti usuali, rispondere alle minacce in real-time, semplificare compliance e reportistica.
La proposta di IBM per costruire un piano efficace finalizzato alla tutela delle informazioni si concretizza nella serie di soluzioni Guardium Data Protection, che permettono di categorizzare e prioritizzare le informazioni, tracciare l’accesso ai dati, analizzare il rischio, identificare minacce esterne e interne, assicurare la conformità anche grazie a report più efficaci.
Durante la seconda sessione, Delia La Volpe, Security Technical Sales, IBM ha fornito una panoramica sull’approccio di Big Blue alla gestione delle identità e degli accessi (Iam) che abbinando soluzioni specifiche, va a coprire tre esigenze principali: privileged access management, identity governance and administration, access management and authentication.
La Volpe inquadra il problema con una serie di dati di scenario: l’80% delle violazioni avviene sfruttando credenziali privilegiate (Forrester) e il 75% a mezzo di “insider” (IBM Security Index). Contando che il costo medio di un data breach calcolato da Ponemon è pari a 3,86 milioni di dollari, la situazione diventa urgente e richiede interventi specifici per ogni area.
IBM propone quindi le soluzioni: Secret Server, facile da utilizzare e veloce da implementare, che permette la gestione degli accessi privilegiati; Access Management, che fornisce tutta una serie di funzionalità per ottimizzare e automatizzare i processi di autenticazione (single-sign-on, two-factor authentication e così via); Identity Governance & Intelligence che consente la disposizione, la verifica e la segnalazione di accessi e attività degli utenti attraverso funzionalità di ciclo di vita, conformità e analytics.
Durante la seconda sessione, il Responsabile delle Infrastrutture Paolo Rivolta, ha riportato l’esperienza della compagnia assicurativa Groupama, che ha implementato insieme a IBM un sistema per la protezione delle identità e degli accessi, arrivando a gestire i servizi per oltre 15mila utenti operativi. Nello specifico, la soluzione include: il Siem QRadar; DataPower Gateway, la piattaforma di sicurezza e di integrazione costruita per i workload mobili, web, Api, Soa, B2B e cloud; le funzionalità di autenticazione a due fattori. Il sistema adottato permette di venire incontro alle esigenze della compagnia, che offre ai propri assicurati servizi sempre più basati su applicazioni mobile, con la necessità quindi di controllare gli accessi da parte di migliaia di dispositivi.
Risposta alla crisi cyber e gestione del rischio
In chiusura di evento, l’intervento dedicato alla gestione della crisi cyber e la sessione di risk management hanno riguardato invece una pluralità di aspetti più strategici.
Innanzitutto, l’adeguata formazione del personale aziendale rispetto alle questioni legate alla cybersecurity. La mancanza di awarness e il fattore umano rappresentano infatti una vulnerabilità importante: il training dei dipendenti e la sensibilizzazione del management diventano essenziali per la sicurezza informatica.
Come spiega Pompeo D’Urso, Executive Security Advisor, IBM Security, anche l’assenza di un piano d’azione definito a priori costituisce un forte fattore di rischio, perché in caso di attacco, non esistono procedure da seguire e la leadership aziendale, messa sotto pressione, potrebbe non essere in grado di attivare risposte efficaci. Da qui la proposta del team IBM X-Force Command Center che fornisce competenze e prepara i dipendenti aziendali in funzione anti-crisi con un’esperienza immersiva basata sulle simulazioni di un attacco.
Infine, gli esperti di Big Blue hanno spiegato l’approccio IBM per la mitigazione del rischio, con una serie di servizi consulenziali che partendo dall’assessment, valutano gli asset critici e la gravità delle minacce, quindi forniscono le opportune risposte secondo un calcolo delle priorità e dei vantaggi.
Il rischio in termini di sicurezza informatica viene considerato sotto il profilo tecnico, ma soprattutto in relazione al business. Da qui parte l’excursus sul ruolo del Ciso, come punto di intersezione strategico tra da un lato le line of business, il dipartimento Legal e Risorse Umane, gli addetti all’Audit e dall’altro i team It addetti alla gestione della sicurezza. Rientrano tra i suoi compiti il supporto per l’elaborazione delle strategie di sicurezza, risk management e compliance; la definizione di policy e procedure standard; la supervisione alle security operation; la formazione e la sensibilizzazione dei dipendenti (attività organizzate di concerto con le HR e per cui IBM offre i programmi SAT – Security Awareness & Training specifici e differenziati in base ai destinatari).
Insomma, la sicurezza è una questione prioritaria che coinvolge l’intera organizzazione e va affrontata con urgenza, meglio se attraverso il supporto di un partner in grado di offrire una proposta completa per qualsiasi aspetto tecnologico e strategico.