ROMA – La presenza di miliardi di utenti e milioni di app, che operano in ambienti mobile, cloud e social network e la proliferazione di big data modificano in modo sostanziale il paradigma della protezione, imponendo un cambio di mentalità e di approccio alla sicurezza che dovrebbe basarsi su un programma “intelligence-driven” a lungo termine. È questa la considerazione di partenza fatta da Amit Yoran, Senior Vice President, Unified Products di Rsa in occasione del Rsa Security Summit 2014 tenutosi a Roma. “Le strategie per la sicurezza che si affidano all’idea antiquata dei controlli perimetrali e a metodi obsoleti di monitoraggio dei log non possono fornire quella intelligence e quella visibilità approfondita di cui le aziende hanno bisogno per poter rilevare e gestire le minacce attuali”, spiega ancora Yoran.
Se dunque l’approccio non può più limitarsi a evitare le intrusioni nel perimetro aziendale, deve assumere una logica centrata sull’utente e basata sulla rilevazione degli attacchi guidata dall’intelligence, indipendente dei confini aziendali. Cambiano di conseguenza le priorità rispetto al passato quando prevaleva (per l’80%), anche in termini di investimenti, la prevenzione; oggi, nella security intelligence driven, prevenzione, monitoraggio e capacità di risposta pesano ciascuno per un terzo (figura 1).
La collaborazione è fondamentale
Nell’intervista rilasciata a ZeroUno, Massimo Vulpiani, Regional Director Europe South di Rsa, rafforza questa impostazione, spiegando: “Nella situazione attuale, un incidente può accadere; va dunque aumentata la capacità di rilevazione e di gestione, come già sta avvenendo anche in Italia con la creazione di gruppi di lavoro dedicati. Per l’efficacia è fondamentale la collaborazione, che deve coinvolgere all’interno delle organizzazioni chi prende le decisioni di business, ma deve ampliarsi all’esterno anche ad aziende concorrenti che operano nello stesso settore; la competizione deve avvenire sul core business, mentre vanno condivisi gli sforzi per combattere i nemici comuni nell’ambito della sicurezza”. Questo nuovo modo di procedere è emerso anche nel corso della tavola rotonda sul tema Cybersecurity dove si sono confrontati i responsabili della sicurezza di Consip, Generali Business Solutions, Inail, Poste Italiane e C4 Difesa sui diversi approcci alla sicurezza digitale, che hanno confermato come sia fondamentale, nello scenario attuale, avviare una stretta collaborazione e condivisione delle informazioni tra nazioni, aziende private e pubbliche.
“Il salto di qualità è indispensabile per rispondere sia per quanto riguarda la complessità che le organizzazioni devono gestire, sia per il livello di sofisticazione raggiunto dalle minacce da fronteggiare e le caratteristiche degli ‘avversari’ – sottolinea Vulpiani – Questi sono organizzazioni ben strutturate o addirittura Stati che aggrediscono, per esempio, funzioni vitali della pubblica amministrazione di altre nazioni”. Il punto di partenza per ciascuna organizzazione deve essere una corretta valutazione del rischio; si deve in pratica comprendere chi può avere interesse ad attaccare, quali modalità può mettere in atto e quali i tempi ipotizzati. Vanno di conseguenza predisposti sistemi di controllo dinamici e in grado di riscontrare anomalie nel comportamento degli utenti e nel flusso e nell’uso dei dati, capaci di fornire informazioni di contesto per identificare reazioni efficaci con le giuste priorità.
Il business sempre più coinvolto nelle scelte sulla sicurezza
La pervasività dell’It impone una nuova attenzione da parte del business. “Come può un responsabile di business ignorare le problematiche della sicurezza sapendo che l’organizzazione deve aprirsi per ampliare la propria attività e consentire a chiunque di accedere da ovunque, anche se così aumenta la propria superficie di attacco?”, si chiede Vulpiani.
In alcuni settori, come il Finance, questa trasformazione è già iniziata da tempo; passi avanti si stanno facendo anche nei settori dove sono in gioco infrastrutture critiche per il Paese, come quelle dell’Energia, dei Trasporti o la Pubblica Amministrazione.
La nuova mentalità vede la predisposizione di misure di sicurezza come strumenti abilitanti per il business nel lanciare nuovi servizi con maggiore fiducia. Quindi non un costo aggiuntivo, ma una misura che fa parte integrante dei nuovi progetti. “Per evitare costi e ritardi, la sicurezza va pensata fin dal momento in cui si prevede il rilascio di un nuovo servizio – suggerisce Vulpiani, che conclude – La tecnologia offre nuove opportunità di business, come nel caso della mobility, del cloud, dell’Internet of Things, ma al tempo stesso lancia sfide nel campo della sicurezza che vanno affrontate con un nuovo approccio”.
Focus su mobile security
Sul tema della mobile security si è focalizzato l’intervento di Paolo Guaschi, Senior Manager Enterprise Risk Services Practice di Deloitte, che ha evidenziato l’importanza del fenomeno mobile nel nostro paese a partire dalla presenza di 25 milioni di possessori di smartphone, 3,6 milioni di possessori di tablet, con una crescita di accesso on line tramite smartphone del 28% e tramite tablet del 127%.
“In un simile contesto, la sicurezza gioca un ruolo fondamentale che impone approcci completi, efficaci e in ottica risk based che, da un lato, garantiscano il rispetto dei requisiti normativi e, dall’altro, assicurino un’adeguata protezione dalle nuove minacce”, sostiene. Particolarmente critiche risultano le nuove modalità di mobile payment che hanno visto l’incremento del transato del 44% nel 2013, con una quadruplicazione prevista per il 2016 di beni e servizi che dovrebbe raggiungere 2 miliardi. Guaschi indica come pilastri per un approccio efficace alla sicurezza delle transazioni mobili: la conoscenza delle nuove minacce, una strategia di sicurezza trasparente agli utenti, un’autenticazione tramite approccio “risk-based”, lo sviluppo sicuro di App Mobile, il continuo monitoraggio anti-frode, l’awareness verso gli utenti finali.
Le applicazioni per i pagamenti via mobile devono dunque essere conformi alle Raccomandazioni della Banca Centrale Europea e alle Raccomandazioni del Garante della Privacy, che definiscono i pilastri su cui dovrebbe basarsi la sicurezza per le transazioni mobile, come la figura 2 evidenzia.