La sicurezza aziendale vista come insieme di elementi integrati che permettono lo sviluppo di soluzioni che digitalizzano il business, in un contesto complesso e fragile rispetto alle potenzialità di attacco. È questa in sintesi la chiave di lettura emersa dal recente Webcast “Enterprise Security: il valore di un approccio integrato”, organizzato da ZeroUno in collaborazione con Symantec.
“Per competere sul mercato, diventa indispensabile sviluppare un’enterprise security che funga da piattaforma abilitante, in grado di supportare i nuovi servizi generati da mobile, cloud, social e analytics – esordisce Stefano Uberti Foppa, Direttore di ZeroUno -. Serve una vista complessiva end-to-end e unificata che vada a tradursi in una capacità di orchestrazione tecnologica da un lato e di scelta rispetto a processi, modelli e policy dall’altro. Si parla di questa visione olistica ormai da anni e oggi è tempo di analizzare quali soluzioni, practice e percorsi rendono concretamente perseguibile una governance migliore”. “In un ambiente sempre più digitale e interconnesso – incalza Rossella Macinante, Practice Leader di NetConsulting – lo scambio di dati e le interazioni dentro e fuori l’azienda, tra dipendenti, partner e clienti, si intensificano, sulla spinta di social, cloud e mobility”. E mentre il perimetro sfuma e i rischi aumentano, è necessario rivedere le modalità di accesso ai dati e alle applicazioni, nonché le regole di profilazione in sistemi ibridi, alla luce di attacchi sempre più mirati e sofisticati.
Sicurezza completa da sviluppare in quattro fasi
Ma come difendersi da hacktivism, cybercrime e guerra cibernetica tra Stati? “Il primo limite – asserisce Antonio Forzieri, Emea Cyber Security and Iss Lead – Technology Sales and Services di Symantec – è la mancanza di business ownership: l’It deve fare capire all’azienda che la sicurezza informatica è fondamentale per la competitività e implica il coinvolgimento di persone, processi e tecnologie”. Perciò bisogna rivedere le strategie di sicurezza, distribuendo equamente gli investimenti che Symantec identifica in quattro fasi: preparazione (assessment), prevenzione (firewall, antivirus, crittografia eccetera), rilevamento e risposta, ripristino. “La tendenza oggi è investire in risk management [fasi a monte dell’incidente, ndr] – si rammarica Forzieri -, ma bisognerebbe spendere di più sulle componenti di response planning [a valle dell’incidente, ndr]”. In sostanza, vengono effettuati gli investimenti minimi sulle tecnologie più comuni di prevenzione, ma ci si ferma lì: l’atteggiamento generale è negare la possibilità di attacco (“tanto a me non succede”) e quindi viene meno la pianificazione della recovery (si cerca di tamponare a incidente avvenuto, arrivando al momento di crisi totalmente impreparati).
Gartner definisce cinque fasi di maturità nell’approccio alla sicurezza da reattivo a strategico: il 3% delle aziende a livello worldwide è totalmente a rischio; il 35% sta passando dal modello tattico a una maggiore consapevolezza e integrazione (step 1 e 2); il 43% (stadi 3 e 4) inizia a costruire una vista olistica e si muove in direzione della proattività; il 19% ha raggiunto un allineamento dinamico tra It e business. “L’Italia – lamenta Forzieri – è ferma agli stadi iniziali”.
In questo contesto, la tecnologia diventa il tool abilitante per una security strategy da definire con il business, assolvendo a funzioni specifiche per ogni area di intervento. “Symantec – illustra il manager Emea – mette a disposizione una serie di soluzioni, che spaziano dalla security intelligence al prodotto di simulazione delle minacce (il lancio a breve) fino alla nuova tecnologia di Advanced Threath Protection, che collega sicurezza della rete e degli endpoint, passando per i servizi di monitoraggio degli attacchi in tempo reale e le soluzioni di recovery”.
Focus su metodo e competenze: cosa chiedono le aziende
A riprova dell’interesse generato dalle problematiche di security, numerose sono state le domande pervenute dagli utenti prima e durante la diretta streaming. C’è molta curiosità riguardo all’approccio metodologico. “L’Iso:27001 è un ottimo set di controlli da cui prendere ispirazione – convalida Forzieri, rispondendo alle questioni circa la convenienza nell’adottare determinati framework -, ma gli standard devono essere considerati come linee guida, non gagliardetti da appendere alla giacca: non basta una certificazione per eludere gli attacchi, ma i modelli devono essere applicati in modo corretto e declinati nel contesto specifico”.
Su come coinvolgere il management riguardo al tema cyber security, i relatori concordano: linguaggio business, iniziative di sensibilizzazione e corsi di formazione, ricerca dell’appoggio da parte delle Lob coinvolte in processi specifici (ad esempio, la forza commerciale in caso si desiderino attivare nuovi tool di marketing ed engagment, che aprono ulteriori questioni in materia di sicurezza).
In merito alle competenze per chi oggi si occupa di sicurezza, Macinante ribadisce che la cultura della security va sviluppata trasversalmente all’intera divisione It e all’organizzazione, mentre Forzieri punta su un set ristretto di conoscenze e professionalità, molto approfondite e sempre aggiornate; fondamentale è la comprensione di come si sviluppa in concreto un attacco, per derivare l’approccio difensivo da quello offensivo.