Milano chiama Roma per un doppio appuntamento, organizzato poco tempo fa da ZeroUno in collaborazione con Hewlett Packard Enterprise e FireEye, intitolato “Come costruire una sicurezza end-to-end” e dedicato alla cybersecurity finalizzata a garantire la protezione del dato lungo tutti i processi aziendali.
“Stiamo traguardando un modello di business a base digitale che sarà sempre più centrale nelle strategie delle aziende – afferma Stefano Uberti Foppa, Direttore di ZeroUno e Chairman dell’Executive Dinner lombardo -. Secondo Gartner (marzo 2016), il 21% del fatturato nel settore privato è generato da progetti e servizi digitali; nel 2020 questo dato salirà al 41%”. Uberti Foppa cita cloud, mobility, analytics e social media come le ormai note forze dirompenti che hanno accelerato la crescita esponenziale delle informazioni: “Dal 2011, in media, il volume dei dati (per l’85% destrutturati) all’interno delle aziende lievita del 40% anno su anno. Su questa base informativa, si sviluppano nuovi modelli di business e in questo scenario cambiano le esigenze di sicurezza: serve una strategia end-to-end coerente, dinamica e sostenibile, costruita a partire da un assessment profondo, per capire il vero stato di vulnerabilità dell’azienda, e con un approccio corretto a tecnologie e practice, ma anche sul piano culturale”.
A fornire un quadro completo sulla cybersecurity internazionale è Luca Bechelli, membro del Direttivo e del Comitato Tecnico Scientifico del Clusit, che snocciola i risultati dell’ultimo Rapporto stilato dall’associazione: crescono soprattutto gli attacchi di Advanced Persistent Threats e Sql Injection, ma anche DDoS, Phishing e Social Engineering. A fronte dei danni estremamente costosi generati da un attacco (mancata compliance, perdita di reputazione, spreco di risorse, furto di proprietà intellettuale ecc.), Bechelli offre una serie di consigli comportamentali sulla sicurezza, che poggiano su prioritizzazione degli interventi, condivisione delle informazioni sulle minacce, visibilità estesa su tutti gli asset It.
Criticità di detection e response
Dall’evento meneghino, Marco Rottigni, Consulting SE di FireEye, offre una panoramica sulla cybersecurity dal report Mandiant (vedi box in basso): “Secondo le nostre statistiche, un’azienda impiega mediamente 146 giorni (59 in meno rispetto all’anno precedente), prima di accorgersi di essere vittima di un attacco mirato. Un tempo lunghissimo che permette all’attaccante di conoscere le vulnerabilità dell’azienda. In risposta serve un’intelligence altrettanto forte, dove la tecnologia offra supporto a chi si occupa di sicurezza. Attaccanti e difensori sono entrambi umani, non macchine: serve studiare il nemico e capirne le strategie”.
Rottigni elenca una serie di trend rilevati nel 2015: “Il focus degli attaccanti è sul furto delle credenziali; le aziende hanno scarsa capacità di individuare attacchi mirati; c’è poco controllo sulle linee in uscita (aumenta il rischio di furto dei dati); gli attacchi sfruttano sempre più spesso le vulnerabilità dei dispositivi di rete e si concentrano sul furto di informazioni personali”.
Da Roma, il collega Daniele Nicita, Consulting Systems Engineer dell’azienda, aggiunge altre sottolineature: “È impossibile ottenere visibilità totale sugli attacchi mirati: nel momento in cui gli attaccanti sono determinati e hanno sufficienti risorse, riusciranno a fare breccia; non bisogna più domandarsi se verremo attaccati, ma quando. È quindi fondamentale creare meccanismi e procedure per la gestione di incidenti. Bisogna inoltre essere capaci di imparare dagli errori: fare analisi a posteriori, a valle di un incidente, per capire quali sono state le cause di vulnerabilità (tecnologiche, procedurali ecc.)”.
Alla luce del contesto descritto, la strategia proposta da FireEye spinge verso l’utilizzo di soluzioni Iam (come fa notare Nicita, fatta breccia, l’obiettivo degli attaccanti è fare escalation dei privilegi ovvero acquisire il controllo di risorse normalmente precluse a un utente / applicazione, sfruttando le falle del sistema per eludere le autorizzazioni di accesso) e la costruzione di un sistema coordinato di tecnologie e persone, in prevenzione e risposta agli incidenti. “È questo – sottolinea Rottigni – il valore che possiamo portare attraverso la partnership con Hewlett Packard Enterprise”.
Security totale e intelligence
La vision della multinazionale californiana in merito alla sicurezza end-to-end viene spiegata da Hila Meller, ESS Sales Leader e Federico Santi, Security Principal South EMEA della società, rispettivamente da Milano e Roma. “Il business – dice Meller – è digitalizzato, le Lob spingono al cambiamento attraverso l’It, i vincoli di compliance sono stringenti: la situazione diventa sempre più complessa. La sicurezza non deve essere un one-time effort perché le minacce cambiano continuamente, ma deve seguire un ciclo dinamico e coprire tutte le fasi dell’attacco, all’interno di una strategia che parte dall’assessment per verificare criticità e necessità dell’azienda”. Santi insiste sulla security come elemento endemico dei processi aziendali: “La sicurezza si è concentrata tradizionalmente su perimetro e infrastrutture, ma oggi le informazioni e gli utenti sono distribuiti ovunque. La nostra forza è la copertura end-to-end degli aspetti di security, con un’offerta tecnologica non vincolata a un singolo vendor o prodotto. Abbiamo anche tutto un portfolio di servizi gestiti e dieci global Soc (centri operativi di sicurezza informatica con servizio 24×7)”.
L’offerta della multinazionale di Palo Alto parte dai servizi di consulenza per la definizione della security strategy, per declinarsi attraverso soluzioni e tecnologie orientate alla protezione dei dati, applicazioni e infrastrutture, passando per l’intelligence.
Proprio l’intelligence diventa il punto di attenzione chiave nel più ampio contesto della cybersecurity. “Nell’ultimo lustro si sono verificati 5.000 attacchi gravi conosciuti, con un aumento del 100%, perpetrati con metodi di sofisticazione avanzati, complessi da rilevare – fa notare Nicoletta Boldrini, giornalista di ZeroUno e chairman dell’evento romano, che prosegue: “In uno scenario dove il comportamento dell’utente giocherà un ruolo sempre più importante per la cybersecurity, bisogna costruire una strategia di sicurezza adattiva, dove l’intelligence può abilitare decisioni in tempo reale o addirittura automatismi in grado di prevenire l’esposizione ai rischi”.
“Le tecnologie [minacce, asset da difendere, trend come IoT, ndr] cambiano – aggiunge Nicita -, per questo bisogna fondare le strategie di difesa su uno strato di intelligenza centralizzato e allargato alla base, che si connetta con qualsiasi tipologia di business e settore”.
Esperienze di sicurezza: parlano le aziende
Come consuetudine degli eventi ZeroUno, il dibattito si estende ai partecipanti in sala, professionisti It delle imprese italiane. A Milano, un primo giro di tavolo ha sondato lo stato dell’arte della cybersecurity nel Finance.
In Credito Valtellinese è stato intrapreso un percorso di sicurezza end-to-end, partito dall’assessment. Claudio Brisa, Responsabile del Servizio Sicurezza Logica del Gruppo Bancario, ha sottolineato l’importanza del commitment del management aziendale in progetti di questo tipo, individuando tra le maggiori criticità la mancanza di awarness degli utenti rispetto ai temi legati alla security e ai comportamenti a rischio.
“La sicurezza va costruita in base agli utenti, alle peculiarità dell’azienda, ai business channel”, suggerisce Giuseppe Galati, Head of Business Relationship Management & Sicurezza di Mediobanca Innovation Services -. “In Italia, circa il 10% dei clienti non va più in filiale, ma accede al proprio conto dai canali digitali. Significa insomma, che i dati bancari escono dal datacenter e vengono distribuiti su una pluralità di touchpoint, alzando i livelli di rischio”.
Nel nuovo contesto, la sicurezza deve essere intrinseca ai nuovi servizi: “Il nostro team – dice Galati – siede direttamente al tavolo per la definizione dei nuovi progetti: un’applicazione oggi non va in produzione se non incorpora tutti i pilastri di sicurezza necessari e ha superato i test”.
Francesco Tusino, IT & Infrastructure Manager di Cnp Assurances, concorda sulla sicurezza come ciclo continuo, che deve essere connaturata al nuovo prodotto o servizio: “Fondamentale è promuovere la consapevolezza del rischio presso il management: i danni di una violazione possono superare i ritorni di un go-to-market più veloce”.
Da Roma, anche l’intervento di Massimiliano Testa, Responsabile Technology Security di Wind è emblematico rispetto al valore strategico della sicurezza: “Come Telco siamo un’infrastruttura critica e deteniamo i dati dei clienti: su questi obiettivi si concentrano le strategie preventive e protettive sviluppate negli anni. I nostri sforzi sono diretti anche a fare awarness sui temi di sicurezza presso gli utenti, soprattutto viste le interazioni tra azienda e mondo esterno”.
Dalle considerazioni emerse, si evidenzia chiaramente un cambio di mindset delle imprese rispetto alle problematiche di sicurezza, come fa notare Marco Riboli, Vice President South Europe di FireEye, intervenuto all’Executive Dinner milanese: “Rispetto al passato anche recente, le aziende oggi sono molto più consapevoli di potere essere attaccate indiscriminatamente. Il cambio culturale è netto e le organizzazioni iniziano ad analizzare il livello di esposizione al rischio e la capacità di risposta alle minacce”. Secondo Riboli, le soluzioni di incident response proposte da Hpe / FireEye offrono alle aziende gli strumenti per aumentare la reattività agli attacchi, “affidandosi a dei veri esperti di cybersecutity all’interno di un modello di outsourcing controllato”.
Business vs It: chi è il vero freno?
A questo punto, viene da chiedersi se, nel nuovo contesto, le aziende siano pronte ad andare verso un approccio strutturato alla security e chi, tra Lob e It, sia il vero promotore di una nuova security strategy. Il tema è stato al centro del dibattito sia nel capoluogo lombardo sia nella capitale.
“Non tutte le aziende e i settori hanno un approccio olistico alla sicurezza, che è spesso appannaggio delle multinazionali o dei grandi gruppi italiani – dice Alberto Ronchi, Direttore Sistemi Informativi di Fondazione Istituto Auxologico Italiano, durante la tavola rotonda milanese -. Nelle medie e piccole realtà, il management sostiene spesso che la sicurezza sia un problema esclusivamente It e la compliance rimane in molti casi il vero e unico driver di spinta per l’adozione di misure protettive”.
“Stiamo assistendo a un cambiamento culturale importante – testimonia invece Galati -: il board ha compreso le problematiche di sicurezza e non si limita a considerarlo un problema strettamente tecnologico, mentre fanno più fatica ad adattarsi ai nuovi processi le persone It più ancorate all’approccio tradizionale”.
“Il business oggi – afferma Meller – è più aperto e ricettivo verso le questioni It, non bisogna inoltre dimenticare che non è più solamente il dipartimento It a comprare tecnologia. Secondo Gartner – riporta infatti Uberti Foppa – entro il 2018 circa il 50% della spesa It sarà in capo alle Lob. Si spera quindi in una visione più strategica degli investimenti tecnologici, anche sul fronte della sicurezza. In questo scenario, il Cio dovrà giocare una partita importante sul fronte di una nuova capacità di consulenza It orientata al business”.
Sempre sul tema delle competenze e dei cambiamenti interni, Nicla Ivana Diomede, Responsabile Progettazione Reti e Sicurezza ICT dell’Università degli Studi di Milano, sostiene che il problema della sicurezza non è tanto legato alle tecnologie (che oggi ci sono), quanto a una questione di riorganizzazione interna rispetto a competenze e responsabilità (chi deve essere il referente, a chi bisogna riportare?), con l’It che soffre per il cambio di approccio del business portato dalla digitalizzazione.
“La sicurezza – fa eco da Roma Chiara Rosa Acquaviva, Responsabile Scg.Cdt – Cert e Dati Tutelati di Sogei – non è un problema tecnologico, ma anche molto organizzativo e culturale”. “La tecnologia c’è a livello di disponibilità – è il commento di Bechelli -, ma a volte non è implementata dove serve”.
“Le aziende – interviene Santi – spesso investono in tecnologia e solo successivamente vi costruiscono intorno la soluzione: questo non si rivela un approccio efficiente”. “La tecnologia senza procedure alla base è destinata a fallire – chiarisce Nicita -.
Più l’azienda è matura a livello di cybersecurity, più utilizza policy e processi e più le tecnologie di sicurezza hanno successo”. “Stiamo parlando di intelligence – si inserisce Boldrini -, di sicurezza investigativa, per operare realmente in modo predittivo e non reattivo, di difesa. La tecnologia che consente di approcciare la security in questo modo c’è, ma forse le aziende ancora non hanno fatto il passo culturale per agire di conseguenza”.
Anche Flavio Tavarnelli, Comunication & Security Manager di Irccs Humanitas, solleva la necessità di andare verso un approccio predittivo alla sicurezza, per rispondere con tempestività alle minacce in continua evoluzione.
“L’intelligence – dice Rottigni – abilita queste capacità predittive, permettendo di capire a priori superficie di attacco e le motivazioni che rendono l’azienda un target appetibile, così da organizzare le risorse e prioritizzare gli interventi preventivamente”.
Vero una strategia con l’aiuto del partner
Francesco Amendola, Service IT Operations Manager di Adria Gaming, intervenuto all’evento romano, sottolinea la “difficoltà nel mettere ordine a processi, responsabilità, competenze nella definizione delle procedure e strategie di sicurezza: il primo step per uscire dall’impasse è fornire regole base comprensibili agli utenti, per poi arrivare a costruire una “governance matura” a livello di procedure e tecnologie. La sicurezza non deve essere intesa come risposta al singolo incident, ma piuttosto una strategia strutturata”.
Alberto Piscitelli, Responsabile Continuità Operativa di Ats della Città Metropolitana di Milano, conviene sulla questione delle responsabilità per cui la persona in capo alla sicurezza deve avere una visione trasversale sui processi aziendali, perché proprio dalla conoscenza e mappatura delle dinamiche e attività del business è possibile valutare il rischio. “L’approccio alla sicurezza – conclude – deve essere a 360 gradi per coprire tutti gli aspetti, dalla comunicazione dell’incidente al ripristino dei sistemi”. Bisogna insomma affidarsi a un partner che non solo offra una soluzione con le funzionalità ricercate, ma sappia realmente declinare la security all’interno dei processi e nel rispetto delle policy aziendali.
Secondo Riboli, compito del fornitore è capire il livello di maturità delle aziende rispetto alla sicurezza e fornire risposte commisurate, anche data la difficoltà di reperire oggi sul mercato esperti di cybersecurity all’interno delle aziende. “Il nostro sforzo – puntualizza – è trovare e mettere a disposizione dei clienti risorse estremamente competenti sui temi della sicurezza, per offrire un servizio di qualità sia alle aziende meno preparate sia alle organizzazioni già mature, che però intendono delegare all’esterno le operazioni meno strategiche e più ripetitive”. “Il ruolo del vendor – conviene Bechelli – è proprio sopperire agli skill interni mancanti”.
Hpe e FireEye per una sicurezza strutturata e predittiva“Oggi la security non è un problema che riguarda solo Cso e Cio, ma è una questione fondamentale per il business, che coinvolge l’amministratore delegato all’interno di organizzazioni private e pubbliche e tocca temi di compliance, audit, protezione di dati. Gli attaccanti non colpiscono più solo le infrastrutture It delle aziende, ma il patrimonio informativo, creando necessità di protezione anche dell’utente finale”. Sergio Colella, Vice President and General Manager South Emea di Hewlett-Packard Enterprise Services, riassume così la vision della multinazionale di Palo Alto in merito alle strategie di sicurezza che devono essere sempre più a 360° e basate su approcci e funzionalità di intelligence. L’offerta di cybersecurity della società spazia dalle soluzioni di gestione (Security Information and Event Management, Security Monitoring, Crittografia dei dati, gestione delle chiavi e protezione dei dati) alle soluzioni per la difesa degli endpoint, delle applicazioni e delle reti, servizi di assessment e consulenza. Con il lancio della Cyber Reference Architecture (Cra), Hpe ha reso disponibile un insieme di policy, capabilities e best practice di sicurezza, composto da 12 domini, 63 sotto-domini e oltre 350 funzionalità diverse di sicurezza. La corporation californiana offre un servizio di intelligence per la gestione delle minacce in partnership con Mandiant, una società di FireEye. FireEye è una società della Silicon Valley che propone una piattaforma di sicurezza basata su macchina virtuale, in grado di fornire protezione real-time contro gli attacchi informatici di nuova generazione. Mandiant offre competenze e tecnologie per rilevare, prevenire e gestire gli attacchi grazie a un sistema di intelligence alla base che monitora i clienti di FireEye a livello globale 24 ore su 24. Attraverso i dati autogenerati da milioni di sensori di rete ed endpoint, il team di ricercatori dell’azienda raccoglie e analizza informazioni provenienti da casi concreti di risposta agli incidenti, mettendo a disposizione conoscenze preziose, condivise attraverso report periodici, sugli aggressori e le modalità di attacco. |