Crescendo di pari passo con la vulnerabilità delle aziende, la cybersecurity, secondo l’ultimo rapporto Rapporto Anitec Assinform Il digitale in Italia 2021. Mercati, dinamiche, policy, nel 2020 è diventata uno dei digital enabler in maggiore aumento assieme al cloud. Questi due driver, uniti allo smart working che da abbozzata risposta all’emergenza deve diventare strutturale, sono gli elementi con cui giocare la partita per arrivare a realizzare un ufficio digitale realmente intelligente e anche sicuro. È una sfida che tante aziende si trovano ad affrontare impreparate e in modo inaspettato ma quello della sicurezza è un tema urgente e ZeroUno, in collaborazione con Citrix, ha scelto di dedicargli il secondo del ciclo di incontri dal titolo “Workspace Innovation Business School” offrendo spunti e opportunità per non permettere alla situazione già “a tinte fosche” di aggravarsi ulteriormente.
Dopo gli attacchi del 2020 la cybersecurity è una priorità per tutti
Guardando solo gli attacchi gravi e pubblici, la punta dell’iceberg di un fenomeno ben più ampio, dal 2019 al 2020 si è registrata una crescita del 12% in Italia accompagnato da un aumento della base imponibile delle vittime che non sono più concentrate in settori come quello bancario o infrastrutturale ma distribuite in quasi tutti. Luca Bechelli, Partner – Information & Cybersecurity expert di P4I, nonché membro del comitato scientifico Clusit e dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, commentando i dati tratti dall’ultimo rapporto Clusit riferito al 2020, ha spiegato infatti che “ciò accade grazie anche alle crypto con cui i criminali hanno imparato a monetizzare forme di attacco che prima non avevano un ritorno diretto”.
Altri trend emergenti nel panorama del cybercrime dello scorso anno, probabili criticità del futuro se non già del presente, sono l‘aumento dei malware, ora industrializzati e sempre più difficili da individuare, del phishing e delle altre formule di social engineering, pronte a punire ogni errore o distrazione umana, e anche di tutti gli attacchi su vulnerabilità note. “Gli hacker riescono a colpirci con tecniche non avanzate, è evidente la difficoltà delle imprese nel gestire anche attività di patch management e la loro lentezza fisiologica nel rispondere a nuove necessità emerse in modo imprevisto come l’emergenza sanitaria” ha affermato Bechelli dimostrando invece coi numeri la prontezza degli hacker che hanno puntato subito e fortemente su attacchi phishing legati alla pandemia, il 10% di quelli rilevati nell’intero 2020, concentrati soprattutto nei primi mesi di lockdown, con imprese e persone scosse e poco coscienti dell’allarme cybersecurity che si sarebbe scatenato.
I dati dell’Osservatorio Cybersecurity & Data Protection, promosso dalla School of Management del Politecnico di Milano, rincuorano mostrando però come sia le aziende grandi che le più piccole abbiano maturato consapevolezza. Le prime, già più allertate, fanno salire la information security tra le loro priorità di investimento, le seconde la pongono per la prima volta al centro dei propri pensieri assieme allo smart working. Ora che l’attenzione è alta ci sono tutti gli elementi per affrontare la sfida indicata da Bechelli: “entro i prossimi mesi rendere strutturale un cambiamento che finora è stato gestito in modo emergenziale e stendere una strategia amplia e completa ben consapevoli che più lavoreremo in remoto più il business potrà essere messo in crisi”.
Verso il SASE per un nuovo modello di sicurezza adatto agli uffici digitali
Da farne un uso oculato e non esclusivo per il domani è la VPN, anche se comprensibilmente utilizzata da tantissime aziende nell’urgenza di correre ai ripari quando si è trattato di passare in completo remote working in poche ore: “Fornisce rapidamente connettività sicura, ma da sola non garantisce livelli di cybersecurity adeguati e le aziende se ne sono rese conto presto trovandosi costrette a scendere a compromessi e scegliere cosa controllare e cosa no – ha spiegato Daniele Vianini, Lead Sales Engineer di Citrix – non è lo strumento principe per risolvere il problema, ci vogliono architetture diverse”.
Abbandonando l’idea di avere un castello da difendere, visto la scomparsa improvvisa di un chiaro perimetro di riferimento, è emersa la necessità di rivedere i modelli di sicurezza classici che iniziavano a scricchiolare. “La risposta in termini di sicurezza alla complessità dei workplace ibridi, alla convivenza tra applicazioni legacy e cloud native e a device di ogni tipo collegati da ogni luogo è un passaggio graduale verso il SASE – ha spiegato Massimiliano Taormina, Senior Corporate Account Manager di Citrix – questo modello permette la convergenza tra networking e security, assicura l’accesso sicuro ad applicazione e dati, semplifica fortemente la gestione della sicurezza, puntando sulla scalabilità e sulla dinamicità”.
Il SASE permette anche l’approccio “zero trust” in cui “ogni utente è sempre esterno e pericoloso e riceve il minimo possibile dei privilegi, un approccio necessario essendo sempre più interconnessi con fornitori e aziende partner, tutti possibili vettori di attacco” ha precisato Camillo Bucciarelli, Sales Engineer di Citrix, sottolineando l’importanza di “avere disposizione strumenti che siano facilmente utilizzabili per non spingere l’utente a cercare delle scorciatoie”.
Tra i vantaggi del passare la sicurezza in cloud con il SASE, oltre ad un tema di governance, ci sono anche la possibilità di tenere il passo alle nuove minacce con prontezza e di limitare i costi rispetto a soluzioni on premise poco accessibili per le PMI. La comodità e l’efficienza di questo modello non devono essere un invito alla de-responsabilizzazione per le aziende che devono infatti continuare a occuparsi della sicurezza formando e sensibilizzando i propri dipendenti.
La cybersecurity post Covid-19 non solo protegge ma crea opportunità
Nel grande processo di trasformazione digitale già avviato da Autostrade per l’Italia pronta ad investire 200 milioni di euro nei prossimi 3 anni, la cybersecurity è al centro e l’idea è quella di gestirla agendo sul triangolo tecnologie-processi-persone. “Adeguamento delle procedure, investimenti tecnologici e corresponsabilità per le persone” sono le tre principali azioni illustrate da Simone Pezzoli, Chief Information Security Officer della società, raccontando la sua esperienza in una trasformazione digitale che sta scombussolando il paradigma aziendale” vissuta in un ruolo, quello di CISO, oggi impegnato su più fronti.
Oltre alla guerra al cybercrime, questa figura si trova a giocare anche una battaglia interna “per dimostrare quanto sia significativo e impattante ciò che sta facendo in ambito sicurezza a persone per cui non è prioritaria, per vincerla il CISO deve adattare cultura, linguaggio e competenze all’organizzazione in cui opera, comprenderne il modo di ragionare e diventare curioso, facendo meno il tecnico è più la persona di business”, ha commentato Matteo Corsi, con una lunga esperienza in varie aziende nel ruolo di CISO e dal prossimo settembre CISO di Bomi Group.
Un ruolo chiave in una strategia di cybersecurity a 360 gradi è anche quello ricoperto dai responsabili di sviluppo professionale come testimonia Camilla Delle Donne, funzionario dell’area HR di INPS che ha raccontato come l’Istituto abbia avviato un importante cambio culturale trovandosi a gestire 30.000 persone di colpo in smart working e uno sforzo produttivo eccezionale per erogare le prime prestazioni e far fronte all’emergenza sociale legata alla pandemia. “Abbiamo introdotto nuove metodologie di lavoro per portare le persone a pensare in digitale – ha spiegato Delle Donne – abbiamo anche mappato le effettive consapevolezze, attitudini e competenze delle persone avviando un’intensa attività di formazione perché la trasformazione digitale è prima culturale che tecnologica”. Un lavoro importante per un rinnovamento radicale di un ente di importanza strategica per il Paese.
Anche nella ben più piccola realtà rappresentata dal Sovrano Militare Ordine di Malta assicurare maggiore protezione contro il cybercrime ha significato sì munirsi di nuovi strumenti ma anche concentrarsi sull’utente. Maurizio Pagano, Responsabile Servizi Informativi, lo ha definito infatti “la particella minima di sicurezza” sottolineando come “le soluzioni tecnologiche vanno sapute usare, la fiducia cieca nella tecnologia non basta”.
Ci si interroga quindi sullo strumento di cybersecurity ideale oggi che Bechelli ha immaginato “né ostacolo, né invito a fare click sul primo link incrociato ma capace di andare incontro all’utente per proteggerlo” mentre Vianini ha descritto come “abilitatore non solo di nuove funzionalità di protezione ma anche di una nuova consapevolezza relativa alle tante opportunità legate ad una fruizione dei dati più corretta e sicura”.
L’accesso sicuro a dati e applicazioni in un contesto ibrido oggi è una necessità
Le nuove soluzioni per la sicurezza degli uffici digitali sono o saranno sempre di più da inserire in contesti ibridi e multicloud che aumentano in modo sensibile la frammentazione delle applicazioni, spesso rilasciate in vari modi, via web mobile e altri modi. “Oltre ad aumentare la superficie di attacco cresce anche la complessità perché l’utente ha più device per accedere al dato – ha precisato Bucciarelli – possiamo semplificargli la vita offrendogli un punto unico di accesso dove trovare applicazioni, dati e possibilità di condividere con colleghi e attuare policy di controllo anche molto forti. Un workspace completo che non necessita di VPN e minimizza la probabilità di errore umano”.
Questo tipo di soluzione è in grado di gestire anche le sempre più diffuse applicazioni erogate as a service di cui non fidarsi mai ciecamente: è meglio monitorarne l’utilizzo che ne fa ogni utente attraverso servizi di security analytics che effettuano controlli proattivi. “Il tema centrale per gli strumenti di cybersecurity è che devono garantire un modello di security posture che sia consistente con le modalità di delivery implementate dall’azienda e con il percorso che sta facendo” ha sottolineato Vianini introducendo anche il caso dei servizi containerizzati per cui “il rischio è di costruire architetture applicative molto sensibili perdendo la visibilità di come interagiscono tra loro, specialmente nelle architetture a microservizi”. Per evitare l’effetto black box serve andare oltre agli strumenti standard introducendo una tracciatura automatica e algoritmi di machine learning e implementando anche un comodo sistema di orchestrazione che permetta una visibilità generale completa.
Le complessità in termini di sicurezza dei contesti ibridi e multicloud offrono un ruolo da protagonisti a intelligenza artificiale, analytics e algoritmi predittivi nell’abilitare un approccio proattivo che “non solo intercetta e correla gli attacchi – ha spiegato Taormina – ma può studiare il comportamento di ogni utente associandolo ad un profilo di rischio e lanciando un alert quando registra un discostamento da quanto atteso”.
Soluzioni di security flessibili e in cloud per gestire le complessità della digitalizzazione
Una multi-utility, ora “life company” come A2A e un’università come “La Sapienza” di Roma, entrambe impegnate in un processo di digitalizzazione anche durante l’emergenza pandemica, sono due esempi di gestione della sicurezza nella complessità attuali e ricchi di spunti.
A2A, effettuando il passaggio al cloud per migliorare time to market e flessibilità, ha dovuto implementare un forte cambio di approccio e di paradigma. Lo ha fatto “tenendo il focus sul fattore umano, utilizzando SASE e accesso sicuro – ha spiegato Alessandro Marzi, Chief Information Security Officer di A2A – e anche lavorando per portare la sicurezza adeguata all’IT centrale ma anche un layer unico con grado di maturità misurabile dal punto di vista della security verso i mondi cloud e le nostre consociate per non lasciare alcuna porta aperta ai criminali”.
Divisa in due mondi, quello amministrativo, più strutturato e organizzato, e quello didattico e di ricerca, gestito in modo più parcellizzato, l’Università di Roma La Sapienza ha implementato numerose azioni di cybersecurity illustrate da Francesco Ficarola, Cyber Security Officer dell’ateneo e che partono dall’adozione di una VPN evoluta, basata sull’identity awareness per controllare le azioni di ogni utente, fino ad un security awareness training per sensibilizzare contro gli attacchi di phishing e di social engineering, per poi prepararsi al passaggio al cloud continuando a gestire la sicurezza on premise.
“In realtà così complesse, con tante esigenze diverse che devono convivere, la battaglia della cybersecurity richiede uno sforzo più che mai importante – ha commentato Bechelli – è fondamentale potenziare la capacità di dialogo e interazione tra chi si occupa di sicurezza e chi fa evolvere le modalità con cui si lavora, per fare sì che gli strumenti di sicurezza diventino anche degli abilitatori di produttività”. Un modo per raggiungere questo nuovo scenario di cybersecurity oggi ambizioso senza prima che sia troppo tardi, è scegliere strumenti di sicurezza rilasciati su cloud. “Servono soluzioni ricche di funzionalità, in grado di offrire piattaforme di analisi correlabili e correlate e supportate da machine learning e AI per identificare eventi di sicurezza che all’occhio umano sfuggono – spiega Bucciarelli – semplificano la vita soprattutto adesso che i team IT sono sempre più ridotti ma le attività di cybersecurity necessarie non fanno che aumentare”.