La pandemia da Covid-19 ha improvvisamente accelerato i processi di remotizzazione del lavoro. Per comprendere la rilevanza del fenomeno, basti pensare che soltanto in Italia i 570 mila smart worker censiti dall’ultimo Osservatorio Smart Working del Politecnico di Milano, secondo i dati di Cgil e Fondazione Di Vittorio nel periodo di quarantena sono diventanti 8 milioni. Questo incremento esponenziale ha posto un problema enorme inerente la gestione del rischio soprattutto per gli accessi a distanza. Tanto che Gartner recentemente ha raccomandato, a coloro che in azienda si occupano di risk management, di investire in sistemi di multi-factor authentication (MFA) e di access management. Aggiungendo che è anche essenziale pianificare una rapida scalabilità per consentire a diversi lavoratori di usufruire di risorse anche in modalità remote working. L’emergenza, infatti, ha dimostrato quanto la carenza di una strategia di cybersecurity basata su un perimetro aziendale che vada oltre le pareti dell’ufficio abbia nuociuto nell’implementazione immediata di modelli di smart working efficaci, sicuri e subito operativi. In sostanza, quello che il virus ha messo sotto gli occhi di tutti è che eravamo impreparati ad affrontare urgenze di questa portata da tutti i punti di vista, compresa la sicurezza IT a presidio di un uso da remoto di device, applicazioni e sistemi.
La multi-factor authentication al servizio della cybersecurity
La multi-factor authentication è un elemento cardine che viene incontro alle esigenze di copertura di una forza lavoro distribuita. Poiché contempla una verifica degli accessi a più livelli, anche riuscendo a ottenere la prima informazione, quale per esempio la password, la mancanza del secondo fattore di autenticazione (dispositivo attendibile di cui è in possesso solo l’utente o parametro biometrico) rende il cyberattack meno insidioso. IDC calcola che entro il 2020 il 35% delle transazioni globali avverrà mediante tecnologie di autenticazione che sfrutteranno soprattutto modelli di riconoscimento biometrico. Questa previsione tiene conto anche della tendenza a trovare un equilibrio fra requisiti elevati di sicurezza e qualità dell’employee experience. Qualsiasi approccio di cybersecurity, infatti, non può sottrarsi a una analisi accurata dei comportamenti degli end user, per correggere le abitudini che possono mettere in pericolo da violazioni e accessi non autorizzati. Il proliferare di password suddivise per device e applicazioni, oltre a rendere poco fluido l’onboarding tutte le volte che il dipendente deve attingere alle risorse aziendali che gli servono, è un moltiplicatore di rischio. Non che la biometria debba essere considerata la panacea di tutti i problemi alla sicurezza informatica, ma il suo abbinamento a sistemi di autenticazione multifattoriale, unito a un monitoraggio centralizzato e automatico degli endpoint, rappresenta la strada maestra per una sicurezza che sia anche a prova di smart working imprevisto.
La situazione italiana dell’information security: luci e ombre
Ma qual era la situazione italiana pre-Covid riguardo alla gestione della sicurezza informatica? L’Osservatorio Information Security e Privacy della School of Management del Politecnico di Milano ne ha proposto un quadro ricavandolo da un campione di 180 grandi imprese e 518 PMI. Nel 2019 il mercato dell’information security nel nostro Paese ha raggiunto un valore pari a 1,3 miliardi di euro, con un incremento rispetto all’anno precedente che si aggira attorno all’11%. La quota principale della spesa (36%) rientra nella categoria “Network & Wireless Security”, vale a dire nella protezione della rete fisica e logica. Subito dopo, con il 20%, troviamo la sicurezza degli endpoint, di cui fanno parte postazioni fisse e device mobili, entrambe funzionali allo smart working. Al terzo posto (19%) si collocano gli strumenti di Application Security, seguiti da quelli per la Cloud Security (13%). Chiude l’elenco la sicurezza riferita ad aspetti non meglio precisati di governance (7%) e quella correlata ai dispositivi connessi nell’ambito dell’Internet of Things (5%), la cui diffusione a livello industriale e privato sta assumendo volumi significativi. Nonostante l’aumento degli investimenti sul versante dell’information security, l’Osservatorio ha riscontrato una scarsa maturità perfino nelle grandi organizzazioni italiane, desumendola dal fatto che spesso non è prevista una funzione aziendale specifica, ma è il medesimo CIO a occuparsi della sicurezza.
L’importanza di un approccio strategico alla sicurezza
Anche le realtà che possono contare su una figura come quella del CISO (Chief Information Security Officer) o equivalente, sempre secondo i dati dell’Osservatorio, sono caratterizzate da un assetto organizzativo in cui tale profilo riporta all’IT e, quindi, non ha un ruolo strategico incardinato nel board aziendale. Tra i suggerimenti di Gartner, invece, nell’adozione di misure MFA e di access management, grande importanza riveste la prevenzione, attività di natura strategica in particolare quando deve garantire la resilienza delle operazioni al di fuori degli standard. Considerata la rapidità con cui la maggior parte delle imprese si è trovata a dover passare al lavoro a distanza, una delle vulnerabilità più critiche ha investito i controlli sugli endpoint e sulle prestazioni di connettività delle macchine aziendali. Senza dimenticare un’ulteriore complicazione derivante dall’uso dei dispositivi personali, da parte dei dipendenti, in modalità BYOD (bring your own device). Queste circostanze hanno fatto affiorare piani di risposta agli incidenti e protocolli di sicurezza talvolta inadeguati durante la Fase 1. Tanto che Gartner ha caldeggiato, per quelle organizzazioni che non disponessero di un sistema interno in grado di far fronte alle urgenze, di affidarsi a un soggetto esterno quale un managed services security provider (MSSP).
Quella resilienza che serve per vincere la cyberwar
Oggi occorrono competenze e tecnologie evolute capaci di offrire uno scudo efficace contro minacce inedite a cui le aziende non erano mai state esposte. Per esempio, l’IBM X-Force Incident Response and Intelligence Services (IRIS) ha osservato, dall’11 marzo all’8 maggio 2020, una crescita dello spam a tema coronavirus superiore al 6.000 per cento. A questo si aggiunge la vendita di malware a tema virus nel dark web, la pericolosità di gran parte dei domini legati al Covid-19 registrati nel periodo di quarantena, le numerose truffe condotte tramite phishing, gli attacchi DDoS (Distributed Denial-of-Service) che in una situazione di emergenza possono risultare più dannosi perché trovano un ambiente operativo già sotto stress. IBM parla esplicitamente di cyberwar con riferimento alla guerra informatica scoppiata a causa della pandemia, che ha trovato il suo “ventre molle” nello spostamento forzato a casa di milioni di persone (316 milioni solo negli USA). Anche il ritorno auspicato alla normalità non muterà uno scenario che continua comunque a essere instabile sullo scacchiere internazionale. Per questo la soluzione può arrivare da una cybersecurity che si trasformi in cyber resilience. I piani di business continuity e crisis management, adesso più che mai, assumono il valore di asset strategici. Infatti, alla luce dell’esperienza di Big Blue le organizzazioni altamente resilienti sono quelle che riescono a fare bene tre cose: organizzare e distribuire le risorse, comunicare regolarmente e coordinare le risposte.