Mentre lo scenario delle minacce informatiche si fa sempre più complesso e variegato, la sicurezza va costruita a partire dai fondamentali e all’interno di un disegno lungimirante, in base al livello di maturità dell’azienda. È questo l’assioma della strategia Symantec raccontata da Antonio Forzieri, Cyber Security Practice Lead, Emea della società: “Oggi – sottolinea il manager – bisogna fare i conti con il fenomeno dell’hacktivism (attacchi perpetrati in virtù di ideali e solitamente con tecniche poco sofisticate, ad esempio il Denial-of-service, che impedisce l’erogazione di un servizio da parte del sistema, o il defacing, che prevede la modifica illecita di una pagina web), il cyber crime (che genera revenue da milioni di dollari l’anno) e infine gli attacchi mirati a scopo di spionaggio e boicottaggio tra aziende competitor o tra Stati”.
Gli attaccanti, quando puntano a compromettere grandi organizzazioni, vanno a colpire le loro supply chain composte anche da piccole aziende. Così, in sostanza, è possibile sferrare l’offensiva con minor sforzo, concentrandosi sull’anello debole della catena, avendo a disposizione più tempo e una maggiore copertura, nonché sfruttando le vulnerabilità di realtà di dimensioni inferiori, con budget It ristretti e sistemi di sicurezza meno avanzati. “Le aziende controbattono spesso che nessuno è interessato a target così piccoli, ma si sbagliano; esistono solo due tipi di organizzazioni: quelle che sono già state attaccate e quelle che ancora non lo sanno”, sostiene Forzieri.
Antonio Forzieri, Cyber Security Practice Lead, Emea di Symantec La mancanza di consapevolezza è infatti uno dei punti più deboli nell’attuazione di una strategia di security efficace: “Non sempre esiste connessione tra la figura del Ciso (o il team It) e le Lob: dialogare con gli uomini di business su temi legati alla sicurezza non è semplice perché bisogna utilizzare un linguaggio meno tecnico e comprensibile ai non addetti ai lavori. Fare informazione diventa un dovere morale dei vendor. Ingaggiare le persone di business è l’ingrediente chiave della ricetta, così come definire una strategia di difesa che non includa solo tecnologie e azioni preventive, ma anche di detection delle minacce e di ripristino dei sistemi compromessi”. Si arriva così alla vision per una sicurezza olistica di Symantec in quattro pillar, Prepare, Protect, Detect & Respond, Recover [per conoscerne i dettagli si veda l’area Vendor View dell’Osservatorio Cyber Risks & Resilience – ndr] che permette di fare fronte a qualsiasi tipo di minaccia, fase di avanzamento e attaccante”. La prima regola è attuare pedissequamente le regole “abc” di sicurezza, configurando e impiegando al meglio le tecnologie di protezione già presenti in azienda e spesso sottoutilizzate. Le soluzioni di sicurezza più avanzate e innovative (come Advanced Threat Protection basate su alert e intelligence) vanno invece implementate in relazione al grado di maturità tecnologica dell’organizzazione: “Minore è lo stadio di maturità – avverte Forzieri -, maggiori saranno i ritorni derivanti dall’implementazione di una strategia di sicurezza strutturata. Certo, l’It dovrà essere in grado di convincere il management a investire: non otterrà budget proponendo un piano per mettere a regime le tecnologie ordinarie, ma piuttosto incontrerà il consenso dei decisori per prodotti più d’avanguardia”. L’abilità quindi consiste nel presentare il giusto mix tra l’abc tecnologico della security (indispensabile e non sempre ottimizzato) e i nuovi prodotti (in grado di attrarre interesse e budget). “L’importante – conclude Forzieri – è concentrarsi su poche soluzioni, che siano però allo stato dell’arte, e prendere come punto di riferimento framework e best practice: l’Iso 9001, ma anche modelli più specifici come il Pas 555:2013 [un insieme di specifiche per la governance e la gestione del rischio in materia di It security, ndr]”.
