Il tema dell’abbattimento dei silos non riguarda solo dati e applicazioni. In un ecosistema IT sempre più complesso, la capacità di “contaminare” competenze e ruoli è diventata una necessità stringente, soprattutto quando si parla di sicurezza informatica. E se un tempo si considerava la security come un elemento accessorio, calato come un cappello sulle infrastrutture di Information Technology esistenti, oggi i CIO affrontano il tema con un approccio più lungimirante, che mette la sicurezza al centro della strategia stessa di sviluppo aziendale.
La centralità del digitale
Come spesso accade, la maturazione di una maggiore sensibilità in tema di sicurezza informatica affonda le sue radici non tanto in un’astratta adesione alle best practice, quanto in una valutazione costi/benefici che ormai non lascia più spazio a dubbi sulla necessità di prendere sul serio il tema della security.
Uno scenario su cui impattano due aspetti. Il primo è rappresentato dall’accelerazione del processo di digitalizzazione che ha interessato ogni settore. “Il periodo del Covid ha cambiato tutto anche per chi si occupa di istruzione” spiega Giuliano Pozza, CIO di Università Cattolica del Sacro Cuore. “Se prima gli strumenti digitali avevano un ruolo di secondo piano, il periodo pandemico ci ha obbligati a sfruttare in maniera intensiva le nostre infrastrutture IT per offrire servizi e strumenti agli studenti. È un’evoluzione da cui non si torna indietro, che ha radicalmente cambiato il modo di lavorare dei docenti e l’impatto che i servizi informatici hanno sull’attività dell’università”.
L’attenzione per la security, secondo il manager, è una diretta conseguenza della centralità assunta dal digitale nell’attività didattica. “Un blocco dovuto a un incidente di sicurezza avrebbe conseguenze notevoli, soprattutto a livello di percezione della qualità del servizio. Gli studenti, sotto questo aspetto, sono estremamente esigenti e pretendono un’efficienza simile a quella dei servizi di streaming video come Netflix o dei social network. Insomma: con benchmark di riferimento simili, impegnarsi sulla security diventa un obbligo” chiosa Pozza.
Lo spauracchio ransomware
Il secondo aspetto, ma non è una sorpresa, è il proliferare degli attacchi che prendono di mira le aziende. Protagonista assoluto il ransomware, che secondo un recente studio di Akamai ha segnato un aumento del 77% su base annua delle vittime nell’area EMEA. Emerge un aspetto particolarmente preoccupante: secondo i dati raccolti dall’azienda statunitense, si sta anche assistendo a grossi cambiamenti per quanto riguarda il vettore di attacco. Se l’uso del phishing è ancora rilevante, sono infatti in aumento le tecniche che sfruttano prevalentemente vulnerabilità conosciute nei sistemi.
Un dato che richiama immediatamente il tema dell’obsolescenza. “Troppo spesso ci troviamo a dover gestire sistemi legacy sviluppati internamente e che difficilmente possono essere aggiornati o sostituiti” sottolinea Paolo Palma, CIO di Present. “In questi casi è indispensabile adottare strategie ‘alternative’, isolando tutti gli applicativi a rischio”.
Il fattore umano
Se tecnologia e policy possono aiutare a mitigare il danno per questo tipo di minacce, la gestione degli attacchi basati su social engineering è ben più problematica. “Eseguiamo corsi di formazione costantemente – prosegue Paolo Palma – ma superare le resistenze degli utenti in alcuni ambiti è difficile, anche quando si stratta semplicemente di implementare sistemi di autenticazione multi-fattore. Insomma: siamo ancora ben lontani dall’interiorizzazione di quelle regole di base che consentono di ridurre il rischio di attacchi”.
La necessità di tenere sotto controllo i comportamenti degli utenti aziendali è in cima alle preoccupazioni dei responsabili IT a qualsiasi livello, al punto che anche i risultati positivi di assessment e penetration test non lasciano tranquilli.
Luci e ombre del cloud
A impattare sulla sicurezza delle aziende c’è anche l’affermazione dei servizi cloud. Al di là degli innegabili vantaggi, anche in termini specifici di sicurezza, l’utilizzo dei servizi “on demand” porta ad alcune problematiche specifiche. “Oltre alla preoccupazione legata al comportamento ‘poco responsabile’ degli utenti, uno degli aspetti su cui ci stiamo concentrando in azienda è quello dello shadow IT” spiega Daniele Massara, Head of IT di Contarina.
Il tema, sollevato sempre più spesso dagli addetti ai lavori, è quello della facilità con cui è possibile perdere il controllo della situazione. “Quando un servizio viene attivato all’insaputa del reparto IT, la superficie di attacco aumenta proporzionalmente. Gli utenti, quindi, non devono solo essere educati a evitare comportamenti potenzialmente dannosi. È necessario anche sensibilizzarli riguardo la necessità che il settore IT possa avere la massima visibilità sugli strumenti utilizzati. Si tratta di un equilibrio delicato, in cui l’IT deve riuscire a trovare il giusto bilanciamento tra l’autonomia degli utenti e il rispetto delle policy” conclude Massara.
I danni maggiori? Quelli legati alla Business Continuity
Se il rischio di trovarsi “incastrati” dalla richiesta di riscatto è in calo, rimane il tema delle ripercussioni sulla continuità operativa. Un aspetto che, naturalmente, ha maggiore o minore impatto a seconda del tipo di attività dell’azienda.
“In un settore come il nostro la business continuity è fondamentale” spiega Mario Martinelli, CTO di SISAL. “Il fattore tempo per noi è fondamentale e anche un semplice attacco DDoS può rappresentare un notevole problema. Con l’avvento dei ransomware, la situazione si è ulteriormente complicata. Sui nostri sistemi abbiamo più di 700 applicazioni e mantenerle operative 24/7 è un compito decisamente impegnativo”.
Un ragionamento simile, anche se in un settore con caratteristiche diverse come l’ospitalità, viene portato avanti da Stefano Borelli CIO di Starhotels. “Utilizziamo servizi centralizzati per avere un maggior controllo dei dati in nostro possesso, ma la garanzia di un’effettiva business continuity passa necessariamente per l’applicazione di rigorose policy in termini di backup. I sistemi che abbiamo implementato ci permettono di recuperare i dati fino a un anno di distanza” spiega.
Tutto intorno al backup (immutabile)
Mentre la capacità degli utenti di cogliere la centralità della cyber security rimane un problema, le buone notizie arrivano dal livello di consapevolezza degli addetti ai lavori. In particolare, i CIO italiani sembrano aver fatto proprio il concetto per cui non bisogna chiedersi “se” si subirà un incidente di sicurezza, ma “quando” questo accadrà. In altre parole, alla prevenzione degli attacchi si accompagna una grande attenzione alla capacità di avviare un processo di disaster recovery “a prova di bomba”.
Policy e procedure sono indispensabili per garantire una reazione efficace e tempestiva, ma molte delle preoccupazioni dei CIO si concentrano sulle caratteristiche tecniche delle soluzioni di backup. In particolare, l’esigenza di avere a disposizione copie immutabili, che non possano cioè essere eliminate o alterate dai pirati informatici. Un rischio legato al modus operandi adottato sempre più spesso dai cyber criminali, che mirano in questo modo a ottenere una “leva” estremamente efficace per l’estorsione.
Il nodo di costi (e budget) per la security
Tanta attenzione per la sicurezza informatica, quindi, ma anche la necessità di riuscire a “tarare” correttamente gli investimenti. Passati i tempi in cui la cyber security veniva sistematicamente penalizzata, oggi i CIO possono contare su una maggiore consapevolezza anche tra i “non addetti ai lavori”.
Resta il tema di trovare l’equilibrio ideale nella scelta e portata degli investimenti. “Nella mia esperienza è indispensabile riuscire a definire quali servizi siano critici e quali possano avere tempi di recovery meno stringenti” spiega Massimo Pernigotti, CIO di Edison. “La scelta degli strumenti avviene di conseguenza”.
Un approccio che fa leva anche sull’outsourcing, soprattutto per la gestione di ambienti complessi come il cloud. “Il rapporto con i fornitori che gestiscono i servizi critici è tale da offrire ormai la possibilità di stipulare contratti in cui è prevista assistenza e gestione h24” sottolinea Pernigotti. “Lavorare con loro come se ci si rapportasse con un’estensione dell’azienda è un aspetto fondamentale per garantire la sicurezza dei sistemi e la business continuity”.
Normative e certificazioni? I CIO le apprezzano
Tra i fattori che hanno impattato maggiormente sulla “nuova” consapevolezza in tema di security, ci sono anche le normative (a partire dal GDPR) introdotte in ambito comunitario e internazionale. Percepiti in un primo momento con un certo “fastidio”, sembra che oggi regolamenti e certificazioni abbiano un ruolo ben diverso.
Prima di tutto perché rappresentano un elemento di certezza in un settore in cui è molto difficile avere riferimenti chiari. “In un settore fortemente regolamentato come quello in cui operiamo (servizi per la Pubblica Amministrazione – ndr) avere un framework di riferimento è fondamentale” sottolinea Giuliano Rorato, CIO di Abaco. “In particolare, le indicazioni dell’Agenzia per l’Italia Digitale (AGID) e dell’Agenzia Cybersicurezza Nazionale (ACN) obbligano ad adottare una strategia basata su security by design e security by default e a rispettare precisi requisiti per rafforzare la sicurezza informatica, temi fondamentali quando si parla di sicurezza. Lo stesso, sottolinea Rorato, vale per certificazioni come ISO 27001. Tanto più che, con le certificazioni, arrivano anche gli obblighi di eseguire assessment e test periodici.