Se sicurezza informatica significa che 8 aziende su 10 negli ultimi tempi hanno subito più di un attacco, chi si occupa di governance dovrebbe iniziarsi a porsi qualche domanda in più.
Secondo l’ultimo rapporto intitolato Corporate IT Security Risks 2016, redatto dagli analisti Kaspersky, il 39% degli attacchi sono stati di breve durata mentre il 21% delle aziende intervistate ha detto che gli attacchi sono durati diversi giorni o addirittura settimane.
La questione, ancora non risolta, della sicurezza informatica è prima di tutto la governance delle soluzioni in essere, più che la tecnologia in sè e per sè. Nelle aziende coesiste un’eterogenità di sistemi e prodotti (spesso anche ridondati) che fanno capo a diversi responsabili, cosicchè ognuno si gestisce una porzione di sicurezza con un approccio a silos che non viene granché condiviso con il resto dell’organizzazione. Idealmente, è come se la sicurezza fosse un insieme di tessere che vanno a comporre un mosaico infinito come infinita è l’evoluzione delle minacce e delle tecnologie.
Sicurezza addizionale? L’approccio a puzzle non funziona più
Le infrastrutture aziendali crescono, gli endpoint si moltiplicano. Antivirus, antispyware, firewall, honeyspot, Intrusion Detection System, Intrusion Prevention System, crittografia, backup o sistemi di autenticazione sono tasselli addizionali che vengono cablati nei sistemi aziendali e vengono più o meno aggiornati. A occuparsene difficilmente è la stessa persona, anche perché sono stati integrati in tempi diversi e con obiettivi di gestione spesso diversi: dal funzionamento delle reti alla gestione degli accessi, dal buon funzionamento delle macchine all’operatività del gestionale, dalla virtualizzazione al cloud è tutta una cascata di informazioni da governare e da proteggere.
Il risultato? Un’eterogeneità di tool, sistemi, approcci, livelli di maturità diversi. Gli amministratori sanno che è arrivato il momento di inventariare, razionalizzare e centralizzare. Metaforicamente parlando, con la gestione della sicurezza informatica sta succedendo quello che è successo in passato, quando le aziende hanno capito che per governare una pluralità addizionale di sistemi gestionali dedicati era di gran lunga meglio passare a un ERP, ovvero a un’unica piattaforma integrata di moduli interoperanti. Come è avvenuto precedentemente alla migrazione massiva verso l’Enterprise Reseource Planning, oggi con la sicurezza le aziende si trovano in quella difficile fase in cui cambiare è difficile, ma continuare è impossibile.
Sicurezza nativa? Sì, imparando a ragionare in modo nativo
Stare al passo del cybercrime è una sfida continua. Le aziende lo hanno capito e affidano a consulenti e partner specializzati la protezione di applicazioni e sistemi, preoccupandosi soprattutto di mantenere la paternità dei dati, ottemperando a normative e compliance. Altre hanno iniziato a introdurre strumenti di Threat Intelligence che, attraverso analisi automatiche, scandagliano reti e sistemi in ottica predittiva. Sempre e in ogni caso, non considerare la sicurezza come parte del core business aziendale dal punto di vista gerarchico è sicuramente sensato, ma come approccio non funziona del tutto e i risultati sono sotto la lente dei ricercatori.
Al di là dei danni economici dovuti all’interruzione dei servizi, il danno reputazionale per le aziende nel 2016 è stato che a scoprire l’attacco non è stato il personale interno: l’informazione è arrivata dall’esterno. I dati più recenti raccontano come nel 27% dei casi, le aziende sono state informate di aver subito un attacco dai loro clienti e nel 46% dei casi è stata un partner a lanciare l’allarme. Il numeri non devono soprendere, considerato come i criminali informatici di solito attacchino risorse esterne, come i portali dei clienti (40%), i servizi di comunicazione (40%) e siti web (39%).
Eppure i sistemi registrano i continuazione anomalie e mandano continuamente segnalazioni. Viene chiamato rumore di fondo perché gli alert sono tali e tanti che anche i tecnici più esperti faticano a discernere l’errore dalla catastrofe. Così si convive in base a delle gerarchie di priorità e di gravità rispetto al core business, a prescindere dalla sicurezza informatica che ogni organizzazione vorrebbe. Cosa fare?
Il Web impone un approccio olistico
Innanzitutto mettere in conto che non è continuando ad acquistare tool che oggi si può contingentare la sicurezza informatica, risolvendo la protezione dei dati e la business continuity aziendale. L’obsolescenza tecnologica impone comunque un cambiamento delle soluzioni adottate: le aziende dovrebbero approfittare del Security Lifecycle Management. Come? integrando una sicurezza nativa, partendo dalle loro infrastrutture di rete. Ogni computer, ogni applicazione, ogni dispositivo, ogni più piccolo sensore diventa un touch point connesso e comunicante che può raccontare cosa sta succedendo anche a chi si occupa di sicurezza. L’azienda oggi è estesa, ha perimetri liquidi, utenti mobili, dati e applicazioni in cloud. Il tutto va protetto e presidiato attraverso nuovi livelli di automazione funzionali, non addizionali.
Vedere ogni cosa connessa alla rete come un’unità da proteggere è un modo molto parziale di affrontare il problema. Ragionare per cluster significa rimanere ancorati alle logiche a silos. Capire cosa si può fare oggi gestendo al meglio le infrastrutture di rete e i flussi di informazioni che le infrastrutture di rete producono per gestire la movimentazione la processazione dei dati è l’inizio di una nuova governance. Serve automazione e servono analisi, ma anche integrazione, condivisione e cooperazione, che sono la declinazione di un approccio olistico.
Nessuna azienda oggi ha budget e tempo per fermarsi e rivedere tutto l’impianto della propria sicurezza. Finché non si stancherà di correre ai ripari e spendere i suoi soldi in modo addizionale. È arrivato il momento che il CISO parli con il CFO con una calcolatrice in mano.
I trend della sicurezza informatica negli USA
Guardando a cosa fanno i mercati più maturi, i trend della sicurezza informatica stanno andando verso piattaforme automatizzate che includono anche componenti di intelligenza artificiale.
Per potenziare gli sforzi e proteggere ancora meglio il cyberspazio il Dipartimento della Sicurezza Interna degli Stati Uniti d’America (Department of Homeland Security) ha realizzato e reso automatico un sistema di cyber-sorveglianza, chiamato Einstein 2, che controlla il traffico internet federale rispetto a possibili intrusioni, fornendo un’identificazione in tempo reale delle attività dannose. Il valore di questo modello è quello di essere ampliato e aggiornato da operatori del settore pubblico e del settore privato.
Gli osservatori, infatti, fanno notare come nel campo della sicurezza informatica si stia andando verso una ricerca e uno sviluppo di tipo collaborativo, finalizzato a contrastare le minacce alle infrastrutture critiche. La possibilità per il settore privato di investire, co-sviluppare e integrare tecnologie innovative nel mercato della sicurezza informatica delle istituzioni governative americane avrà un impatto significativo rispetto ai progressi anti-cybercrime.
Come sottolineano gli esperti, è in arrivo una vasta gamma di tecnologie, protocolli e soluzioni finalizzate a lavorare secondo un modello olistico, fondamentale per il successo della sicurezza informatica. Questo approccio dovrebbe essere incluso in ogni quadro organizzativo. L’integrazione e la cooperazione saranno fondamentali nell’era digitale.