Il panorama della sicurezza informatica è decisamente cambiato. L’esigenza delle aziende di sviluppare nuovi canali di contatto con i clienti e di rendere più flessibile e mobile l’organizzazione hanno reso necessario aprire all’esterno reti e accessi dati, condizione che mette in crisi i modelli di security tradizionali.
Un’indagine commissionata da Cisco evidenzia come l’apertura delle reti sia avvenuta a spese della sicurezza, creando disallineamenti tra strumenti, policy ed esigenze delle persone.
Aspetti che Cisco promette di riconciliare ricreando una visione olistica dell’infrastruttura e dotando l’IT degli strumenti per tracciare minacce, coinvolgendo gli utenti nella tutela, come ci spiega Stefano Volpi, area sales manager Global Sales Security Organization di Cisco.
Mobilità dei dipendenti, dispositivi in logica BYOD, canali online aperti a clienti e partner: cosa cambia in tema di sicurezza?
L’infrastruttura IT è oggi cruciale per lavorare in modo differente dal passato, collaborare a distanza, delocalizzare attività e quindi sviluppare il business aziendale. Ancor più lo sarà nel futuro quando si affermerà “internet delle cose” e avremo sensori in rete che agevoleranno la vita quotidiana. Tutte cose che vedono la security come fondamentale elemento abilitante di cui è necessaria una evoluzione.
In molte aziende, manager, utenti, responsabili delle infrastrutture non hanno preso coscienza dei cambiamenti e quindi della necessità di cambiare l’approccio alla gestione della sicurezza per evitare elevati rischi.
Nell’indagine che abbiamo condotto in Italia, ben il 56% degli utenti intervistati si dichiara impegnato “solo moderatamente” nel rispettare le policy aziendali di sicurezza e una persona su 14 ammette di eluderle consapevolmente. Questo ci fa capire come molte aziende abbiano oggi sostanziali problemi di allineamento tra security ed esigenze del business.
Qual è esattamente il problema?
E’ cambiato il perimetro operativo della security aziendale. Per anni si è difesa la LAN con soluzioni di firewalling, intrusion prevention (IPS), anti-malware, e così via, controllando gli accessi e facendo dell’azienda una sorta di fortino.
Oggi il perimetro è allargato a clienti e fornitori, dispositivi mobili di proprietà e in azienda girano un gran numero di applicazioni che non possono essere controllate. Oggi è impossibile difendere l’azienda da ogni minaccia, non si può evitare che malware o codice pericoloso finiscano all’interno.
La migliore strategia consiste quindi nell’evitare che queste minacce causino danni o si traducano nella sottrazione di dati, attraverso un approccio che copre i tre momenti fondamentali dell’attacco: prima, durante e dopo che è avvenuto. La capacità di tracciare a ritroso il percorso dell’attacco, dall’interno verso l’esterno dell’azienda, è la chiave per capire come avvengono le violazioni, individuare punti critici, scoprire i responsabili e dov’è finito “il bottino” dei dati sottratti.
Come cambia la responsabilità delle persone?
Molto spesso i pericoli per la sicurezza aziendale non derivano da persone che agiscono con malizia, ma dalla semplice ingenuità. A volte gli utenti si espongono inutilmente a situazioni rischiose ritenendo erroneamente di essere protetti dalla security aziendale, quando invece non è così.
In azienda entrano oggi i “nativi digitali”, persone che hanno dimestichezza e iniziativa nell’uso delle tecnologie, ma anche disinvoltura nell’aggirare le policy nel caso queste non risultino comprensibili o risultino limitanti per l’uso avanzato della rete e della comunicazione.
La tutela della sicurezza aziendale ha bisogno di comunicazione e partecipazione. C’è la necessità di far sapere agli utenti cosa è in sicurezza e cosa non lo è e quindi coinvolgerli in prima persona nelle responsabilità della tutela. Più del passato è importante la formazione per fare in modo che tutti sappiano cosa fare.
Che tipo di aiuto può dare Cisco alla costruzione di un modello di sicurezza consono con le esigenze di oggi?
Con la completa integrazione delle soluzioni Sourcefire possiamo aiutare le aziende nel percorso di cambiamento dal vecchio al nuovo paradigma della sicurezza. Ci distingue il fatto di poter avere una visione olistica di processi, asset, soluzioni e servizi professionali che servono per compiere il percorso e che comprende l’esperienza nella revisione e gestione delle policy oltre che nella profilazione degli utenti.
Abbiamo “un motore” capace di vedere dinamicamente l’infrastruttura, farne una mappa che consente di valutare e verificare cambiamenti. Dal monitoraggio di applicazioni, porte, reti o dell’attività degli utenti sono rilevate le anomalie che possono dal luogo ad azioni di rimedio. Un grande passo avanti portato dalle attuali soluzioni è la possibilità di tracciare ciò che è avvenuto durante l’attacco.
Se un tempo era possibile soltanto alzare le difese, oggi è possibile condurre indagini, trovare i responsabili e valutare i danni. Ci sono attacchi che restano silenti per mesi per poi colpire. Siamo in grado di intercettarli prima che producano un danno economico, grazie ad esperti dedicati a questa parte del processo.
Quali sono oggi le occasioni per procedere a una più completa revisione della security aziendale?
E’ il caso dell’implementazione di un nuovo data center, occasione che pone all’attenzione dei CIO e dei CFO gli aspetti relativi al modello e alla riduzione dei costi associati alla sicurezza. Un’altra occasione riguarda il consolidamento e l’ottimizzazione delle applicazioni aziendali.
In grandi aziende possono convivere anche 50 differenti tool di security, situazione che comporta scarsa efficacia e alti costi di gestione rispetto a un approccio integrato. Chi si ritrova 10-15 piattaforme diverse e tante console di gestione non riesce a garantire una buona gestione, ma nemmeno riesce ad avvalersi efficacemente dell’outsourcing o di fornitori di servizi esterni.
Cosa vedremo in futuro?
Evoluzioni ulteriori nei modelli di security adatte a reti con banda sempre più ampia. Vedremo soluzioni in grado di controllare flussi dati dell’ordine dei 100 Gbps con agent dedicati su ogni apparato utente in modo da controllare i punti di ingresso del malware ma anche di applicare azioni capillari di contrasto.
Dalla scorsa estate abbiamo rafforzato l’impegno nella security con la creazione della Global Sales Security Oganization (GSSO) che mette in campo risorse internazionali e italiane, e dispone di partner specializzati che si aggiungono a quelli già esistenti.
Vedremo ulteriori evoluzioni negli approcci della security distribuita, della profilazione e delle policy. Con l’acquisizione di Sourcefire abbiamo portato a casa il know how su Snort che è oggi uno dei più apprezzati progetti open source nel campo dell’intrusion detection. Il tool consente di scrivere policy in modo aperto e user friendly, facilitando con un linguaggio semplice e comprensibile, la creazione e l’applicazione delle regole che servono per garantire la sicurezza aziendale.
*************************************
La security nelle aziende italiane in pillole*
- Il 54% dei dipendenti non è a conoscenza delle recenti violazioni alla sicurezza di alto profilo (come ad esempio Heartbleed)
- Secondo il 61% dei dipendenti la criminalità informatica organizzata è una delle prime tre più grandi minacce alla sicurezza dei dati – mentre il comportamento dei dipendenti è al terzo posto con il 37% seguito dagli hacktivisti con il 45%
- Il 64% ritiene che la propria azienda abbia attuato policy di sicurezza, l’11% che non le abbia attuate e il 25% non ne è a conoscenza
- Il 56% degli intervistati rispetta moderatamente le policy e una persona su 14 le elude consapevolmente le policy di sicurezza IT aziendale
- Il 29% ritiene che la sicurezza IT stia soffocando l’innovazione e la collaborazione all’interno dell’azienda, rendendo più difficile fare il proprio loro lavoro
*ricerca condotta da Cisco sulla base delle risposte fornite da oltre 1.000 dipendenti di aziende italiane