“In questo momento le imprese si trovano pressate tra due forze, due placche tettoniche che cozzano l’una contro l’altra: da una parte devono fronteggiare la necessità di totale apertura grazie alla digitalizzazione pervasiva della società, non nell’accezione della ‘open enterprise’ cui siamo abituati a pensare, ma nel nuovo paradigma della ‘connected enterprise’ con particolare attenzione al cliente per cogliere quello che Gartner identifica come il ‘business moment’; l’altra forza contrastante è rappresentata invece dalla criminalità informatica che, proprio dai nuovi scenari di digitalizzazione e connessione delle imprese, intende trarre vantaggio”.
Esordisce così Patrizia Fabbri, caporedattore di ZeroUno, aprendo i lavori di un recente webcast intitolato “Come realizzare un Enterprise Security Framework” spiegando, anche attraverso alcune evidenze numeriche, quale sia oggi il quadro complessivo delle minacce e della cyber-criminalità organizzata: “Secondo le stime del Center for Strategic and International Studies le minacce informatiche provocano a livelli mondiali danni che si possono collocare tra il 15 e il 20% del valore complessivo generato da Internet che, annualmente, si attesa attorni tra i 2 e i 3 trilioni di dollari. L’attività criminale genera introiti ormai pari allo 0,8% del PIL mondiale – aggiunge Fabbri -; per darvi un’idea, si avvicina alle cifre di quella che viene considerata una delle attività più lucrose della criminalità organizzata, lo spaccio di stupefacenti”.
Anche facendo la fotografia dell’Italia i dati risultano allarmanti [dal recente rapporto Clusit 2015 emerge che su circa 1600 aziende italiane il 90% ha subìto almeno un attacco informatico nel corso del 2014 – ndr] e non sembra ci sia sufficiente consapevolezza a livello di istituzioni per contrastare il fenomeno attraverso una strategia di sistema paese; “cosa che invece accade negli Stati Uniti – ricorda Fabbri -: proprio il mese scorso il Presidente Obama ha istituito una task force contro la cyber-criminalità analoga a quella che era stata organizzata dopo l’11 settembre 2001 contro il terrorismo”.
Approccio metodologico: i tre punti cardine
Riuscire oggi a difendersi in uno scenario così complesso, senza tuttavia perdere le indubbie opportunità che i nuovi contesti di Digital Business offrono alle aziende, significa agire su più livelli. A spiegarlo è Alessandro Piva, responsabile ricerca dell’Osservatorio Information Security & Privacy del Politecnico di Milano: “È necessario ragionare in termini di framework metodologico, tenendo conto di tre punti chiave principali: 1) la definizione di una strategia e dell’architettura dei sistemi informativi; 2) l’identificazione e l’assegnazione di ruoli e competenze per la gestione della sicurezza; 3) avere ben chiare le aree tecnologiche su cui intervenire”.
Incalzato su questi aspetti anche dalle domande degli utenti collegati al webcast durante la tavola rotonda virtuale, Piva ha poi dettagliato per ciascuno di questi punti gli aspetti di maggior rilevanza. “Definire le architetture dei sistemi informativi significa identificare, da un lato, le infrastrutture e i modelli di riferimento su cui l’azienda intende puntare per sviluppare il proprio business (oggi sappiamo essere al top nelle agende sia dei Cio sia dei top executive gli aspetti di cloud e mobility), dall’altro, le tecnologie di sicurezza atte a garantire lo sviluppo evolutivo dei sistemi informativi e del business (Governance, Risk & Compliance, Identity & Access Management, ecc.)”.
Si parla invece di definizione di standard di riferimento, di una strategia di privacy e del relativo budget, della mappatura delle competenze necessarie nonché della scelta del modello di sourcing corretto di tali competenze, quando nella messa a punto di un corretto ‘Enterprise Security Framework’ ci si riferisce alla designazione di ruoli e competenze specifiche per la governance della sicurezza, soprattutto oggi in contesti così complessi come quelli delineati nella prima fase del webcast sia da Patrizia Fabbri sia da Alessandro Piva.
Entrando poi nel merito degli aspetti tecnologici, Stefania Iannelli, system engineer di Palo Alto Networks Italia evidenzia come si stiano sempre più evolvendo le minacce e con che metodi le organizzazioni criminali sferrano i cyber-attacks, spiegando poi come, sul piano tecnologico, “Si deve ragionare su più livelli differenti per riuscire a prevenire e bloccare gli attacchi ad ogni singolo stadio di quella che ormai possiamo chiamare ‘the kill-chain’, ossia la catena lungo la quale si sviluppa la minaccia (ingresso nel perimetro aziendale, delivery del malware, movimenti ‘laterali’ all’interno dei sistemi informativi, esportazione di dati/informazioni)”.
Cloud e mobility: opportunità, se colte in sicurezza
Come abbiamo più volte descritto sulle pagine e nel sito di ZeroUno, le aziende sono sempre più alle prese con una ridefinizione dei propri modelli di business secondo parametri di flessibilità, velocità, variabilità continua, personalizzazione di offerta, innovazione digitale. Dal punto di vista dell’It, tra le risposte prioritarie a queste esigenze, il modello cloud e la mobility rappresentano due capisaldi fondamentali, così come hanno confermato gli utenti collegati al webcast che proprio su questi due principali temi hanno chiesto risposte ai relatori, soprattutto per comprendere come far evolvere i propri sistemi di sicurezza. Antonio Iannuzzi, country manager Italy & Malta di Palo Alto Networks spiega come “la maggior parte delle attuali architetture di sicurezza di rete è rappresentata da una serie di tecnologie che negli anni sono state inserite al fine di coprire alcune inefficienze di sicurezza che si sono create nell’arco del tempo, creando una sorta di approccio ‘a silos’ (ossia a problema specifico si risponde con tecnologia specifica)”.
Con l’evoluzione degli attacchi precedentemente descritta questo tipo di architetture mostra diversi punti di debolezza che riassumiamo in tre elementi principali, attraverso i quali Iannuzzi offre agli utenti del webcast le risposte sollecitategli:
1) visibilità limitata: non puoi proteggere quello che non vedi. “L’architettura di sicurezza deve avere la capacità di riconoscere tutte le applicazioni, gli utenti e i dispositivi della rete per prevenire attacchi che sfruttano porte di accesso alla rete non standard e/o protocolli particolari nonché traffico criptato per sfuggire all’approccio a silos”, spiega Iannuzzi. “Deve inoltre essere in grado di riconoscere nuovi attacchi mai visti fino a quel momento e che utilizzano meccanismi come malware, exploit, zero-day attacks, minacce sofisticate, ecc.)”.
2) difficoltà di correlazione: “in presenza di un attacco multi-vettoriale, l’infrastruttura di sicurezza deve agire come un ‘unico sistema’ in grado di ragionare con un unico punto di analisi e prendere le decisioni corrette rispetto alla tipologia dell’attacco in atto”, dettaglia ulteriormente il manager di Palo Alto Networks.
3) intervento manuale: “in mancanza di un automatismo di prevenzione e reazione immediata il rischio che l’attacco vada a buon fine e crei danni irreparabili è molto elevato (il 90% dei danni avviene entro le 24 ore)”, spiega in chiusura Inannuzzi. “Ecco allora che gli elementi per trarre il massimo beneficio da cloud e mobility, senza esporre l’azienda a rischi di cyber-attacks, sono rappresentati da un’enterprise security framework che tenga conto, in un’unica vista e attraverso un unico meccanismo di governance, alimentato da automatismi che diminuiscono il rischio degli interventi manuali e accelerano le fasi di intervento ove necessario, di ogni singolo ‘punto’ di protezione: infrastruttura aziendale, applicazioni, dati, dispositivi e utenti”.