Quali sono gli approcci più efficaci che le aziende possono oggi adottare per una sicurezza informatica che tuteli business, persone e asset? L’argomento è stato sviscerato nel corso di un recente Webinar organizzato da ZeroUno in collaborazione con Dedagroup. L’evento, dal titolo Modelli e processi per una IT security condivisa e a valore di business, è stato moderato da Valentina Bucci, giornalista di ZeroUno, e ha visto quali relatori della prima parte (la seconda è stata dedicata a una tavola rotonda che ha coinvolto anche i partecipanti al webcast), Claudio Telmon, membro del comitato direttivo Clusit, e Cristina Cecere, Information Systems Projects Manager Dedagroup.
Bucci ha osservato che ci sono “due fronti da considerare quando andiamo alla ricerca di best practice che si riferiscono al tema della sicurezza informatica: il primo è quello della sicurezza interna, che riguarda le minacce legate ai comportamenti o alla mancanza di consapevolezza e cultura da parte degli utenti, o all’assenza di policy aziendali adeguate; il secondo è quello delle minacce provenienti dall’esterno. Per quanto riguarda queste ultime, la cultura aziendale non è sufficiente, ma è necessario avere anche strumenti e competenze specifiche, in grado di gestire gli attacchi e limitare i danni”.
Telmon ha premesso quale sia lo scenario delle minacce che oggi le aziende si trovano a fronteggiare. “Il Clusit, che è l’associazione più rappresentativa in Italia che si occupa di sicurezza redige periodicamente il Rapporto Clusit, che fornisce un’informazione dettagliata su quanto sta avvenendo sul piano della security a livello italiano”. Telmon, riferendosi quindi ai dati del Rapporto, ha ricordato i livelli di sofisticazione ormai raggiunti dalla cybercriminalità e ha ribadito che per proteggersi da minacce esterne sempre più raffinate e mirate, che secondo il Clusit rappresentano ancora solo il 30% (il restante 70% è costituito da quelle interne, in altre parole la mancanza di cultura della sicurezza e di policy), è necessario non solo avere strumenti di It security classici e diffondere generici richiami a comportamenti responsabili, ma servono best practice e risorse più avanzate.
“Le aziende – ha quindi sottolineato Cecere – devono stabilire linee guida di sicurezza e preoccuparsi che siano comprese e attuate: in molte aziende vi sono manuali di policy che restano a prendere la polvere sulla scrivania. Questo avviene perché manca l’attenzione alla verifica che queste direttive siano applicate. A questo fine occorre prevedere degli audit, indipendentemente dal fatto che le normative cui ottemperare lo prevedano o no, verificare che le policy siano rispettate attraverso audit periodici”.
Un altro punto sollevato da Telmon ha riguardato la necessità di aggiungere, alle attività legate alla prevenzione dei rischi, anche altre che si occupano del contrasto delle minacce e della risoluzione dei problemi provocati dagli attacchi. E ha citato il framework di cybersecurity Nist, che prevede cinque fasi: identificazione [degli asset da proteggere, dei processi, del business, delle governance etc.], protezione, rilevamento, risposta e risoluzione dei problemi.
La manager Dedagroup ha concluso i suoi primi interventi sottolineando anche l’importanza, per le aziende, di dotarsi di altri due tipi di soluzioni: “La prima è costituita da piattaforme di Identity e Access management, che aiutano nella gestione delle credenziali e delle policy. La seconda è rappresentata dal ricorso a specialisti esterni di sicurezza, come i Cybersecurity Operation Centers. Grazie alle competenze specifiche e alla visibilità su quello che avviene presso un elevato numero di clienti, hanno più chance delle singole aziende di rilevare tempestivamente le minacce e di rispondere, facendo leva anche sulle tecnologie di sicurezza già acquisite dai clienti”.
Problemi e consigli sulla sicurezza per gli It manager
Una delle prime domande giunte ai relatori e che ha aperto la Tavola Rotonda che è seguita alle presentaizoni ha riguardato le differenze fra lo standard di sicurezza Iso 27001 e il framework Nist. “Le due metodologie – ha risposto Telmon – possono essere viste come complementari. La Iso 27001 elenca tutti i punti che devono essere considerati in un piano di sicurezza, mentre il Nist affronta più in profondità alcune fasi, in particolare quelle che vanno dal rilevamento alla risposta”. Alla domanda sul perché ci sia ancora così poca consapevolezza da parte del top management circa l’importanza della sicurezza, Telmon ha replicato: “I responsabili dell’It dovrebbero andare a chiedere ai manager e gli utenti quali sono i dati e i processi più importanti per il business. Quindi dovrebbero spiegare con estrema chiarezza qual è l’impatto diretto su questi dati e applicazioni (e quindi sul business) se le risorse che li gestiscono venissero attaccate”.
Un altro tema introdotto nel dibattito è stato quello del Bring Your Own Device. “Il Byod – ha affermato Cecere – offre molti vantaggi in termini di produttività e di risparmi. Ma sarebbe meglio adottare il Choose Your Own Device (Cyod), nel quale gli utenti possono scegliere i loro dispositivi da una lista approvata. In questo modo, si risolvono a priori problemi di compatibilità con il sistema It aziendale e si permette ai responsabili It, conoscendo meglio queste tecnologie, di proporre le app più sicure e di controllare lo scaricamento e l’installazione degli aggiornamenti”.
Trasformare in valore la sicurezza informatica in aziendaDedagroup, con headquarter a Trento, è un gruppo basato su un network di aziende, ciascuna specializzata in un aspetto dell’It o della consulenza, per permettere la realizzazione di soluzioni su misura sfruttando le migliori competenze disponibili. Attualmente serve circa 3.600 realtà in tutto il mondo. Sicurezza informatica come “valore aziendale” è il leit motiv che guida l’attività del Gruppo in questo ambito. Su questo tema Dedagroup è in grado di fornire un supporto all’assessment dei processi e delle risorse da proteggere, alla redazione di linee guida, alla predisposizione di attività di formazione e verifica (audit), all’aggiornamento continuo (attraverso newsletter e ‘pillole’informative) e alla scelta e integrazione delle soluzioni tecnologiche e dei servizi esterni di cybersecurity più adeguati. Oltre alle tradizionali difese perimetrali e di detection, il Gruppo attribuisce molta importanza all’implementazione (previa accurata profilatura degli utenti) alle piattaforme di Identity & Access Management (Iam) di Single Sign-on (Sso). Il vendor è convinto dell’importanza dei Cyber Security Defence Center (C-Sdc), costituiti da esperti nell’analisi delle minacce, degli incidenti e delle violazioni, e dei Cyber Security Operation Center (C-Soc) in grado di correlare e anticipare gli attacchi, integrandosi anche con le soluzioni di It security già presenti in un’azienda. |