La sicurezza informatica multiprovider per le organizzazioni diventa una voce gestionale complessa. Governare la gamma crescente di prodotti e servizi che promettono di salvaguardare di più e meglio sistemi e dati, infatti, è un compito estremamente impegnativo. La criticità sta nelle campagne di promozione dei fornitori di sicurezza informatica sviluppate nel gergo ammaliatore del marketing. Di fatto, è sempre più difficile determinare quali strumenti abbiano concretamente valore e rilevanza per la propria organizzazione: l’esistenza di un nuovo prodotto o una funzionalità straordinaria, infatti, non significa che la loro adozione abbia senso per qualsiasi azienda.
Prima di effettuare qualsiasi nuovo investimento, i leader della sicurezza informatica dovrebbero innanzitutto valutare e dare priorità alle proprie esigenze specifiche, allineate a politiche di risk management ben definite. Una volta identificate necessità e mappate tutte le soluzioni in essere gestite in azienda, è possibile iniziare a navigare nel complesso mercato della sicurezza informatica multiprovider.
Quel modello As a Service che aiuta e non aiuta
Nel mercato odierno della sicurezza informatica regna il modello As a Service. Il che significa che, facendo sempre più affidamento sull’outsourcing, i CISO devono imparare a destreggiarsi tra più fornitori terzi. Tradizionalmente, i CISO gestivano principalmente i propri team interni, ma la carenza di competenze informatiche e l’esplosione del modello di sicurezza informatica on demand e pay per use, rende complicato destreggiarsi tra meno dipendenti interni e più fornitori esterni. L’esternalizzazione di uno o più servizi di sicurezza informatica presenta tanti vantaggi, ma anche degli svantaggi.
L’outsourcing non deresponsabilizza i CISO
L’utilizzo di servizi gestiti da più fornitori può offrire vantaggi significativi, consentendo spesso alle organizzazioni di ottenere una sicurezza informatica più avanzata e affidabile di quella che potrebbero permettersi da sole. Ma, anche se i CISO scelgono l’outsourcing per delegare funzionalità a terze parti, non possono delegare una responsabilità che, sempre e comunque, è a loro carico. Inoltre, il coordinamento e la gestione efficaci dei portafogli di sicurezza informatica multiprovider richiedono competenze specifiche.
Sicurezza informatica multiprovider: le sfide e le strategie
Le sfide legate alla gestione di un portafoglio di sicurezza multiprovider sono tante e non sempre di facile risoluzione. I CISO come possono centrare con successo tutti gli obiettivi di una migliore governance? La risposta è sì, ma coniugando necessariamente pianificazione e creatività.
La chiave è ricordare che, sebbene diversificare gli strumenti possa rafforzare la difesa, è altrettanto essenziale garantire che questi strumenti funzionino in maniera sincronizzata e armonizzata con il lavoro di tutto il personale e di tutto l’ambiente IT. A questo proposito gli esperti stilano un elenco preciso sia delle sfide del modello di sicurezza informatica multiprovider, sia delle strategie più adatte ad affrontarle.
1. Integrazione
Sfida
Un programma di sicurezza informatica che utilizza più fornitori di servizi spesso dispone di strumenti che non si integrano perfettamente tra loro. Ciò si traduce in lacune in termini di visibilità e di inefficienze operative.
Strategia
Prendere in considerazione l’implementazione di uno strumento SOAR (Security Orchestration, Automation and Response), che contribuisce ad analizzare i dati e ad automatizzare i flussi di lavoro su più prodotti di sicurezza, colmando i gap e creando un approccio di sicurezza più coeso.
2. Sovrapposizione e ridondanza dei fornitori
Sfida
Quando si gestiscono prodotti e servizi di più fornitori, aumenta il rischio che le funzionalità degli strumenti di sicurezza informatica si sovrappongano. Ciò non solo gonfia i costi, ma crea confusione.
Strategia
È fondamentale rivedere e verificare regolarmente il portafoglio di sicurezza informatica multiprovider, identificando le aree di sovrapposizione e considerando il consolidamento degli strumenti ove possibile. Più strumenti significano più complessità. Quando si investe in nuovi strumenti, è importante focalizzarsi su quelli che offrono ampie capacità di sicurezza informatica o che si integrano bene con il portafoglio esistente. La crescente complessità dei moderni ambienti IT e l’evoluzione del panorama delle minacce, infatti, hanno reso necessario un cambiamento di paradigma in cui il framework Zero Trust è emerso come un approccio olistico alla sicurezza che sfida il tradizionale modello di sicurezza basato sul perimetro. In risposta alla crescente adozione dei principi Zero Trust, la Cybersecurity and Infrastructure Security Agency (CISA) ha sviluppato lo Zero Trust Maturity Model. Per qualsiasi azienda costruire una strategia di portafoglio titoli basata su un quadro solido e integrato sta diventando un must.
3. Maggiore complessità
Sfida
Più strumenti significano più complessità. La gestione di aggiornamenti, patch e configurazioni su vari sistemi può essere travolgente.
Strategia
Investire in una piattaforma di gestione centralizzata, che offre una visione unificata dell’ambiente e il controllo su più strumenti, è una scelta vincente. A questo proposito, è opportuno impostare policy di sicurezza chiare che stabiliscano le tempistiche di aggiornamento del software e le configurazioni standard, garantendo che i team mantengano una coerenza tra gli strumenti in uso. È importante anche valutare la possibilità di consolidare le operazioni di rete e di sicurezza per ridurre la complessità, tenendo presente che questo potrebbe comportare un’ulteriore sovrapposizione tra vari strumenti utilizzati.
4. Reporting e avvisi incoerenti
Sfida
I fornitori utilizzano metodi diversi per segnalare minacce, vulnerabilità e incidenti. Questa disomogeneità è disfunzionale perché rende il rilevamento e la risposta alle minacce più impegnativi.
Strategia
Esaminare i sistemi SIEM, che aggregano dati provenienti da fonti infrastrutturali tradizionali , come sistemi di prevenzione delle intrusioni, firewall e software anti-malware. Un sistema SIEM fornisce quindi una piattaforma unificata per il monitoraggio, l’analisi e la segnalazione degli incidenti.
Se possibile, prendere in considerazione anche o invece l’implementazione di SOAR, che differisce dal SIEM nella sua capacità di acquisire dati da una più ampia varietà di fonti interne ed esterne, inclusi componenti dell’infrastruttura, software di sicurezza degli endpoint e feed di intelligence sulle minacce. SOAR utilizza inoltre l’Intelligenza Artificiale e l’automazione per dare priorità agli avvisi e contenere o risolvere automaticamente i problemi.
5. Vincolo e dipendenza dal fornitore
Sfida
La dipendenza dai fornitori può ostacolare la flessibilità operativa e strategica, soprattutto se in futuro si desidera passare ad approcci più nuovi ed efficienti.
Strategia
Gli esperti consigliano di valutare la possibilità di selezionare prodotti basati su standard aperti che diano priorità all’interoperabilità. Ciò aumenta la possibilità che un nuovo strumento interagisca con altri in un ambiente di sicurezza informatica multiprovider.
Dopo aver selezionato un servizio, è bene insistere su termini contrattuali che consentano flessibilità e adattabilità al cambiamento delle esigenze del programma di sicurezza.
6. Divario nelle competenze in materia di sicurezza
Sfida
Un approccio alla sicurezza informatica multiprovider richiede ai di team di sicurezza di essere competenti nell’utilizzo di ciascun prodotto o servizio. Questo può essere un compito arduo, poiché sempre più strumenti di sicurezza vengono integrati nell’ambiente in maniera addizionale e spesso in maniera ridondata.
Strategia
I fornitori dovrebbero offrire l’attività di formazione come parte integrante del processo di approvvigionamento. Chiedere ai fornitori quale supporto e formazione offrono è un buon metodo per vagliare il livello dell’offerta e capire le differenze tra un partner e un altro.
L’assunzione di nuovo personale addetto alla sicurezza rimane una sfida per le organizzazioni di ogni tipo e dimensione. Avvalersi dei fornitori per potenziare la formazione del personale non addetto alla sicurezza è un’ottima strategia. L’altra, complementare, è assumere professionisti con certificazioni o esperienza in strumenti specifici attualmente in uso nel proprio portafoglio.
7. Valutazioni delle prestazioni dei fornitori di sicurezza
Sfida
Quando più strumenti sono responsabili della gestione degli eventi di sicurezza, valutare le prestazioni e il ROI di uno specifico strumento di sicurezza informatica può essere scoraggiante. Questo perché i fornitori di sicurezza spesso enfatizzano metriche diverse e strutturano i prezzi in modo diverso.
Strategia
Quando si valuta un nuovo prodotto o servizio di sicurezza informatica, si consiglia di considerare innanzitutto quanto possano soddisfare i requisiti del programma di sicurezza, confrontandoli, se possibile, con le soluzioni concorrenti. Inoltre, per ogni strumento esistente in un portafoglio di sicurezza informatica multivendor, sé importante stabilire parametri prestazionali e KPI chiari basati sulle esigenze dell’organizzazione, non sulle capacità del fornitore.
Per monitorare le prestazioni e garantire che ogni strumento offra valore utilizzare dashboard integrate è l’approccio ideale. Ricordandosi anche che se l’organizzazione decide di integrare le operazioni di rete e di sicurezza, questi parametri non saranno necessariamente di dominio esclusivo della sicurezza.