Chiedersi perché oggi i Managed Services (servizi gestiti) in ambito Cyber Security sono indispensabili in azienda è un po’ come chiedersi perché avere la possibilità di focalizzarsi esclusivamente sul business ne migliora i risultati. Dovrebbe essere ormai universalmente accettato che soluzioni di data protection e sicurezza informatica sono imprescindibili per svolgere qualsiasi attività nel rispetto della normativa e per garantire la riservatezza di clienti e segreti industriali, ma soprattutto per garantire che il business non venga interrotto o compromesso da un attacco.
Molte aziende ricorrono all’outsourcing, affidando a specialisti la gestione di una materia così complessa e in continua evoluzione. Fondamentale è anche la formazione dei collaboratori, i cui comportamenti – per quanto possa sembrare spiacevole rimarcarlo – sono la prima causa di incidenti informatici e perdite di dati.
Ecco dunque un excursus che proverà a far chiarezza su un tema di scottante attualità ma forse ancora non ben compreso dai decisori di business.
Cos’è la Cyber Security e quali sono oggi i rischi per il business
Cominciamo col definire cos’è la Cyber security oggi, in un panorama estremamente eterogeneo e diversificato dove supporti digitali e dati sono sempre di più il fulcro di qualsiasi attività. La Cyber security – o anche IT security, ICT security, sicurezza informatica e sicurezza delle informazioni – è l’insieme degli strumenti, delle competenze e delle prassi che permettono a un’organizzazione di erigere una barriera tra il mondo esterno e le informazioni in proprio possesso in formato digitale. Vista la progressiva digitalizzazione dei processi e delle procedure legate all’erogazione di servizi e alla produzione di beni, la barriera della Cyber security serve praticamente a preservare l’intero ecosistema aziendale: PC, smartphone, banche dati, piattaforme per la produttività e per la comunicazione, ma anche strumenti dedicati al front-end, come portali ecommerce e persino centralini telefonici. Il furto o il blocco di un dataset necessario allo svolgimento di un task strategico oppure un attacco hacker in grado di paralizzare i sistemi può comportare danni sul piano operativo che si ripercuoteranno inevitabilmente sui risultati di business.
Questi però sono elementi noti da tempo. La vera novità, rispetto a qualche anno fa, è che le minacce di intrusione non sono più appannaggio solo delle organizzazioni di dimensioni maggiori o più strutturate sul fronte dell’IT. Nel mirino degli hacker, o a rischio di disservizi per errori interni, ci sono tutte le aziende, anche le Pmi.
Basta sfogliare il Rapporto Clusit 2019 per scoprire che, secondo l’Associazione italiana per la sicurezza informatica, il 2018 è stato l’anno peggiore di sempre sotto il profilo degli attacchi: quelli definiti gravi sono stati 1552 e sono aumentati del 37,7% rispetto al 2017, arrivando a una media di 129 iniziative al mese (rispetto a una media di 94 al mese nel 2017, e di 88 su otto anni). Il biennio 2017-18 ha fatto registrare un boom del 1000% rispetto a quanto accaduto nel biennio precedente. Stando al report, è avvenuto un cambiamento di fase nei livelli globali di Cyber security, causata dalla rapida evoluzione degli attori coinvolti, dalle modalità e dalla finalità degli attacchi. Si tende a dire nell’ambiente che esistono due tipi di aziende: quelle che hanno subito attacchi e quelle che li subiranno. Ma la verità è che c’è una terza categoria: quella delle aziende che non sanno di averlo subito. In Europa il tempo medio necessario ad accorgersi di una violazione supera infatti, secondo l’Istituto Ponemone, i duecento giorni.
Latitano i modelli organizzativi per la gestione della security
Dati aggravati dall’evidenza emersa dall’ultima ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, dove si sottolinea un diffuso ritardo nei modelli organizzativi e di gestione della sicurezza informatica: nel 40% delle imprese è assente una specifica funzione e una figura direzionale dedicata all’Information Security, la cui gestione è affidata ancora al Cio e all’It. In più di un quarto del campione, inoltre, esiste una funzione esterna ai Sistemi Informativi, ma la figura responsabile della sicurezza (Ciso o ruolo equivalente) riporta all’It (27%). Sono poche le imprese in cui la funzione Security riporta a una funzione aziendale diversa dall’It (17%) o direttamente al Board (16%).
La scarsa maturità organizzativa si riflette nella mancanza di soddisfazione, con oltre metà delle realtà che boccia il modello di gestione della sicurezza impiegato. L’insoddisfazione è più elevata dove la funzione Security riporta alla divisione It (65%), mentre è minima nelle realtà in cui il Ciso riferisce direttamente al Board (il 90% è contento della struttura organizzativa utilizzata). Più strutturata la gestione del fattore umano: nel 55% del campione è attivo un piano formativo pluriennale che coinvolge l’intero personale, nel 25% la formazione è rivolta alle sole divisioni più sensibili al tema (come It, Risk Management e Compliance), mentre il 20% non ha un progetto formativo strutturato.
Le tre basi della sicurezza informatica
Date queste premesse, per garantire il corretto funzionamento di tutti gli strumenti aziendali è necessario che i network a cui sono agganciati e l’ecosistema in cui operano presentino, sotto il profilo della Cyber security, tre caratteristiche: robustezza, resilienza e reattività. Vediamole nello specifico.
Robustezza
Per robustezza di un’infrastruttura o di una soluzione informatica si intende la sua capacità di comportarsi in modo ragionevole in situazioni impreviste, non contemplate quindi nell’ordinaria amministrazione. Errori ed eccezioni dovuti a input scorretti, fallimenti di componenti software o hardware interni o esterni al sistema e per l’appunto attacchi informatici non dovrebbero alterare il normale funzionamento delle applicazioni o l’esperienza dell’utente.
Resilienza
Quando si parla di Cyber security, la resilienza – detta anche indice di fragilità – rappresenta la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere a danni (procurati o dovuti alla normale usura) in modo da garantire l’erogazione dei servizi.
Reattività
La reattività, come ben esplicita il nome, costituisce la capacità di un sistema informatico di reagire a stimoli esterni o a disservizi riscontrati nell’esecuzione delle operazioni.
La sicurezza dei network aziendali: il nuovo perimetro
Robustezza, resilienza e reattività sono dunque concetti abbastanza semplici, e relativamente semplice fino a poco tempo fa era garantirle su sistemi informatici chiusi e contraddistinti da architetture solo in pochissimi casi molto complesse. Se Internet ha cominciato a scardinare questo stato di cose, l’avvento dei mobile device prima e dell’IOT poi – con la necessità di gestire l’incessante aumento dei volumi di dati attraverso soluzioni Cloud e Hybrid Cloud – hanno letteralmente rivoluzionato questi concetti. Senza contare che, proprio facendo leva sulle vulnerabilità degli oggetti connessi e sulla complessità che gli utenti riscontrano nell’utilizzo dei sistemi, i criminali informatici stanno, come visto, intensificando gli attacchi in maniera esponenziale. In ambito Cyber security, non si può dunque più parlare solo di perimetro, ma di superficie. Una superficie non omogenea e in espansione, in costante contatto con il mondo esterno attraverso pareti osmotiche che consentono alle informazioni di fluire fuori e dentro l’organizzazione, alimentandola con nuove fonti di dati e trasportando a partner e clienti gli output ottenuti dai processi interni (processi che a loro volta possono rivelarsi all’origine di problemi di sicurezza). Non è dunque possibile ipotizzare un sistema chiuso, basato su un sistema difensivo statico, ma bisogna architettare soluzioni dinamiche e stratificate in grado di individuare prima e contrastare poi le minacce interne ed esterne sui diversi punti di contatto.
Come difendersi e cosa proteggere: la differenza tra sicurezza passiva e sicurezza attiva
Bisogna a questo punto introdurre i concetti, o meglio gli approcci, di sicurezza passiva e sicurezza attiva. Entrambi hanno lo scopo primario di impedire l’accesso alle informazioni riservate. Se la sicurezza passiva è quella deputata a bloccare o quanto meno a rallentare gli attacchi offrendo barriere tecniche e pratiche ai programmi o agli utenti che rappresentano una minaccia per i framework, la sicurezza attiva è quella in grado di mettere al sicuro dati e informazioni prevedendo meccanismi di autenticazione più o meno sofisticati. I due approcci devono lavorare in modo complementare: se la prima categoria è infatti indicata – e di solito bastevole – per contrastare iniziative opportunistiche, la seconda è indispensabile per affrontare intrusioni mirate.
Gli attacchi informatici più famosi
Ci sono diversi modi di introdursi nei network aziendali. Il classico approccio è quello del superamento delle difese tramite brute force, forza bruta. Un attaccante trova il modo di forzare l’accesso facendo leva sulle vulnerabilità di un software o di una piattaforma e penetra nei repository in cui sono custodite le informazioni. Ce n’è poi un altro, più sottile e sempre più diffuso, che sfrutta l’inconsapevole complicità dei collaboratori dell’impresa. Parliamo naturalmente del phishing: gli attaccanti inviano messaggi (tipicamente per posta) ingannevoli che inducono gli utenti a rispondere condividendo dati sensibili o collegandosi a link a siti Web che contengono malware e spyware. Programmi gestiti dagli hacker che permettono agli attaccanti di entrare in possesso, per esempio, di credenziali o chiavi di accesso. Strumenti che consentono tipicamente di sferrare tre tipi di attacchi: Ddos, ransomware e data breach.
Le conseguenze di un attacco Ddos
L’attacco Ddos (Distributed denial of service) consiste nel rendere indisponibile uno o più servizi IT, bloccando di fatto l’esecuzione dei processi.
Cosa comporta il ransomware
Come evoca il nome, un attacco ransomware mette “in ostaggio” una serie di dataset: utenti e amministratori di sistema non possono più accedere alle informazioni, che rimangono nei repository aziendali. A prescindere che si tratti di proprietà intellettuali, di anagrafiche clienti o di elementi necessari allo svolgimento del business, per ottenere una chiave di accesso in grado di sbloccare i dati, le vittime dovranno pagare un riscatto agli attaccanti.
Cosa succede quando si verifica un data breach
I dati possono anche essere sottratti, o semplicemente violati. È questo il caso del data breach, che si verifica quando un attaccante riesce ad accedere alle informazioni riservate, copiandole o addirittura sottraendole per rivenderle a competitor o per sferrare nuovi attacchi ancora più mirati.
I problemi relativi all’Ot security in ambito industriale
L’interconnessione di sistemi industriali e la sempre maggiore diffusione di dispositivi IoT pongono il problema della protezione degli ambienti Ot (Operational Technologies). Secondo l’Osservatorio del Politecnico di Milano, il principale rischio di Ot Security individuato dalle aziende è il fermo della produzione (54%), seguito dalla “safety” (20%), minacciata dall’interazione sempre più diretta fra operatori e macchine (ad esempio la robotica collaborativa), dall’alterazione o modifica della produzione (16%) e dal furto o perdita di dati confidenziali (10%).
Il fattore umano: l’importanza della formazione nella Cyber Security
Il già citato Rapporto Clusit 2019 indica come “tutti gli analisti ed esperti di sicurezza concordano che la maggior parte degli incidenti di sicurezza è legata a errori umani (si stima che siano circa l’80-90% degli incidenti) confermando come il fattore umano sia, anche per la sicurezza informatica, l’anello debole del sistema”. Dunque “la programmazione e l’esecuzione di programmi di awareness è diventata una necessità per tutte le aziende e non è più rimandabile. L’importanza e l’urgenza di tali programmi e la necessità di sensibilizzare le persone sulla sicurezza informatica è una tematica molto chiara agli operatori del settore e alle istituzioni che promuovono sempre più iniziative di sensibilizzazione in tale ambito (si pensi al mese europeo della sicurezza informatica), ma lo stesso non si può dire per le aziende dove l’awareness sulla sicurezza informatica è ancora ad uno stato embrionale”.
Vulnerabilità e rischio di data loss: come proteggere i dati aziendali da un cyber attacco
Risulta evidente che per fronteggiare questa situazione adeguatamente occorrerebbe dotarsi di una struttura di Cyber security ad hoc, in grado cioè sia di studiare soluzioni efficaci, sia di accrescere la cultura aziendale necessaria a far fronte alle minacce. Molte grandi imprese l’hanno già fatto, ma non tutte hanno le risorse (umane e finanziarie) per costruire e gestire in house una divisione di questo genere. Ecco perché, anche grazie alla diffusione del Cloud computing, stanno sempre di più prendendo piede i servizi di sicurezza gestiti.
I servizi di sicurezza gestiti (Managed services)
Si tratta di offerte “chiavi in mano” che consentono alle imprese di qualsiasi settore e dimensione di accedere alle soluzioni, alle pratiche e alle competenze più qualificate in ambito Cyber Security. Sfruttando le logiche dell’on demand e del pay per use, ciascuna organizzazione può acquistare i servizi e gli strumenti che le occorrono, quando le occorrono, con la possibilità di scalare il parco applicativo man mano che mutano le esigenze del business.
Il ruolo del CISO – Chief Information Security Officer
Naturalmente non basta dotarsi degli strumenti migliori, bisogna poi anche saperli gestire. Per questo la figura del CISO – Chief Information Security Officer si fa altrettanto indispensabile in una strategia di Cyber security a 360 gradi. Al CISO spetta il controllo sulla corretta esecuzione dei piani di difesa, nonché la responsabilità sui progetti in essere e l’assistenza alle divisioni aziendali sul fronte della data protection.
L’importanza di un partner affidabile
Il paradigma dei Managed services applicato allo scenario descritto sopra impone anche un nuovo approccio all’evoluzione tecnologica sul fronte dell’IT security, che diventa costante e che deve sapersi orientare in un panorama di offerte sempre più vasto. In questo senso diventa fondamentale la vicinanza di un partner affidabile, col quale instaurare un rapporto che vada oltre i temi della semplice fornitura di soluzioni e della consulenza, ampliandosi a una vera e propria collaborazione di lungo termine.
L’approccio di NovaNext: protezione in real time
“In ultima analisi, bisogna aggiungere che l’infrastruttura tecnologica sulla quale le aziende poggiano la propria attività è sempre più complessa. E non sempre è possibile semplificarla”. A parlare è Cosimo Rizzo, Head of Sales Solutions di NovaNext, specialista nell’offerta di Managed Cyber Security Services. “La complessità va adeguatamente gestita: utenti, dispositivi e dati si spostano al di fuori della rete tradizionale, si pensi alle interazioni con i fornitori, alla varietà di dispositivi utilizzati, alla sempre maggiore presenza di soluzioni Cloud e Hybrid Cloud e alla presenza degli oggetti connessi, specie in ottica Industry 4.0”.
I Managed Cyber Security Services, come CyberNext – la linea completa di servizi di Cyber Security di NovaNext – sono basati sulle più avanzate tecnologie e sulla disponibilità delle giuste competenze ed esperienze. Aiutano le aziende a gestire la complessità e ad aumentare i livelli di sicurezza, attraverso il monitoraggio delle attività e un supporto altamente qualificato per l’adozione dei migliori strumenti e delle best practices. Il processo di trasformazione digitale realizza infatti prodotti e servizi digitali che devono garantire, oltre a un’adeguata protezione dei dati, anche conformità a leggi e regolamenti. I Managed Cyber Security Services aiutano le aziende a essere compliant con regolamenti e standard, sia garantendo accesso a tecnologie di sicurezza all’avanguardia e a competenze adeguate, sia fornendo indicazioni chiare e precise, basate su revisioni periodiche, per realizzare una condizione di miglioramento continuo”.
Ma come detto tutto questo non basta: per mettere a terra tutto il potenziale dei Managed Cyber Security Services è anche indispensabile far sì che i collaboratori imparino a sfruttarli, al contempo adottando le buone pratiche necessarie a contrastare incidenti e intrusioni.
“Dal 1988 siamo system integrator e centro formazione. Realizziamo le più avanzate soluzioni tecnologiche e formiamo i professionisti dell’ICT. Siamo centro di formazione ufficiale Cisco, Microsoft, Oracle, IBM e molti altri”, precisa Cosimo Rizzo di NovaNext. “Offriamo un’ampia gamma di percorsi formativi Security e Cyber Security supportando le aziende nel formare il personale tecnico ma anche nel sensibilizzare e alfabetizzare tutti i dipendenti alle tematiche di sicurezza informatica e di cyber security protection. La protezione di un’infrastruttura o di un dato può infatti non essere efficace se chi li utilizza lo fa impropriamente”.
@RIPRODUZIONE RISERVATA