Chi si occupa di security lo sa bene: la cyber resilienza non è un punto di arrivo, né tanto meno la si può realizzare mettendo insieme una serie di strumenti tecnologici. È piuttosto un processo, alimentato da precise competenze che fanno leva sulle tecnologie per affrontare una tematica in continua evoluzione e che – per quanto possa risultare poco intuitivo come concetto per i non addetti ai lavori – poggia su componenti squisitamente umane.
Ecco perché per mantenere a livelli soddisfacenti l’efficacia e l’efficienza dei sistemi posti a tutela della continuità operativa non basta implementare soluzioni di data protection e aggiornarle nel tempo: è necessario anche coinvolgere professionalità in grado di mettere alla prova processi e strumenti, valutando soprattutto la velocità di risposta dell’organizzazione, ovvero il modo in cui ambienti IT e persone reagiscono alle minacce e agli incidenti veri e propri.
Vulnerability assessment e penetration test sono attività estremamente utili per cominciare a inquadrare rischi e opportunità sul piano della cyber security, ma solo uno specialista, qualcuno che sappia calarsi nel ruolo di un attaccante, riuscirà a mettere davvero a nudo le reali esigenze e i possibili punti deboli del business sotto il profilo della sicurezza informatica.
Quello specialista è l’ethical hacker e il suo contributo è sempre più richiesto, anche in un mercato come quello italiano, ancora piuttosto acerbo sul fronte della cyber resilience a tutto tondo.
Indice degli argomenti
Professione ethical hacker
“Al momento la disponibilità di queste figure è piuttosto elevata, la vera difficoltà sta nel riuscire a paragonare le offerte e individuare gli operatori con le competenze migliori” spiega Daniele Stanzani, Ethical Hacker e Founder di PanDigital. Attraverso la sua società, attiva dal 2015 e oggi consociata di Quanture, Stanzani è stato uno dei primi professionisti a fornire servizi di ethical hacking nel comprensorio modenese.
“Quando cominciammo eravamo in pochi sull’intero territorio nazionale, oggi direi che gli ethical hacker sono molteplici, anche se spesso con skill non sempre all’altezza della situazione. Tutti sono in grado di proporre un penetration test, ma i risultati possono variare sensibilmente, e la differenza tra un’attività svolta in modo superficiale e una valutazione approfondita delle difese aziendali la fa appunto la qualità degli operatori. Del resto, è ancora parecchio difficile rivelare le effettive skill di un ethical hacker. Sia perché parliamo di una figura professionale ancora non ben inquadrata da molte organizzazioni, sia perché – voglio essere sincero – è assai complicato, anche per noi, comunicare questo tipo di valore”.
Stanzani contesta con decisione una narrazione che va oggi per la maggiore e che tende a descrivere gli imprenditori italiani come poco attenti alla sicurezza del business, almeno fino a quando non succede loro qualcosa. “Sostenere che i tuoi clienti – persone che hanno messo insieme e dirigono imprese capaci di generare affari da milioni di euro – non si preoccupano abbastanza di preservare il proprio business non è un argomento, a mio avviso. Gli imprenditori non sono stupidi o superficiali, forse siamo noi addetti ai lavori che non sappiamo ancora come spiegare la nostra funzione, non riusciamo a far capire fino in fondo qual è il valore aggiunto della nostra attività e soprattutto quale è il ritorno sugli investimenti. Non bisogna nascondersi dietro un dito – rilancia Stanzani – né bisogna esagerare nell’altra direzione, mettendosi a fare terrorismo psicologico”.
Cosa fa di un ethical hacker un partner di valore?
Ebbene, in cosa consistono esattamente i servizi di ethical hacking e qual è il loro effettivo valore per un’azienda che ha l’obiettivo di tutelare il proprio business? “Sono innanzitutto servizi erogati da esseri umani. È un punto molto importante, questo – spiega Stanzani – in quanto ciascuna sessione di verifica non viene condotta da piattaforme che fanno analisi automatizzate dei perimetri aziendali, ma da cyber security engineer con competenze certificate che eseguono analisi di sicurezza in funzione delle reali esigenze dell’impresa, individuate insieme al cliente. Sia in senso orizzontale, dunque, con processi di screening generici, sia con approcci verticalizzati, approfondendo singole porzioni del perimetro aziendale”.
Stanzani tiene comunque a precisare che non sono tipologie di attività slegate tra loro, ma spesso una è propedeutica all’altra.
“Esistono poi casistiche particolari, che si verificano nel momento in cui il nostro interlocutore è un’azienda estremamente matura sul fronte della cybersecurity, e che quindi è consapevole dei propri asset critici, sa dove si trovano le informazioni importanti – dai segreti commerciali ai dati vincolati dalla compliance normativa, fino ad arrivare agli archivi con le buste paga e le informazioni mediche dei dipendenti – e richiede per questo servizi specifici su determinati elementi dell’infrastruttura. Ogni asset, del resto, richiede livelli di sicurezza differenti e, di conseguenza, tecniche di hacking peculiari”.
L’intervento di PanDigital rappresenta solo il punto di inizio di quello che Stanzani definisce un vero e proprio security journey. Oltre alla consulenza sulle attività di remediation, è infatti fondamentale instaurare un confronto continuo per garantire che il livello di sicurezza dell’organizzazione sia adeguato ai processi e agli obiettivi aziendali.
“La cybersecurity va considerata, come tutte le altre componenti dell’impresa, una funzione al servizio del business, e la nostra missione è per l’appunto migliorare il business. Voglio dirlo ancora più precisamente: la nostra missione è aiutare il cliente a conoscere la resilienza dei propri processi per aumentare la qualità del business. È ovviamente un percorso complesso, che non può essere coperto in tempo zero e che può essere affrontato solo con un ecosistema di competenze, in una logica sinergica. Ecco perché nella fase di remediation, così come nell’impostazione della strategia di continuous improvement, lavoriamo a quattro mani con i colleghi di Quanture”.
Lo scenario italiano: come si evolve la cultura della cyber resilience
Per il socio fondatore di PanDigital, il mercato sta dando importanti segnali di attenzione rispetto a questa proposition. “Fatto 100 il numero di aziende con cui abbiamo a che fare, il 40% già considera la cyber security un processo continuativo, mentre il 5% dispone di un portafoglio completamente aperto, il che significa che ha piena consapevolezza non solo del valore per la produzione generato dalla confidenzialità, dall’integrità e dalla disponibilità del dato, ma anche delle potenzialità e dei benefici dell’ethical hacking. La restante fetta del mercato non è a digiuno, tutt’altro. Solo che, sempre dal mio punto di vista, tende ancora a considerare la cyber resilience come una questione che attiene alla sfera della compliance normativa, più che alla valorizzazione del business”.
Questo vuol dire che l’organizzazione ha comunque un’idea ben precisa delle informazioni che gestisce, ha eseguito una qualche classificazione del dato in base alla sua confidenzialità, e produce regolarmente rapporti sulla compliance normativa, con particolare riferimento al GDPR. Il che non è affatto poco.
“Il secondo indicatore di maturità è di natura tecnologica. Se l’azienda ricorre per esempio a soluzioni di Managed Detection & Response, se ha attivato un firewall next generation e analizza sistematicamente il traffico rete, di solito vuol dire che è stato pienamente riconosciuto il pericolo potenziale sul piano cyber, e la necessità di doversi proteggere è chiara a tutti i livelli aziendali”, precisa Stanzani. “Ci sono infine le aziende più mature, che hanno anche introdotto figure che fanno capo a un gruppo di cybersecurity interno e che in qualche caso hanno attivato partnership con specialisti per dotarsi di un Security Operations Center in outsourcing”.
Se questo è lo scenario attuale, come possiamo immaginare il rapporto tra aziende e cyber resilienza nei prossimi anni e che ruolo sono destinati a giocare gli ethical hacker?
“Come ho già accennato, il problema principale, su entrambi i fronti, è quello delle competenze. La cosa che un po’ mi preoccupa è che tutt’ora non sembra esserci da parte delle università la giusta spinta a sostenere set di attività formative che vadano oltre l’insegnamento delle basi dell’informatica. Il punto è che bisogna essere creativi quando si manipolano i protocolli e l’informatica stessa; quindi, è necessario andare oltre i rudimenti e sapere come sono gestite e trasmesse, nel particolare, le informazioni. Non nascondo che anche per professionisti come noi, attualmente l’unico modo per accrescere le competenze è lavorare a fianco dei clienti su scenari sempre diversi. E i talenti li coltiviamo al nostro interno, sul campo”.
“Proprio in virtù di questa ragione – chiosa Stanzani – credo che nei prossimi anni la maggior parte delle imprese farà leva sul full outsourcing per quanto riguarda le tematiche della cyber security. Le risorse interne saranno sempre più difficili da trattenere, anche perché dovranno occuparsi soprattutto della compliance normativa, una funzione che inevitabilmente farà ridurre la parte ludica, chiamiamola così, della mansione. Al tempo stesso, sarà sempre difficile gestire eventuali disservizi contando solo sugli strumenti già acquisiti. Ecco perché, a mio avviso, le imprese tenderanno a dotarsi di figure qualificate che avranno il compito da una parte di identificare i partner giusti con cui intessere rapporti di fiducia, dall’altra di occuparsi di product management e della traduzione delle esigenze di business in specifici requisiti di security”.
Contributo editoriale sviluppato in collaborazione con PanDigital – Quanture
