Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

La riflessione

La governance della security in azienda: le soluzioni per difendersi dai cyber attacchi

La maggior parte delle aziende italiane ritiene la cyber security ancora un surplus, sebbene il trend sia verso maggiori investimenti per l’adeguamento agli obblighi del GDPR. Serve dunque un cambiamento culturale per comprendere quali sono le conseguenze degli attacchi del cyber crime e adottare soluzioni per prevenirle

30 Apr 2019
D

Domenico Di Mare

Cyber Security Architect & SOC Manager


La cyber security nelle aziende italiane spesso viene ancora ritenuta opzionale, atteggiamento che porta a correre rischi. Il problema, oltre che di natura economica, sembra essere culturale. Oltretutto, in realtà complesse sta diventando sempre più un compito arduo e impegnativo occuparsi di sicurezza informatica: chi si trova in questo ambito sa bene che anno dopo anno si troverà ad affrontare sfide sempre più grandi. Di seguito una riflessione sul trend e i consigli per farvi fronte.

Cyber security, trend mondiale

Lo scenario non è dei migliori. Lo scorso anno è stato esponenzialmente ancora una volta un anno record per gli attacchi informatici surclassando tutti i precedenti e il 2019 sta dimostrando di non esser da meno.

La tipologia degli attacchi diventa sempre più sofisticata e sempre più orientata al cyber crime, mostrando quindi la continua espansione di una vera e propria industria del crimine informatico che acquisisce un ruolo assolutamente primario rispetto ai singoli eventi di tipo dimostrativo.

I data breach negli ultimi tempi hanno avuto un notevole impatto mediatico e le autorità (in questo caso quella Europea mediante il GDPR) finalmente hanno intrapreso delle misure fortemente punitive per coloro che non gestiscono con le dovute cautele i dati personali e non segnalano tempestivamente le avvenute violazioni, ma nel contempo assistiamo ai più grandi data breach della storia basti pensare a Collection #1 o al furto di dati personali subito dalla Marriott.

Insomma bisogna armarsi per fronteggiare l’esponenziale aumento di minacce informatiche in un futuro sempre più interconnesso e ciò è stato recepito mondialmente un po’ in tutti i settori. L’evidenza di questo si ha osservando il trend mondiale di spesa che viene assegnata sia da organi governativi che da aziende private alla cyber security.

Assistiamo, infatti, ad un imponente +7% a livello mondiale di aumento dei salari per gli addetti alla sicurezza informatica, ad una spasmodica ricerca sul mercato di figure specializzate in questo settore, alla creazione di sistemi di machine learning per contrastare gli attacchi informatici e a sempre più aziende che inseriscono la protezione dei dati da compromissioni nella loro strategia aziendale anche se non riguarda direttamente il loro core business.

La situazione in Italia

Questo è il trend mondiale, ma in Italia qual è la situazione? Dagli ultimi report sembra che anche se in ritardo, nel nostro Paese si stia smuovendo qualcosa: anche qui risulta un aumento di spesa nella cyber security, ma a parte quelle poche aziende che da tempo hanno sviluppato una forte cultura sulla sicurezza informatica, il grosso di tale spesa è dovuta ai necessari adeguamenti per ottemperare formalmente agli obblighi definiti nel GDPR.

Nella pratica la situazione non è rosea. La Security Survey di Ernst & Young sul 2018-2019 è impietosa: il 97% delle aziende italiane destina risorse inadeguate alla protezione tecnologica nonostante il 62,5% delle imprese italiane abbia registrato almeno un incidente informatico significativo.

La mia esperienza non può che confermare questa visione, gli strumenti a disposizione delle aziende private e delle pubbliche amministrazioni sono spesso limitati, probabilmente perché ancora ad alto livello si sottovalutano i possibili rischi correlati ad attività malevola, ciò dovuto forse al fatto che finora, per fortuna, non siamo stati troppo presenti sulla cronaca internazionale per quanto riguarda il cyber crime.

Il problema non è puramente economico, ma a mio avviso culturale e il budget stanziato per la cyber security non è strettamente il problema, ma indica la differenza di sensibilità su questo tema tra il nostro paese e il panorama europeo o mondiale.

A risentirne in particolar modo è l’ambito del security delivery il quale rappresenta tutti quei professionisti che devono quotidianamente garantire la protezione di architetture, dati personali e piattaforme software.

Di seguito proverò ad elencare quattro punti che dalla mia esperienza rappresentano delle criticità per le operations sulla security nel panorama italiano.

Adeguata sicurezza del software

Un problema molto comune è la mancanza di obbligatorie figure di riferimento sulla qualità dello sviluppo del software. La figura dell’analista programmatore o del software engineer non è vista come il supervisore che detta politiche di progettazione del software e ne effettua il collaudo, ma bensì come un programmatore che ha avuto un avanzamento di carriera e quindi coordina il team di sviluppo.

Questo comporta che non c’è un vero addetto alla software security analysis che abbia necessariamente anche competenze di minacce e vulnerabilità. Quindi nel rilascio del software può esserci del codice meraviglioso in termini di funzionalità o di performance, ma che poi si può dimostrare mediocre o completamente carente a livello di robustezza da eventuali attacchi.

La certificazione della compliance di sicurezza per servizi o prodotti potrebbe venire alla ribalta ora che è stato approvato il Cybersecurity Act, il nuovo regolamento di certificazione sulla sicurezza informatica approvato dal parlamento europeo. Ma come possiamo immaginare sarà difficile calare efficacemente tale certificazione nell’infinità di realtà eterogenee nel mondo IT, senza aver dietro una reale volontà di avere un software con determinate qualità e che rispetti determinate linee guida.

Necessità di un SOC strutturato

Il Security Operation Center è il cuore dell’infrastruttura di sicurezza di una azienda, richiede ampie competenze che spaziano dal sistemistico, al funzionamento applicativo, alla ottima conoscenza dei prodotti di sicurezza adottati nell’architettura.

È fondamentale che tale personale sia composto interamente da persone che abbiano capacità sia a livello di competenze che di attitudini personali a svolgere questo ruolo. A mio avviso determinante per un SOC è la rapidità di analisi e la risposta in tempi brevi sia in caso di attacco, ma anche per il troubleshooting e il controllo in cui spesso viene coinvolto.

Si è parlato dell’ottimizzazione dell’analisi sicurezza dovuta alla stretta cooperazione tra SOC e CERT su cui concordo pienamente, anzi rilancio con la necessità di avere un SOC strutturato su 3 livelli di competenza, cioè con il primo che si occupi dei change di routine, il secondo che si occupi di analisi e dell’aspetto sistemistico e infine il terzo che effettui analisi avanzate e venga coinvolto nelle attività progettuali di sicurezza e non. Solo in questo modo la condivisione di informazioni e la contaminazione di competenze può dare un valore aggiunto ad un team che faccia realmente sicurezza.

Vi sono realtà che seguono la direzione opposta, cioè quella di avere un centro di sicurezza suddiviso in sottogruppi di gestione dove vi è un gruppo per l’implementazione di soluzioni, un gruppo autoritativo per i change e un gruppo di primo livello che è quello che fisicamente crea le politiche di sicurezza senza porsi domande. Spesso tale approccio viene adottato per parametri economici in modo tale da avere un “leverage” nell’ammortamento dei costi di uno stesso gruppo su n clienti.

Tipicamente tale approccio può funzionare su piccoli e medi clienti che non hanno personale di sicurezza informatica al loro interno e che si accontentano di un trattamento “standard”, ma spesso viene esportato anche come soluzione in realtà complesse sottovalutando i limiti che questo approccio possa comportare, cioè:

  • Alti tempi di risposta sia in caso di incident o anche per i comuni change;
  • Mancanza di una conoscenza approfondita dell’ambiente di cui si esercita la gestione della sicurezza;
  • Isolamento delle conoscenze tra gruppi separati tra loro che spesso operano in regime di turnazione e non di rado sono dislocati geograficamente in luoghi diversi;
  • Implementazione di politiche e profili di sicurezza (che con il tempo si fanno sempre più elaborati e sofisticati) da parte di operatori di primo livello che spesso non hanno il quadro d’insieme;
  • Scollamento tra linea progettuale (how it should be) e realtà dell’esercizio (how it is).

Tecnologie e professionisti idonei a garantire la sicurezza

Alla stregua dei vigili del fuoco, chi si occupa della gestione della sicurezza di un’azienda diventa importante soltanto nel momento della necessità; così come alla stregua di una polizza assicurativa, la spesa sostenuta nel prevenire un danno viene ampiamente ripagata solo nel momento in cui si ha un incidente.

Mantenere una buona infrastruttura di cyber security aritmeticamente comporta solo uscite e il tentativo di minimizzare tale “perdita” può portare a pagare un servizio inefficiente o addirittura che rasenta l’inutilità. Tariffe inadeguate e soluzioni non idonee come abbiamo visto non si sposano bene con l’importanza che questo settore sta sempre più ricoprendo nel mercato globale e fa specie che in Italia proprio la pubblica amministrazione sia costretta ad attenersi a dei listini Consip che contraggono indiscriminatamente talmente tanto la spesa che è impossibile acquistare tramite essi prodotti con determinate caratteristiche o servizi di consulenza sulla cyber security che implichino un minimo di seniority.

Ciò crea un solco ben visibile sul piano dell’innovazione tra la realtà privata e la pubblica amministrazione.

Le PA italiane in genere sono caratterizzate da servizi web datati, da un alto numero di consulenti esterni che possono accedere alla rete interna dell’ente, da un limitato personale IT e da un buon numero di dipendenti non più giovani, che non hanno avuto un’adeguata informatizzazione e quindi è più facile che siano preda di campagne di phishing o che non identifichino eventuali contenuti malevoli.

Nello stesso tempo sono proprio quegli enti che detengono e gestiscono dati personali, fiscali e sanitari di tutti gli italiani. A qualcuno viene in mente un posto migliore da essere candidato come il paradiso del data breach?

Sensibilità e governance della sicurezza

La sicurezza informatica per me, come ho già detto, è una questione culturale, prenderla sul serio vuol dire decidere con fermezza politiche a cui tutti i componenti dell’azienda devono sottostare. Se tale cultura si trova ormai in tutte le grandi aziende, nello stesso tempo arranca nel penetrare le PMI e le PA.

Ci sono criteri di sicurezza che non possono essere negoziabili e questo si ottiene soltanto attraverso una governance chiara e snella che ponga la cyber security al di sopra di qualsiasi altro reparto dell’ICT. Secondo lo studio del Politecnico di Milano soltanto il 47% delle aziende italiane ha presente la figura del CISO (Chief Information Security Officer) e di questo 47% soltanto l’8% riporta direttamente al consiglio di amministrazione o all’organo decisionale aziendale.

Questo la dice lunga su come l’ufficio di sicurezza informatica venga visto in buona parte ancora come un servizio opzionale dell’ambiente sistemistico dell’ICT, con l’unica differenza rispetto agli altri reparti che spesso si pone paranoie e pianta grane.

Conclusioni

Nonostante tutto, il trend sulla cyber security anno dopo anno indica numerosi passi avanti in questo settore sulla piazza nazionale, ma c’è ancora tanto da fare per recuperare il terreno perduto rispetto agli altri nostri paesi partner. Soprattutto si deve iniziare a concepire il dato realmente come un valore, un bene da proteggere, solo allora la cyber security potrà entrare in una fase di maturità anche qui.

Si possono classificare gli attacchi informatici in tre categorie a seconda dello scopo:

  • di tipo revenge o sabotage (attacchi mirati contro qualcuno che porta ad un danno o indisponibilità di un servizio come ad esempio un DoS);
  • di tipo dimostrativo (attacchi con lo scopo di distribuire un messaggio o di dimostrare che si è riusciti a violare un sistema come ad esempio un defacement);
  • di tipo lucrativo (crimine eseguito con lo scopo di ottenere un guadagno come ad esempio i ransomware)

Si può dire che ormai il data breach può ricadere tranquillamente in tutte e 3 le categorie: infatti può essere effettuato sia per arrecare un grosso danno ad un’azienda, sia per dimostrare la violabilità di un sistema e sia per monetizzare dalla vendita di informazioni personali rubate.

Detto ciò, alla luce delle sanzioni che il GDPR prevede e del danno di immagine sempre più marcato che si ha a seguito di un furto di dati, credo che il data breach sarà il vero spauracchio futuro per numerose aziende nostrane e la vera sfida sarà farsi trovare pronti ed equipaggiati.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5