Le previsioni su quali saranno i trend chiave della cyber security nel corso del 2021
non mancano. Anche
Gartner ha indicato la propria visione in merito, con un punto di vista magari più ampio di altri. Ossia
considerando la sicurezza IT nell'ambito di un più generico risk management, un approccio che permette alla sicurezza IT di fare una "escalation" nella considerazione di molte aziende. Passando da tema percepito come tecnico-tattico ad una
evidenza strategica.
Certo le tematiche tecnologiche restano molto importanti nella cyber security. E Gartner infatti ne mette una in primo piano: quella che definisce
cyber security mesh. Per gli analisti è un approccio in cui i controlli di sicurezza sono collocati dove sono più necessari e non, come spesso accade, centralizzati in tool che operano in autonomia. La cyber security mesh prevede invece una
elevata interoperabilità fra le soluzioni, cosa che tra l'altro permette di dare migliori funzioni di gestione e protezione in uno scenario dove molti asset IT sono fuori dal perimetro di rete.
Una risposta possibile è quella che Gartner chiama
Identity-First Security: porre l'identità al centro della concezione stessa della cyber security, invece che concentrarsi sull'idea della difesa dei confini della rete. Casi come
quello di SolarWinds indicano che c'è ancora molto da fare in questo senso. Nonostante le soluzioni
ci siano. La crescita delle minacce in rete porterà ad uno sviluppo dei tool di
Breach and Attack Simulation (BAS), che mirano a fornire una
valutazione continua della "security posture" aziendale. Questo in contrapposizione con le valutazioni periodiche che le aziende di solito adottano, ad esempio con il penetration testing.
Se accettiamo i modelli per cui gli accessi alle risorse IT possono avvenire da ovunque, da chiunque ed in qualsiasi momento, una conseguenza è che diventa opportuno proteggere i dati sempre, e non solo quando sono "at rest" e in movimento sulle reti. È la
Privacy-Enhancing Computation: proteggere i dati quando vengono usati, che è poi il messaggio del
confidential computing in generale. Gartner stima che entro il 2025 la metà delle grandi imprese avrà adottato qualche forma di Privacy-Enhancing Computation.
Non solo tecnologie
La cyber security del 2021 cambia anche in funzione di come cambia il modo di operare delle imprese e di come si muove il mercato. Nel primo ambito, per Gartner il fenomeno chiave sarà
la permanenza del remote working: il 30-40% della forza lavoro continuerà e restare a casa e questo imporrà a molte impresa una rivisitazione totale delle policy e degli strumenti di sicurezza che usano. A favore di quelli che sono meglio in grado di proteggere i workspace disaggregati. Endpoint protection, data protection, disaster recovery, backup vanno tutti rivisti in funzione del muovo scenario.
La progressiva diffusione di oggetti smart in rete pone poi un problema nuovo: la gestione delle identità digitali non umane. Le
Machine Identity fanno capo a dispositivi che interagiscono in maniera autonoma con altre entità, dispositivi, applicazioni. E tutte devono rientrare in una
architettura di sicurezza comune.
Cambia anche il mercato: secondo Gartner le aziende
vogliono ridurre il numero di fornitori di cyber security di cui si servono. Oggi un CISO deve gestire troppi tool nella sua rete (
16 o più per il 78% dei CISO, addirittura 46 per il 12%) e questa situazione non appare sostenibile. La focalizzazione delle imprese su pochi fornitori spingerà il settore ad un certo consolidamento, difficile da valutare al momento.
In tutto questo, la cyber security cresce di importanza in azienda. È già considerata il secondo più importante fattore di rischio dopo la compliance, serve gestirla meglio anche a livello dirigenziale. Per questo secondo Gartner entro il 2025 il 40% dei Consigli di Amministrazione (oggi la quota è inferiore al 10%)
avrà un comitato dedicato in modo specifico alla cyber security, guidato da un membro esperto del CdA o da un consulente esterno.
Forse questo aiuterà a risolvere un problema già visto e trasversale. Lo
skill gap in termini di cyber security. L'80% delle aziende
fa fatica a trovare e mantenere i professionisti della sicurezza necessari. Il che impatta sulla capacità di portare avanti progetti IT sicuri.