L’idea che sta alla base della
sicurezza informatica non è poi cambiata troppo nel corso degli anni. La protezione da quelli che una volta si chiamavano “virus” mirava a evitare che venissero bloccati computer o che si perdessero irrimediabilmente dei dati importanti. Questi concetti valgono ancora oggi, ma si calano in uno scenario reso assai più complesso dalla moltiplicazione delle modalità di accesso e raccolta delle informazioni, dal numero di dispositivi da controllare, dalla raffinatezza delle tecniche di attacco, dagli sviluppi tecnologici e dalle disposizioni normative in continua evoluzione.
Di fatto, la preparazione alla cybersecurity può essere definita come la capacità per un’azienda di rilevare e reagire efficacemente alla vulnerabilità e alle intrusioni informatiche, ma anche alle varie tipologie di attacchi malware, che siano orientati al blocco dei sistemi o alla sottrazione di dati, all’interno e all’esterno della rete
. Prevenire e rilevare sono i due elementi portanti di ogni strategia di sicurezza It che si rispetti. Nel corso del tempo, il peso degli strumenti adottati nelle aziende si è spostato nell’una o nell’altra direzione, ma la seconda sembra oggi aver assunto un’importanza fondamentale, poiché ormai tutte le aziende sono consapevoli che, presto o tardi, saranno vittime di violazioni e, quindi, diventa essenziale ridurre al minimo un tempo di rilevazione che ancora oggi si colloca mediamente fra i 9 e i 18 mesi.
Intervenire per tempo consente di limitare i danni di un’intrusione e abbassare i costi di recupero. La capacità di comprendere le attività regolari della propria rete e intercettare quanto diverge dallo standard appare un elemento centrale della preparazione alla cybersecurity. ImpresaCity ha messo a confronto esperienze e punti di vista di alcune aziende - Hera, Aruba, Gruppo Miroglio, Acqua Minerale San Benedetto - cercando di isolare le preoccupazioni oggi più stringenti per i responsabili dei sistemi e della sicurezza informatica delle aziende, non solo per capire quali siano gli orientamenti strategici su questo fronte, ma anche per capire dove si stiano concentrando le attività di controllo, quali siano i vettori di rischio più temuti e anche quale sia il percorso in essere per arrivare in modo corretto alla scadenza del 25 maggio 2018, quando entrerà in vigore il Regolamento Generale sulla Protezione dei Dati (Gdpr) su scala europea.
Le priorità del momento La definizione di un’efficace strategia di sicurezza informatica deve necessariamente partire da obiettivi chiari e attuarsi attraverso azioni costanti nel tempo e sempre più capaci di coinvolgere tutto il personale aziendale, per prevenire nel miglior modo possibile comportamenti o azioni foriere di rischio. Questa strada è stata seguita da una utility di primaria importanza come
Gruppo Hera: “Per noi sicurezza vuol dire soprattutto garantire la continuità del servizio – sottolinea Piera Fasoli, Direttore Sistemi Informativi -.
La definizione di un piano di disaster recovery e la ridondanza dell’infrastruttura per la business continuity sono i nostri pilastri per affrontare ogni tipo di incidente. Ovviamente, ci dobbiamo preoccupare anche di come minimizzare il rischio di attacco, per cui nel tempo ci siamo dotati di tutti i filtri preventivi e sistemi di controllo necessari. Negli ultimi tempi, ci siamo concentrati molto sulla formazione del personale, organizzando un workshop per tutti i direttori di funzione ed eseguendo simulazioni di ethical phishing per diffondere consapevolezza e modalità di comportamento. L’analisi dei log riferita agli attacchi subiti. Infatti, ci ha portato a concludere che la causa non sia mai da imputare a carenze dell'infrastruttura, bensì a comportamenti di singoli individui e account personali”.
La natura della propria attività e la tipologia di servizi proposti ha portato
Aruba ad affrontare fin dagli inizi della propria storia non solo la protezione dell’infrastruttura fisica, ma anche tutti gli aspetti collegati all’utilizzo del cloud: “
Ci siamo dotati prima di tutto di una serie di figure prettamente dedicate alla sicurezza – racconta il direttore marketing della società, Stefano Sordi -
a cominciare da un responsabile che si preoccupa di definire tutte le procedure sia in conformità alle certificazioni di cui disponiamo sia a livello interno in termini di gerarchia degli accessi. La natura tipicamente online della nostra attività ci ha spinto a definire standard molto elevati e in buona parte riservati. A livello di accesso alla rete, utilizziamo un sistema di autenticazione a tre fattori, mentre per i dispositivi utilizziamo la firma digitale”.
I dilemmi della security: prevenzione, rimedio, controllo interno Se per lungo tempo il tema della protezione di sistemi, dati e applicazioni è stato associato essenzialmente alla logica della prevenzione, nell’ultimo periodo l’accento si è spostato sul rimedio, nella convinzione che gran parte delle difese messe in opera non sia sufficiente a impedire che qualche forma di malware possa penetrare e sia, quindi, più utile rilevare nel minor tempo possibile la falla e attivare le azioni necessarie a bloccarne la propagazione.
Il panel delle aziende costruito per la tavola rotonda virtuale ha mostrato posizioni variegate su questo tema, nella consapevolezza diffusa che non sia scontato e forse nemmeno del tutto utile scegliere un solo lato del campo: “
La prevenzione si attua con la definizione di precise regole di comportamento da parte del personale e con opportune segmentazioni della rete per capire le zone di maggiore o minore impatto di una minaccia – conferma Claudio Basso, Cio di Acqua Minerale San Benedetto -.
L'idea di adeguare regole e architetture deve andare a braccetto con l’introduzione di tecnologie capaci di rilevare in tempi molto rapidi le minacce che sono in qualche modo passate”.
Un po’ più schierato verso la remediation il punto di vista di un’azienda che opera nel mondo della moda, come
Gruppo Miroglio: “L’azienda sta assumendo una forma sempre più liquida, il confine si è ampliato e dobbiamo tenere presente che ci interfacciamo con una popolazione di diverse migliaia di persone, fra sede centrale e punti vendita sul territorio – spiega il Chief Technology Officer Luciano Manini -.
Abbiamo attuato nel tempo iniziative di sensibilizzazione anche molto spinte, ma in uno scenario così variegato qualche situazione di pericolo, spesso creata inconsapevolmente, si può verificare. Quindi, occorre preoccuparsi essenzialmente di avere la capacità di reagire a ogni minaccia e attivare rapidamente l’opportuna contromisura”.
Più o meno tutti concordano sul fatto che un’attenzione costante e continua nel tempo vada posta sul comportamento del personale, da un lato non abbassando la guardia sull’opera di sensibilizzazione e formazione e dall’altro utilizzando strumenti utili a minimizzare gli effetti di azioni incaute, quando non espressamente fraudolente:
“La nostra esperienza ci dice che la maggior parte degli attacchi rilevati deriva da tecniche di phishing – rimarca ancora Basso (Acqua San Benedetto) -.
Per questo, noi lavoriamo sulla sensibilizzazione delle persone attraverso informazioni sufficientemente capillari sulle minacce e i meccanismi di propagazione, anche con seminari periodici affidati a esperti di sicurezza. Sul piano più tecnologico, stiamo pensando di integrare strumenti che consentano di rilevare i comportamenti anomali all'interno della rete aziendale”.
Le fonti di pericolo e le scadenze normative I vettori di possibili minacce si sono moltiplicati negli ultimi anni. Non è passato troppo tempo da quando ci si preoccupava essenzialmente del personal computer e delle memorie esterne. Oggi, il traffico Web e di posta elettronica, la mobility, il cloud e, in prospettiva, l’Internet of Things sono canali attraverso i quali circolano e si diffondono le forme più variegate di malware:
“Occorre lavorare su diversi fronti – avvalora Antonio Chiappara, responsabile dell’It Governance & Security di Gruppo Hera -. Noi ci siamo dotati di sistemi di gestione di accessi e identità come prima soglia di protezione, ma ci siamo anche preoccupati di crittografare i contenuti sensibili sui dispositivi portatili e far sì che la perdita o furto porti all’immediata cancellazione dei dati aziendali contenuti”.
Una realtà come
Aruba non può che concentrare la propria attenzione sul tema del cloud:
“Il nostro osservatorio pone in rilievo soprattutto timori legati alla perdita di controllo sui dati – rileva Sordi -. In realtà, abbiamo più volte dimostrato come a livello infrastrutturale la sicurezza aumenti, mentre il controllo resta interamente nelle mani dell'utilizzatore. A patto che scelga fornitori certificati e magari si preoccupi di allocare i dati in infrastrutture con sede in Italia o almeno in un paese dell’Ue, dove la normativa sul tema è più stringente. D’altra parte, le esigenze di time to market che arrivano dalle linee di business richiedono risposte precise da parte dell’It e, in loro mancanza, ci si espone al rischio di approvvigionamento di risorse cloud in maniera autonoma”.
Sulle strategie e le decisioni di investimento a breve e medio termine aleggia poi la necessità di adeguarsi a quanto prescritto dal Gdpr:
“Dopo esserci dotati di una piattaforma per sottostare alle normative del Garante riferite agli amministratori di sistema, ma anche per curare gli aspetti di risk management e vulnerability assessment – illustra Manini (Miroglio) – ora abbiamo avviato un progetto che prevede inizialmente di mappare tutti i sistemi che contengono dati sensibili e poi di fornire al Consiglio di Amministrazione un quadro generale di compliance utile per decidere quali iniziative a mettere in campo per attuare quanto necessario”.