Security managementSicurezza

Devops, cloud e IA cambiano lo scenario sicurezza, ma non basta

Nel 1998 inizia la sua esperienza nel mondo IT in Mondadori e partecipa alla nascita di Web Marketing Tools di cui coordina la redazione. Redattore esperto di software per PC Magazine, e caporedattore di ComputerIdea, segue da circa 20 anni l'evoluzione del mondo hardware, software e dei servizi IT in un confronto continuo con le aziende leader del settore

Le applicazioni e la collaborazione tra team di sicurezza e devops è un trend portante per il 2017, ma serve la consapevolezza degli utenti e lo sviluppo di competenze

La difesa perimetrale, che per tanti anni ha rappresentato il riferimento unico e assoluto – quando si parla di sicurezza – non è andata in pensione. Cloud e Internet of Things (Iot) hanno sì portato in primo piano altre prospettive, ma sarebbe ugualmente sbagliato trascurare i cardini base di un approccio che se è impossibile assecondare esclusivamente, porta comunque regole ancora valide da seguire. Tra i sostenitori di una sorta di nouvelle vague per la sicurezza c’è  VMware che definisce cinque tendenze per la sicurezza da tenere sott’occhio per il 2017, secondo la prospettiva di chi, come vendor, è naturalmente portato ad evidenziare il ruolo della virtualizzazione e del cloud computing. Per questo le indicazioni di Tom Corn Vice President of Security Product, sono da un lato utili per ampliare l’orizzonte di prospettiva dei nostri CSO, ma non possono prescindere da un’attenzione che deve essere a nostro avviso ancora più ampia e comunque incardinarsi su una maggiore centralità dell’utente.

Tom Corn - Senior Vice President, Security Strategy and Products, VMware
Tom Corn – Senior Vice President, Security Strategy and Products, VMware

Secondo Corn nell’era del cloud ibrido la massima attenzione deve essere portata verso le applicazioni e i dati, che sono i beni da proteggere. Corretto, tanto più se si pensa al fatto che in precedenza ci si è occupati prevalentemente (ma anche esclusivamente) delle infrastrutture tout court, demandando ai software sui client il resto.

Per il 2017 questo significa un ottimo allineamento dei team di sicurezza con i team di sviluppo nell’era Devops e Container. Nello specifico si cercherà di rendere più trasparente ai team che si occupano di sicurezza i dettagli sulle componenti applicative.  E si cercherà di sfruttare sistemi di micro-segmentazione di rete, con endpoint e controlli di rete allineati. 

Un altro trend consolidato sembra essere legato alla strategia di sfruttare il cloud computing per dare sicurezza alle infrastrutture e alle app. Quindi si sfrutteranno le potenzialità del cloud e la possibilità di automatizzare le risposte agli incidenti di sicurezza senza tralasciare i benefici di una maggiore visibilità di insieme. Agevolati da semplicità e automazione che dovrebbero diventare il nuovo mantra. Da un lato le organizzazioni si rendono conto di avere a disposizione poche risorse umane competenti al punto da governare una complessità crescente, dall’altro rincorrono possibilità di automazione, che non possiamo non vedere necessariamente da correlare con risorse di intelligenza artificiale.

E’ rischioso tuttavia pensare, come sembra fare Corn, che si possa arrivare ad un’automazione efficiente come rimedio alla mancanza di competenze. Il nostro dubbio è infatti, c’è una sicurezza automatizzata possibile partendo dall’impossibilità di governare il presente? Ci sembra un quesito legittimo.

Pensiamo alle possibilità di attacchi sempre più importanti e strutturati generati da tool preconfezionati in mano a persone meno competenti (tuttavia forse più facili da gestire), ma pensiamo anche a grandi organizzazioni di cybercrime in grado di bypassare gli automatismi di determinati sistemi di protezione con livelli di competenza davvero allo stato dell’arte anche in ambiti come la psicologia cognitive, le scorciatoie di processi mentali.

Corn sfiora solamente questo tema che invece a nostro avviso è pregnante per comprendere cosa potrebbe succedere. Lo fa parlando di sicurezza mobile e controlli delle identità, sottolineando come sicurezza mobile e gestione di identità e accessi debbano integrarsi ulteriormente. Agiamo sulle infrastrutture IT e per la gestione dei dati personali sempre di più sfruttando i dispositivi in mobilità.

Qui non è sufficiente semplicemente verificare che l’utente sia chi dice di essere, non basta essersi garantiti che sui server stia agendo la persona che è legittimata a farlo, ma serve un doppio approccio. Prima di tutto bisogna lavorare sul livello di competenza e di consapevolezza del soggetto umano (quante persone fanno clic sul link sbagliato e letale, proprio perchè magari sono di fretta, con il loro smartphone, magari sfruttando un’interfaccia non adeguata), in secondo luogo bisogna cercare di uniformare il livello di sicurezza dei browser, sempre più finestra di accesso all’universo mondo cloud. Su mobile quasi mai sono implementate le stesse funzionalità sulle diverse piattaforme, basta pensare al mondo Java, agli infiniti contenuti Flash mal o non supportati. Insomma c’è tanto da fare. 

Partecipa alla nostra inchiesta: La tua azienda adotta soluzioni cloud?


… per rispondere alle altre tre domande, clicca qui…

WHITE PAPER: Sei interessato ad approfondire l’argomento?  Scarica il whitepaper  “Il business case per la sicurezza a più livelli