INCHIESTA SICUREZZA – I consigli per una strategia adattiva

Security managementSicurezza

Parte terza – Come si appronta un piano per la sicurezza in azienda? Quali sono le cose da tenere sotto controllo? Lo abbiamo chiesto ai vendor. Le nuove sfide richiedono un approccio adattivo

Siamo arrivati all’ultima parte della nostra inchiesta sulla sicurezza. Consapevolezza, ansia da preparazione per il GDPR in scadenza, nuovi modelli di difesa dettati anche dalle tecnologie emergenti IoT e Big Data… Abbiamo tutto passato al ‘setaccio’ ascoltando i lettori e i vendor. Con il nostro ultimo appuntamento arriviamo all’approccio strategico. I lettori in questo ambito hanno espresso una posizione molto interessante. In un’analisi più approfondita potremmo quasi definirla all’italiana. Vince il confronto. E l’approccio non necessariamente eterogeneo (nel senso negativo del termine), quanto piuttosto attento allo studio della soluzione migliore, da chi offre il meglio in un determinato comparto.    

A chi vi affidate per la sicurezza in azienda?
A chi vi affidate per la sicurezza in azienda?

Spieghiamo così quest’ultima infografica del nostro sondaggio: i lettori hanno superato il modello di protezione esclusivamente su client (abbiamo inserito questa domanda in parte provocatoria, pensando proprio alla nostra piccola e media azienda) e – verrebbe da dire fortunatamente – anche l’approccio basato sull’emergenza, per cui vince il fornitore che arriva ‘nel momento del bisogno’. Praticamente metà del campione si affida a consulenti e vendor diversi, e un quarto sceglie un unico fornitore. Sentiamo allora i vendor.

A ciascuno il suo… Principi comuni, ma soluzioni specifiche

Per la nostra ultima domanda: Se doveste definire una strategia di approccio alla sicurezza, quali sarebbero i vostri consigli? Una prima traccia importante è proposta da Check Point, in modo molto stringato ma efficace. Secondo David Gubiani, Security Engineering Manager di Check Point Software Technology, non è possibile definire una tattica valida sempre, perché l’attività dell’azienda, gli strumenti utilizzati per sviluppare il business, possono rivelarsi determinanti nella scelta del percorso da intraprendere.

David Gubiani
David Gubiani, Security Engineering Manager di Check Point Software Technology Italia

Per questo, con il cliente, è importante fotografare con precisione un punto di partenza, procedere attraverso un assessment strutturale e di analisi delle minacce e poi scegliere una via. L’approccio specifico di Check Point è l’offerta di un Security Checkup, l’attività svolta dagli specialisti presso il cliente finale per capire quali minacce sono in corso nella loro rete e come proteggersi ed eventualmente ridisegnare la sicurezza insieme.

La fotografia del punto di partenza è fotografia anche dell’infrastruttura IT (hardware/software), lo specifica Trend Micro che evidenzia come siano da considerare geolocalizzazione e numero di postazioni, gli asset fondamentali da proteggere le specificità del settore merceologico. Di recente Trend Micro ha utilizzato questo approccio con Telethon, che aveva la necessità di omogeneizzare in un unico punto di controllo tutto ciò che è relativo alla gestione della sicurezza, tutelando quei sistemi non più supportati come Windows Server 2003 e mettendosi al sicuro da possibili attacchi mirati, frequenti nel settore dove questa organizzazione opera. Lo si è fatto con Deep Security e Deep Discovery.

Gastone Nencini - Country Manager Trend Micro italia
Gastone Nencini – Country Manager Trend Micro italia

Teniamo di questo approccio il primo valore comune: quello di evitare le formule predefinite, una ricetta sempre valida, le rigidità. A questo FireEye aggiunge il concetto di maturità interna all’azienda. Un approccio interessante declinato anche dall’infrografica che alleghiamo.

Cyber Program Maturity
FireEye Cyber Program Maturity

Questa valutazione secondo Marco Rottigni, Consulting System Engineer per FireEye, permette di capire la validità e l’efficacia di quanto sia già implementato in azienda, verificare le aree di scopertura e eventuali lacune della protezione esistente. Diventa quindi possibile pianificare la propria strategia di maturazione cyber lavorando di pari passo su tre ambiti:
(a) il miglioramento degli strumenti con soluzioni che aumentino le capacità di visibilità, analisi e risposta sia di minacce note che non;

Marco Rottigni, Consulting System Engineer per FireEye
Marco Rottigni, Consulting System Engineer per FireEye

(b) l’aumento delle competenze interne per contrastare le nuove forme di minaccia e i rischi che pongono verso il business e il patrimonio di proprietà intellettuali e dati aziendali;
(c) l’adozione di forme di Cyber Threat Intelligence, strutturate per essere consumate al meglio dal punto di vista tattico (con indicatori di compromissione), operativo (tramite tecniche e strumenti di attacco) e strategico (con la classificazione degli attaccanti e profili di rischio). 

Anche BitDefender, propone un approccio tattico/strategico che tenga conto prima di tutto delle nozioni base di awareness e consapevolezza. Al centro le valutazioni sullo stato di rischio, Risk Based, il confronto con gli standard riconosciuti come riferimento nella costruzione dei programmi di sicurezza (per esempio il Framework Nazionale per la Cybersecurity che è stato sviluppato sulle best practice del NIST) e poi l’investimento in programmi interni di Security Awarness per la forza lavoro. 

Vittorio Denis Cassinerio
Vittorio Denis Cassinerio Regional Sales Director di BitDefender Italia

Siamo un pochino alla chiusura del cerchio, rispetto alla prima puntata. Così, secondo  Denis Valter Cassinerio Regional Sales Director di BitDefender“la tecnologia di per se non può sostituirsi al comportamento inidoneo dell’individuo, che ha necessità di maggiore consapevolezza dei rischi che corre nel non adottare un’adeguata attenzione alla gestione delle informazioni ed all’utilizzo degli strumenti”.

Cosa NON bisogna fare

Come ci si muove, allora: (a) prima di tutto l’atteggiamento da ‘testa sotto la sabbia’ non porta a nulla e costringe a riemergere e prendere atto dei disastri quando la situazione è del tutto compromessa. Prima si considerano le cose meglio è. In secondo luogo (b) la valutazione dell’impatto sul business non può prescindere dalla stesura di un piano di continuità operativa, e tanto richiede le simulazioni del caso. BitDefender indica come siano essenzialmente preferibili le tecnologie di tipo “layered” per ridurre lo stato di rischio degli asset e l’esposizione agli attacchi, e allo stesso tempo come da dimenticare quelle di difesa statica. 

Filippo Monticelli, Regional Director per l'Italia
Filippo Monticelli, Regional Director per l’Italia

Il paradigma di difesa però si modellerà sulle soluzioni di memory introspection che, insieme alla strategia volta a diventare ‘obiettivi mobili’, e non bersagli fissi, può mettere in difficoltà sempre maggiori l’attaccante.
Fortinet, con Filippo Monticelli, Regional Director per l’Italia torna sul concetto dei livelli, per parlare dell’integrazione della sicurezza non come ‘strato‘ sopra i processi, ma per veicolare l’idea di integrazione la security in fase di progettazione dei processi, quindi non tanto affidandosi a mere soluzioni hardware/software ma pensando piuttosto a una strategia complessiva prima ancora che alle tecnologie presenti in azienda, per poi scendere nell’implementazione puntuale senza sacrificare l’interoperabilità. 

Arriviamo a un ulteriore passaggio: la completezza. Morten Lehn, General Manager Italy di Kaspersky Lab“Si cade anche perché dopo aver pensato a un approccio strategico globale, si finisce con il prestare meno attenzione a tutti i dispositivi. ]…[ Bisogna inoltre dotarsi di servizi di intelligence sulla sicurezza da parte di fornitori autorevoli, che aiutino a prevedere, riconoscere e rispondere alle minacce più avanzate in tempo reale”.

Morten Lehn
Morten Lehn, General Manager Italy di Kaspersky Lab Italia

La cultura interna sulla sicurezza non è solo consapevolezza, ma molto concretamente anche solo l’utilizzo inappropriato delle risorse IT da parte di impiegati disinformati o disattenti, può causare danni significativi.

Di pari passo però, come evidenzia Forcepoint, la cultura da sola aiuta a tenere gli occhi aperti, ma non basta. Luca Mairani Sr. Sales Engineer ForcePoint: “Di fronte a un’email (su cui l’utente magari dimostra almeno di essersi posto qualche domanda), c’è una bella differenza tra soluzioni che si limitano a trattarla come spam e a cancellarla o a metterla in quarantena, e soluzioni che “disarmano” tutti i link contenuti facendoli puntare a una pagina educativa aziendale (Forcepoint propone Insider Threat)”.

Luca Mairani Sr. Sales Engineer ForcePoint
Luca Mairani Sr. Sales Engineer ForcePoint

Nel momento in cui l’utente dovesse cadere nella trappola e cliccare sul link si ritroverebbe a consultare un contenuto educativo mirato ad informare ed educare l’utente a riconoscere email potenzialmente malevole. 

Mantenere il controllo è quasi un obiettivo

Abbiamo aggiunto diversi tasselli valutativi: la fotografia della situazione, l’analisi dei processi, l’attenzione per gli endpoint, l’integrazione delle soluzioni nei processi e la formazione interna, per tornare infine al nocciolo del dato. Per Symantec e Vittorio Bitteleri, Head of Sales Enterprise Security Italia, così come “è giusto non ‘distogliere l’attenzione’ dagli oggetti, allo stesso modo la centralità di informazioni, accessi e identità resta”.

Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia
Vittorio Bitteleri, Head of Sales Enterprise Security Symantec Italia

Per questo, ancora prima che nei piani di maintenance, rientrano nella sfera security, oggi, anche backup, ripristino, procedure di autenticazione allo stato dell’arte, uso esteso della crittografia, adozione di livelli di sicurezza sui dati a due livelli: la prevenzione e il contenimento (che funziona meglio tramite le tecnologie di contenimento euristiche, come Sonar e Sapient).

Conoscere della propria realtà le possibili vulnerabilità, mantenere il controllo della situazione, e anche solo sapere cosa fare, quando si è sotto attacco, è già aver affrontato la parte più difficile, aver raccolto la sfida nella direzione corretta. Vogliamo chiudere con una sollecitazione, raccogliendo il suggerimento di F-SecureAntonio Pusceddu Country Sales Manager, Corporate Sales: “E’ necessario fare divulgazione: ed è un compito che spetta principalmente a tutti noi vendor. Un canale formato, e una azienda informata, sono il punto di partenza di una strategia seria, e di lungo periodo”.

Antonio Pusceddu Country Sales Manager, Corporate Sales
Antonio Pusceddu Country Sales Manager, Corporate Sales

Bisognerà affrontare le resistenze iniziali, incoraggiare chi ha già compreso come l’investimento suggerito in cyber security sia una frazione irrilevante rispetto al possibile danno di un blocco della propria attività produttiva o di servizio. Sollecitare gli altri. E’ certo questo un momento in cui l’unione fa la forza. L’idea, anche la nostra è proprio che non esista una sola tecnologia e non esista un solo vendor capace di coprire il 100 percento delle necessità di sicurezza aziendale. Era anche il parere dei nostri lettori. 

Per saperne di più

Read also :
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore