e sfide che si sono trovati ad affrontare i CIO durante la fase dell’emergenza da coronavirus non sono finite con l’uscita dalla quarantena. Soprattutto sul fronte della sicurezza IT, ciò che è emerso in termini di vulnerabilità e inadeguatezza deve ora guidare le politiche di cybersecurity con un approccio diverso basato su nuovi strumenti. Quando si fa riferimento, infatti, al massiccio spostamento della forza lavoro da un modello incentrato sulla presenza in sede a uno di remote o smart working, si tende a ritenere che questa circostanza sia stata una criticità soprattutto per le piccole imprese, poco avvezze a gestire i collaboratori a distanza. In realtà, anche le grandi aziende, che avevano in precedenza avviato esperienze di smart working, si sono trovate dinanzi una situazione con numeri totalmente sfalsati rispetto a quelli a cui erano abituate. Un conto è prevedere pochi smart worker che per qualche giorno al mese svolgono la propria attività fuori ufficio, un altro è ridisegnare l’intera organizzazione, comprese le tecnologie e i profili di sicurezza IT, alla luce di un capitale umano completamente decentrato. Con l’aggravante che il Covid-19 non solo non ha attenuato i rischi di data breach o phishing, ma li ha addirittura fatti crescere enormemente, come dimostrano i tanti allarmi lanciati da febbraio a oggi, a cominciare da quello dell’OMS che da inizio marzo è stato fatto oggetto di tentativi di intrusione APT (advanced persistent threat).
Una cybersecurity per contrastare l’incremento delle minacce
La scelta di nuovi strumenti che garantiscano una cybersecurity idonea agli scenari post pandemici deve tenere conto di come le minacce si sono evolute nel corso degli ultimi mesi. Il rapporto Clusit 2020 sulla sicurezza ICT in Italia ha confermato alcune tendenze già individuate nel biennio che precede la sua ultima rilevazione. Al primo posto campeggia la categoria malware, che nel 2019 ha rappresentato il 44% del totale. Nel periodo di isolamento si è assistito a un incremento esponenziale degli attacchi ransomware realizzati infettando tramite malware la rete o i dispositivi aziendali e personali. Questi ultimi, in particolare, spesso sono stati adoperati con pratiche BYOD (bring your own device) estemporanee dettate dall’urgenza e non da un sistema di endpoint management attento anche a presidiare complessivamente la superficie potenzialmente esposta. Forbes Insights, in collaborazione con IBM, ha dato un nome a questa scarsa visibilità su un perimetro aziendale molto più esteso di quanto possa essere un assetto desktop-centrico. Alla fine del 2018, infatti, ha condotto una ricerca intervistando 353 dirigenti di tutto il mondo per conoscere le loro prospettive in materia di sicurezza informatica e resilienza. La domanda di fondo, che coincide con la seconda parte del titolo della ricerca riguardo alla Percezione dei gap nella cyber resilience, era: Dove sono i vostri punti ciechi?
Il cloud come alleato per costruire una cyber resilience completa
In tempi non sospetti, come si vede, Forbes Insights aveva posto la questione sollevata da ecosistemi tecnologici ormai allargati oltre le quattro mura dell’organizzazione. Una questione da cui dipendono una serie di “aree grigie” nelle quali non è chiaro chi è responsabile della sicurezza e chi ne sostiene i costi in caso di una violazione, un’interruzione, un semplice errore o un sabotaggio a tutti gli effetti. La vera differenza, che l’epidemia ha reso ancora più evidente, è tra una sicurezza IT intesa come mitigazione del rischio e una che corrisponde a un impegno a favore di una strategia di resilienza cyber completa. Per citare James Kaplan, partner e co-leader di IT infrastructure and cybersecurity presso McKinsey, le cui considerazioni sono state riportate nello studio, molte organizzazioni “pensano ancora alla cybersecurity come a un problema tecnico e non a un problema di business”. Invece, affinché temi come la business continuity e il disaster recovery siano parte integrante di una strategia globale, è lo stesso Kaplan a sottolineare che la sicurezza e la resilienza dei maggiori cloud provider sono di gran lunga superiori a quelle che le aziende potrebbero raggiungere da sole. Un’affermazione giustificata dal fatto che è nel cloud che si possono costruire ridondanze multiple ed è lì dove si pone naturalmente l’avanguardia per il rilevamento di nuove minacce.
La responsabilità dei cloud provider condivisa con le aziende
La propensione a investire in servizi di cloud security è stata registrata nell’ultima edizione dell’Osservatorio Information Security & Privacy del Politecnico di Milano. Una quota pari al 13% della spesa totale (1,3 miliardi di euro) sostenuta nel 2019 in Italia per la sicurezza IT è riconducibile a questo ambito. Gli investimenti in cloud security rispecchiano i trend della migrazione verso sistemi hybrid e multi cloud, ma sono anche un segnale della maggiore convenienza che la nuvola introduce dal punto di vista della sicurezza e della compliance. Il gap sull’identificazione delle responsabilità, richiamato da Forbes Insights, nel caso dell’implementazione di soluzioni di business continuity e disaster recovery viene colmato perché risulta a carico del cloud provider. Il che non esclude una responsabilità condivisa, ma fa tabula rasa dei tradizionali modelli di cybersecurity costruiti dalle imprese nel corso degli anni esclusivamente sull’on-premises. Per questo oggi i CIO sono chiamati ad avere competenze interne in grado di interfacciarsi correttamente con i cloud provider, per comprenderne a fondo le dinamiche di sicurezza correlate e coinvolgere così tutti i dipendenti attraverso la consapevolezza inerente soprattutto l’accesso a dati, applicazioni e device. Perché non si tratta di stabilire se il cloud è sicuro o meno, sostiene Kaplan, quanto di capire se le organizzazioni sono capaci di utilizzarlo in modo sicuro.
Un esempio di sicurezza per l’UEM: l’IBM Security MaaS360
Tra i nuovi strumenti a supporto della cyber resilience fondata sul cloud e su una architettura multidevice e multipiattaforma rientrano le soluzioni UEM (unified endpoint management). Gartner, che ogni anno dedica uno dei suoi Magic Quadrant a queste tecnologie, definisce i tool UEM come quelli che “combinano la gestione di più tipi di endpoint in un’unica console”. Oltre a governare le funzioni di configurazione, gestione e monitoraggio di vari ambienti (iOS, Android, Windows 10, macOS, Linux ecc.), nonché di dispositivi IoT e wearable, gli UEM riescono a orchestrare i servizi di identità e l’infrastruttura di sicurezza. Per fare un esempio, l’IBM Security MaaS360 si occupa di proteggere in chiave integrata endpoint diversificati e in mobilità (non è un caso se il colosso di Armonk è stato inserito fra le aziende leader nel Magic Quadrant di Gartner). Basato sull’intelligenza artificiale e sui servizi cognitivi di Watson, MaaS360 è stato offerto gratuitamente per 90 giorni ai nuovi clienti, insieme a IBM Cloud Identity, il sistema di Identity as-a-service (IDaaS) per amministrare gli accessi in sicurezza. L’obiettivo è quello di far sperimentate un metodo di individuazione dei threat e di risposta adeguata a una collocazione remota degli endpoint che sfruttano le risorse in cloud. Un obiettivo che si può ottenere soltanto dando visibilità piena a terminali e reti in maniera tale da eliminare quei punti ciechi e quelle aree grigie che possono inibire la cyber resilience.