La protezione delle identità e dei dati, un piano strategico di cybersecurity che poggi su pilastri solidi, una visione data-centric della sicurezza. Ci sono oggi approcci molto efficaci, che possono aumentare la resilienza informatica di un’organizzazione: sono diventati fondamentali per resistere in caso di incidente cyber. Abbiamo discusso di questo il tema di primaria importanza nella roundtable: “The Cyber Resilient Organization: dalla Business Continuity a Data Protection, Application e Identity Security, Security Awareness” del Cybersecurity Summit 2024, lo scorso 29 febbraio a Milano, con la partecipazione di relatori di Marcello Fausti, Responsabile Cybersecurity, Italiaonline; Salvatore Bertolino, Major Account Executive, Ping Identity; Andrea Renna, Senior Vice President of Sales, Comforte; Alberto Borgonovo, CISO, Sisal; Pietro Felisi, Senior Sales Engineer, Barracuda; Simone Mulattieri, Senior Presales Manager, Kaspersky Italia.
Come impostare un moderno programma di protezione delle identità digitali? “Il tema delle identità è cruciale – ha detto Marcello Fausti, Responsabile Cybersecurity, Italiaonline -. Perché un attaccante dovrebbe perdere tempo a utilizzare strumenti di intelligenza artificiale quando ha a disposizione grandi raccolte di credenziali pronte per essere utilizzate nelle sue attività? Le grandi aziende (una piccola minoranza in Italia) gestiscono sicuramente in modo corretto le identità delle proprie persone o, meglio, del proprio ecosistema esteso. Il concetto di ecosistema è fondamentale, poiché la trasformazione digitale non ha portato solo benefici come l’aumento della velocità e dell’efficacia, ma anche rischi legati all’ampliamento del perimetro aziendale. La gestione delle identità è uno dei temi chiave in questo contesto”.
Gestire in modo ordinato le identità è però una grande sfida. La consapevolezza (awareness) è molto importante, ma, a quanto pare, non è mai sufficiente. Anche se le identità vengono impostate e gestite secondo processi definiti, ci sono ancora aspetti difficili da affrontare, specialmente per chi ha strutture operative complesse come i customer care.
“Fino a poco tempo fa, ritenevamo che le credenziali con privilegi di amministratore fossero le più importanti – ha detto Marcello Fausti -. Tuttavia, recentemente abbiamo assistito a un attacco a un grande cloud provider che ha sfruttato come testa di ponte una semplice identità senza alcun privilegio. Questo ha permesso agli attaccanti di entrare nel cloud e ottenere l’elevazione dei privilegi partendo dalle applicazioni fornite in modalità standard nel cloud. Questo ci preoccupa notevolmente. Significa che l’attenzione sulla protezione delle identità deve essere ancora maggiore di quella che abbiamo avuto fino ad oggi, e il cloud purtroppo non risolve tutti i problemi”.
Troppi cloud provider stanno mostrando segni di debolezza, e questa non è una buona notizia. Se fino ad ora eravamo più tranquilli pensando che il cloud potesse risolvere molti problemi, ora sappiamo che non è così.
Decentralized Identity (DiD). Ridefinire la sicurezza nell’era digitale
A livello europeo si parla molto di Identità decentralizzata (DiD), un cambiamento “disruptive” nel modo in cui i consumatori potranno interagire con il mondo digitale. Come funziona, perché è importante? “L’identità decentralizzata consente a ogni singola persona di avere una propria entità giuridica con validazioni che non sono più sotto la responsabilità di singoli cloud provider (Google, Microsoft, ecc.), ma piuttosto sono gestite dalla persona stessa all’interno di un proprio Wallet – ha detto Salvatore Bertolino, Major Account Executive, Ping Identity -. Questo sistema permette di mitigare i grandi rischi legati alla gestione delle identità”.
Con un sistema di identità decentralizzata, è la singola persona che può gestire i propri dati di accesso. Inoltre, questa innovazione permette di sviluppare un ecosistema più sicuro, verificato e decentralizzato. Ad esempio, questo sistema potrebbe abilitare il voto online o gestire in modo molto più sicuro le transazioni finanziarie.
I pilastri di un piano di cybersecurity
Come rendere ancora più efficace il piano di cybersecurity e di business continuity e la gestione degli incidenti cyber? “Nell’affrontare le sfide della cybersecurity è molto importante che le aziende passino da un approccio reattivo a uno proattivo, tenendo in considerazione le migliori pratiche di security by design – ha detto Andrea Renna, Senior Vice President of Sales, Comforte -. I modelli di difesa tradizionali, basati su un perimetro definito, sono limitati. Per questo, noi raccomandiamo un approccio di sicurezza basato sul dato: il dato è infatti l’elemento che si dovrebbe proteggere immediatamente. Questo può portare numerosi vantaggi, anche per la crescita del business, ed è coerente con un piano di security e resilienza aziendale.
Quali sono normalmente i pilastri di un piano di cybersecurity? “I pilastri principali di un piano di cybersecurity includono: la prevenzione delle violazioni di dati, la mitigazione degli attacchi informatici, la conformità normativa, processi di sicurezza informatica più snelli, resilienza più agile, disaster recovery rapido e infine il rafforzamento della fiducia dei clienti” ha aggiunto Andrea Renna.
Come può una security centrata sul dato aiutare ciascuno di questi aspetti? “Una security centrata sul dato aiuta perché, una volta che i dati sono anonimizzati (o pseudo-anonimizzati) con meccanismi avanzati come la tokenizzazione, questi dati diventano assolutamente privi di valore e significato per gli attaccanti. Questa mossa rappresenta l’ultima linea di difesa in caso di attacchi informatici” ha detto Andrea Renna.
Inoltre, con una security data-centric ci sono numerosi benefici: è conforme con la normativa, porta ad avere processi più snelli, migliora la business continuity perché, anche in caso di violazione dei dati, quelli sensibili sono protetti e l’impatto sulle operazioni è quindi minimo o nullo. Infine, si rafforza la fiducia dei clienti, poiché si eliminano gli impatti negativi di un incidente, come l’impatto mediatico, le ricadute sui ricavi dovute ai costi, e le cadute del titolo in borsa.
Protezione dei dati sensibili per il business
La protezione dei dati sensibili per il business è uno dei temi più caldi e importanti per le aziende. Cosa significa impostare un programma di data protection? Quali sono i nodi critici? Anche secondo Marcello Fausti, la protezione dei dati sensibili per il business è una delle priorità principali per le aziende. Impostare un programma di data protection significa implementare una serie di misure e best practice per garantire che i dati siano adeguatamente protetti e gestiti. Tuttavia, esistono diversi snodi critici che devono essere affrontati.
- Impatto organizzativo e rapporto con le persone. Nelle aziende medio-grandi, sono spesso implementate diverse best practice per proteggere database e identità. Tuttavia, grandi quantità di dati sono spesso scaricate sui laptop dai dipendenti e rimangono lì, senza che vi sia una comprensione o un tracciamento adeguato delle ragioni del loro utilizzo. Questo non avviene per caso, ma è legato a processi operativi interni: aziende con perimetri permeabili, come quelle con estese reti commerciali, sono particolarmente vulnerabili a queste problematiche, inclusa la possibilità di frodi.
- Strategia di protezione dei dati. La strategia per affrontare queste sfide dovrebbe includere l’applicazione di tecnologie di Data Loss Prevention (DLP) e di etichettatura, sia manuale che automatica. È necessario implementare sistemi che permettano di “rincorrere” i dati all’interno dell’azienda, comprendendo la proprietà e i percorsi seguiti, e cercando di non ostacolare troppo le operazioni aziendali. È importante etichettare il più possibile i dati, definendo policy che consentano di tracciare il movimento di queste informazioni e, nel caso di deviazioni rispetto al perimetro stabilito nell’analisi iniziale, allertare il Security Operations Center (SOC).
- Vantaggi e complessità. L’implementazione di queste attività è complessa e richiede il convincimento e la collaborazione delle persone, ma porta grandi vantaggi. Proteggere i dati dalla circolazione non autorizzata e dalle frodi, che sono all’ordine del giorno, ha un impatto significativo sul business.
- Importanza del data catalog. Inoltre, costruire un data catalog è molto utile per sapere quali dati sono gestiti, chi ne è responsabile, chi li utilizza e come intervengono nei processi. Sebbene sia un lavoro complesso, è di fondamentale importanza e dovrebbe essere realizzato.
Le competenze delle persone svolgono un ruolo fondamentale nella cyber resilienza dell’organizzazione
Qual è il ruolo delle competenze delle persone nella cyber resilienza dell’organizzazione? “La tecnologia da sola non è efficace senza persone dotate delle competenze necessarie per gestirla in modo appropriato – ha detto Alberto Borgonovo, CISO, Sisal -. Le competenze non si limitano solo alla conoscenza tecnologica, ma includono anche la capacità di integrare la tecnologia nel contesto aziendale, consentendo così una sua evoluzione continua. È essenziale che le persone abbiano competenze non solo tecniche, ma anche una profonda comprensione del contesto aziendale in cui operano. Devono essere in grado di adattare le soluzioni di sicurezza alle specifiche esigenze e minacce del settore in cui lavorano”.
Tuttavia, trovare persone con le competenze necessarie è una sfida, soprattutto sul mercato italiano. Il ruolo dell’esperto di cybersecurity è molto ricercato, e per affrontare questa carenza di risorse qualificate è importante creare percorsi di crescita professionale che stimolino le persone a rimanere nell’organizzazione. Negli ultimi anni, sono stati sviluppati molti percorsi accademici dedicati alla cybersecurity. Questi programmi stanno incontrando un forte interesse tra gli studenti e hanno contribuito a garantire un livello di preparazione accademica adeguato per intraprendere questa professione. Investire nella formazione e nello sviluppo delle competenze delle persone è quindi fondamentale per migliorare la cyber resilienza dell’organizzazione e affrontare le sfide sempre più complesse del panorama della cybersecurity.
Ruolo del CISO e il suo cambiamento negli ultimi anni
Negli ultimi anni, il ruolo del Chief Information Security Officer (CISO) ha subito una trasformazione significativa. In passato, il CISO era spesso visto principalmente come un tecnologo con competenze IT, focalizzato principalmente sulla gestione dei sistemi e delle tecnologie di sicurezza informatica. Tuttavia, oggi il CISO ha assunto un ruolo molto più ampio e strategico, interagendo con tutte le aree del business e assumendo una rilevanza diversa all’interno dell’organizzazione.
“Oggi, il CISO non solo si occupa di aspetti tecnici legati alla sicurezza informatica, ma ha anche un ruolo chiave nel dialogo con il board aziendale – ha detto Alberto Borgonovo -. È diventato un consulente strategico per la direzione, contribuendo a definire le politiche e le strategie di sicurezza informatica dell’azienda. Il suo primo obiettivo rimane quello di diffondere una cultura della sicurezza informatica all’interno dell’organizzazione. Questo non si limita alla mera consapevolezza dei rischi cyber, ma comprende anche la comprensione del fatto che non esiste una sicurezza al 100% e che gli incidenti cyber possono accadere in qualsiasi momento”.
Poiché non è possibile garantire una protezione totale, il focus si sposta sempre più verso una rilevazione tempestiva degli attacchi. Il CISO si impegna quindi a garantire che l’organizzazione abbia sistemi, processi e risorse adeguati a individuare rapidamente gli attacchi e gestire efficacemente gli incidenti, contenendone l’impatto sul business.
“Negli ultimi anni, abbiamo assistito a un cambiamento significativo nel modo in cui la cybersecurity è percepita all’interno delle organizzazioni – ha detto Alberto Borgonovo –. Da una situazione in cui la sicurezza informatica era vista principalmente come una mera compliance, si è passati a riconoscerla come un fattore abilitante per il business. In questo contesto, il ruolo del CISO diventa ancora più cruciale, poiché la sua consapevolezza strategica può contribuire in modo significativo al successo complessivo dell’azienda”.
Quale approccio va adottato in materia di cyber resilienza
“Abbiamo riconosciuto che proporre soluzioni non è più sufficiente nel contesto sempre più complesso della cybersecurity – ha detto Pietro Felisi, Senior Sales Engineer, Barracuda -. È fondamentale anche gestire efficacemente queste soluzioni e la mole di informazioni che generano, specialmente considerando il limite delle risorse umane disponibili. In assenza di una gestione efficiente, c’è il rischio di rimanere sempre in una posizione reattiva, senza mai sfruttare appieno le informazioni già disponibili per adottare un approccio proattivo nella difesa. La nostra filosofia di base è quella di aiutare le aziende a colmare questo divario e a diventare più efficaci. A tal fine, promuoviamo l’adozione di soluzioni come EDR (Endpoint Detection and Response) e XDR (Extended Detection and Response), che consentono alle aziende di analizzare in modo strutturato le informazioni e di anticipare i problemi, prevenendone l’aggravarsi.
Per dotarsi di un approccio olistico e ad ampio spettro, le soluzioni XDR devono essere il più aperte possibile, tenendo conto del fatto che nessuna azienda utilizza un unico marchio o una singola soluzione. È essenziale lavorare su un fronte ampio per reagire nel modo più efficace possibile alle minacce.
Oggi, le aziende si trovano di fronte a esigenze prioritarie nel progettare una sicurezza informatica che deve essere sia preventiva che proattiva. È essenziale quindi che la sicurezza informatica sia proporzionata al valore degli asset da proteggere all’interno dell’azienda. “È importante considerare che un attaccante potrebbe sfruttare qualsiasi bene aziendale come veicolo per un attacco verso un’altra azienda – ha detto Simone Mulattieri, Senior Presales Manager, Kaspersky Italia -. Pertanto, è necessario implementare un processo di sicurezza informatica completo per prevenire gli attacchi e proteggere gli asset”.
Sebbene la tecnologia debba essere avanzata e moderna, è importante riconoscere i suoi limiti. La tecnologia può eseguire rilevazioni automatiche o semi-automatiche su determinati tipi di minacce, ma potrebbe non essere in grado di prendere decisioni in determinate situazioni. Inoltre, potrebbero verificarsi falsi positivi, che devono essere ridotti al minimo.
Per colmare le lacune che la tecnologia non può affrontare, è fondamentale il supporto umano e l’utilizzo di servizi avanzati come Managed Detection and Response (MDR) o Security Operations Center (SOC) evoluti. Questi servizi offrono competenze avanzate nell’utilizzo delle tecnologie e, quando implementati all’interno delle aziende, richiedono un adeguato livello di competenze. È importante anche garantire che i SOC dispongano di un’ampia gamma di competenze, in modo da poter identificare gli attacchi nelle prime fasi e fornire una visione complessiva degli analisti di cybersecurity, che può fare la differenza nel rilevare e rispondere alle minacce. Infine, è essenziale promuovere la consapevolezza sulla sicurezza informatica non solo tra il personale IT, ma in tutta l’organizzazione.
Il video completo della roundtable è ora disponibile online: