Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Cyber Security: come costruire una strategia

pittogramma Zerouno

Cyber Security: come costruire una strategia

07 Lug 2014

di Arianna Leonardi

Symantec propone per un piano di sicurezza in quattro fasi, ponderato in base allo stadio di It maturity dell’azienda. Eccolo illustrato nell’intervista ad Antonio Forzieri, Cyber Security Practice Lead, Emea, della corporation.

Mentre lo scenario delle minacce informatiche si fa sempre più complesso e variegato, la sicurezza va costruita a partire dai fondamentali e all’interno di un disegno lungimirante, in base al livello di maturità dell’azienda. È questo l’assioma della strategia Symantec raccontata da Antonio Forzieri, Cyber Security Practice Lead, Emea della società: “Oggi – sottolinea il manager – bisogna fare i conti con il fenomeno dell’hacktivism (attacchi perpetrati in virtù di ideali e solitamente con tecniche poco sofisticate, ad esempio il Denial-of-service, che impedisce l’erogazione di un servizio da parte del sistema, o il defacing, che prevede la modifica illecita di una pagina web), il cyber crime (che genera revenue da milioni di dollari l’anno) e infine gli attacchi mirati a scopo di spionaggio e boicottaggio tra aziende competitor o tra Stati”.

Gli attaccanti, quando puntano a compromettere grandi organizzazioni, vanno a colpire le loro supply chain composte anche da piccole aziende. Così, in sostanza, è possibile sferrare l’offensiva con minor sforzo, concentrandosi sull’anello debole della catena, avendo a disposizione più tempo e una maggiore copertura, nonché sfruttando le vulnerabilità di realtà di dimensioni inferiori, con budget It ristretti e sistemi di sicurezza meno avanzati. “Le aziende controbattono spesso che nessuno è interessato a target così piccoli, ma si sbagliano; esistono solo due tipi di organizzazioni: quelle che sono già state attaccate e quelle che ancora non lo sanno”, sostiene Forzieri.

Antonio Forzieri, Cyber Security Practice Lead, Emea di Symantec

La mancanza di consapevolezza è infatti uno dei punti più deboli nell’attuazione di una strategia di security efficace: “Non sempre esiste connessione tra la figura del Ciso (o il team It) e le Lob: dialogare con gli uomini di business su temi legati alla sicurezza non è semplice perché bisogna utilizzare un linguaggio meno tecnico e comprensibile ai non addetti ai lavori. Fare informazione diventa un dovere morale dei vendor. Ingaggiare le persone di business è l’ingrediente chiave della ricetta, così come definire una strategia di difesa che non includa solo tecnologie e azioni preventive, ma anche di detection delle minacce e di ripristino dei sistemi compromessi”. Si arriva così alla vision per una sicurezza olistica di Symantec in quattro pillar, Prepare, Protect, Detect & Respond, Recover [per conoscerne i dettagli si veda l’area Vendor View dell’Osservatorio Cyber Risks & Resilience – ndr]  che permette di fare fronte a qualsiasi tipo di minaccia, fase di avanzamento e attaccante”. La prima regola è attuare pedissequamente le regole “abc” di sicurezza, configurando e impiegando al meglio le tecnologie di protezione già presenti in azienda e spesso sottoutilizzate. Le soluzioni di sicurezza più avanzate e innovative (come Advanced Threat Protection basate su alert e intelligence) vanno invece implementate in relazione al grado di maturità tecnologica dell’organizzazione: “Minore è lo stadio di maturità – avverte Forzieri -, maggiori saranno i ritorni derivanti dall’implementazione di una strategia di sicurezza strutturata. Certo, l’It dovrà essere in grado di convincere il management a investire: non otterrà budget proponendo un piano per mettere a regime le tecnologie ordinarie, ma piuttosto incontrerà il consenso dei decisori per prodotti più d’avanguardia”. L’abilità quindi consiste nel presentare il giusto mix tra l’abc tecnologico della security (indispensabile e non sempre ottimizzato) e i nuovi prodotti (in grado di attrarre interesse e budget). “L’importante – conclude Forzieri – è concentrarsi su poche soluzioni, che siano però allo stato dell’arte, e prendere come punto di riferimento framework e best practice: l’Iso 9001, ma anche modelli più specifici come il Pas 555:2013 [un insieme di specifiche per la governance e la gestione del rischio in materia di It security, ndr]”.

 

Arianna Leonardi

Articolo 1 di 3