Se lo scenario della cybersecurity è preoccupante, l’evoluzione tecnologica viene in soccorso delle imprese, con strumenti di prevenzione e difesa sempre più sofisticati, che sfruttano le potenzialità del cloud e dell’intelligenza artificiale. Tuttavia, l’efficacia delle nuove soluzioni serve a poco se non accompagnata da una presa di coscienza effettiva, che interessa l’intera compagine aziendale.
Le considerazioni emergono dalla recente tavola rotonda organizzata da ZeroUno, in collaborazione con Huware e Google Cloud, e con la partecipazione di CyberSec Services (CSS). All’evento hanno partecipato i Chief Information Security Officer e altri C-Level di importanti realtà italiane, appartenenti a diversi settori, dal manufacturing al finance, fino alla ristorazione.
Cybersecurity, lo scenario di preoccupazione attuale
Il compito di aprire i lavori, offrendo una panoramica sullo stato attuale della cybersecurity, è stato affidato ad Alessio Pennasilico, Information & Cyber Security Advisory, Partners4Innovation.
Membro del Clusit, Pennasilico esordisce sottolineando un cambiamento significativo nell’evoluzione e nella percezione della sicurezza informatica. La cybersecurity infatti è ormai una questione globale, che non riguarda più solamente i tecnici, ma coinvolge l’intera organizzazione.
Secondo un’indagine Allianz, nel 2023 gli incidenti IT rappresentano la principale preoccupazione per i risk manager, preponderante rispetto a crisi finanziarie, emergenze climatiche e altri pericoli. Inoltre, l’interruzione del business, che è anche una conseguenza diretta dei cyber incidents, è citata al secondo posto nella classifica delle maggiori ansie.
Crescono numero e severità degli attacchi
“Oggi nessun settore – dichiara Pennasilico – è esente dal rischio di attacco, non è una questione di ‘se’ ma di ‘quando’. Secondo le statistiche Clusit, il numero di attacchi aumenta anno su anno in maniera superiore rispetto a una crescita lineare. Pertanto è difficile fare previsioni, proprio per via delle impennate improvvise”.
Tuttavia, il dato più preoccupante riguarda l’impatto degli attacchi, che sta crescendo considerevolmente di anno in anno. Nel 2022, gli attacchi con impatto Critical e High hanno costituito l’80% del totale. “La situazione è gravissima – commenta Pennasilico – soprattutto se si considera che gli attacchi con impatto critico possono compromettere la sopravvivenza dell’azienda”.
La capacità di risposta agli incidenti è inadeguata
Per fronteggiare la situazione delicatissima, occorrerebbe un cambio di mentalità radicale. “Tradizionalmente – nota Pennasilico – siamo molto portati a ragionare in termini di prevenzione, ma poco abituati a costruire una strategia di remediation in caso di incidente. Facendo un paragone, è come se mettessi molti lucchetti per impedire il furto della mia bicicletta, ma se i ladri riuscissero a rubarla, io perderei comunque il suo intero valore, indipendentemente dalle precauzioni prese”.
Insomma, nonostante si sia fatto il possibile per proteggere l’azienda, qualora i cyber criminali andassero a segno, le misure preventive non servirebbero in alcun modo a mitigare l’ingente ammontare dei danni. Piuttosto, occorrerebbero piani di backup, disaster recovery e business continuity.
“La cybersecurity – asserisce Pennasilico – è un tema di pianificazione finanziaria, per cui bisogna bilanciare l’investimento in protezione e il valore del bene da assicurare”. La capacità di contenere l’impatto di un incidente purtroppo si scontra con la drammatica realtà dei fatti: secondo il Ponemon Institute, nel periodo 2016-2022, il tempo medio per identificare un data breach si aggira attorno ai 200 giorni, mentre per gestire il problema ne occorrono all’incirca 70.
“Nonostante i progressi tecnologici – osserva Pennasilico -, negli ultimi anni, il tempo medio per la risoluzione di un incidente si è mantenuto pressoché costante. Molte soluzioni di difesa, disponibili sul mercato anche da decenni, non vengono adottate oppure implementate correttamente. Nel 2023 molte aziende hanno ancora problemi di visibilità sulle minacce e sugli ambienti IT”.
Il mercato della sicurezza e le opportunità del cloud
Nel Bel Paese la spesa in cybersecurity continua a salire: secondo il Politecnico di Milano, nel 2022 il mercato della sicurezza informatica ha raggiunto quasi i due miliardi di euro, registrando un tasso di crescita a doppia cifra a partire dal 2020. Come nota Pennasilico, si tratta di una cifra ragguardevole, ma l’ammontare complessivo è polverizzato sulla miriade di aziende grandi e piccole che compongono il tessuto imprenditoriale italiano. Insomma, considerate singolarmente, le nostre organizzazioni, in molti casi, non investono abbastanza per la cybersecurity.
Soprattutto per le realtà più piccole, infatti, non è semplice dotarsi di tecnologie adeguate e garantire la sicurezza IT. Oggi, tuttavia, il cloud rappresenta un’opportunità per godere di soluzioni avanzate sfruttando gli strumenti innovativi, le economie di scala e gli elevati livelli di security dei provider, all’interno di sottoscrizioni pay-per-use.
Come ammonisce Pennasilico, però, quando si passa dall’on-premise all’as-a-service, bisogna avere ben chiaro il modello di shared responsability, che ripartisce tra cliente e fornitore gli oneri rispetto alla sicurezza sui diversi asset.
“Concludendo – sintetizza Pennasilico – la cybersecurity non può prescindere da un’infrastruttura solida e sicura, che può fare affidamento su un piano strutturato di continuità operativa. Tale strategia di business continuity deve essere sviluppata a monte degli attacchi, contemplando gli aspetti economici e con l’obiettivo di ridurre l’impatto degli incidenti”.
Occorrono più investimenti e un approccio olistico
Se l’intervento dell’analista ha messo in luce alcune delle criticità del settore, i partecipanti al dibattito hanno calato queste considerazioni nel contesto “reale”, concordando sulle considerazioni di Pennasilico: non ha assolutamente senso implementare le ultime e più avanzate soluzioni in materia di cybersecurity, quando le fondamenta infrastrutturali e culturali sono marce. Non è una mera questione tecnologica, ma anche le persone devono essere preparate e servono programmi di sensibilizzazione e awareness. La sicurezza deve seguire un approccio olistico, in grado di rompere i silos aziendali e incentivare la partecipazione di tutti gli utenti, a partire dal board.
L’IT infatti continua a essere percepito come un fattore di costo dalla dirigenza aziendale e le iniziative di cybersecurity sono spesso figlie delle necessità di compliance e non il frutto di un sincero convincimento. Sebbene nelle aziende oggi ci sia consapevolezza della segregazione tra Sistemi Informativi e Cybersecurity, i budget continuano a pendere inevitabilmente verso l’IT e difettano sulla componente della sicurezza, che si trova ancora penalizzata e con investimenti inadeguati.
Come e perché instillare il cambio culturale
La situazione comunque rimane effettivamente difficile da gestire. Molti incidenti accadono perché i dipendenti hanno deliberatamente deciso di aggirare le policy di sicurezza aziendali, magari in “buona fede”, cioè nel tentativo di essere più produttivi e veloci nel completare i task assegnati. Purtroppo la richiesta di ottemperare le regole viene spesso ignorata, soprattutto se proviene da parte del personale tecnico. Si rivelano invece più efficaci le attività di sensibilizzazione ad opera degli “ambassador”, cioè gli utenti di business, esterni al team di sicurezza, che all’interno della loro funzione si occupano di promuovere i principi e le buone pratiche della cybersecurity.
“Soprattutto nelle realtà più piccole – commenta Alessandro Aresi, Managing Director, CyberSec Services – manca una conoscenza approfondita anche sulle basi della sicurezza IT. Spesso si riscontra poca consapevolezza su come funzionano effettivamente le tecnologie di protezione, banalmente le soluzioni di multifactor authentication, che vengono percepite come un impedimento alla produttività. Diventa davvero molto difficile smantellare certi dogmi, come l’errata convinzione che il cloud sia intrinsecamente sicuro e pertanto tutte le responsabilità siano in carico al provider”.
“Oggi invece – aggiunge Pennasilico – la sicurezza è un dovere condiviso, che richiede uno sforzo congiunto: gli stessi vendor hanno capito che contro il cybercrime serve un fronte compatto e hanno iniziato a fare rete”.
Tecnologie e policy non mancano, ma vanno applicate
“La pubblicità di certi attacchi eclatanti – chiosa Simone Bardelli, Senior Sales Consultant, Huware – ha contribuito a sbloccare i budget per la sicurezza informatica. Ma gli investimenti maggiori sono una conseguenza della paura o il sintomo di un’auspicata consapevolezza? Inoltre, vengono spesi nella maniera corretta, ovvero con l’obiettivo di migliorare la resilienza aziendale?”.
Ragionando su questi temi, dalla tavola rotonda emerge che la cybersecurity dipende strettamente dall’attribuzione delle responsabilità: le tecnologie non mancano e sono mature, ma chi ha l’onere della loro corretta configurazione e applicazione? Alla stessa stregua, le norme amministrative e le policy aziendali esistono, vengono comunicate e comprese all’interno dell’organizzazione, ma all’atto pratico le persone faticano a capirne appieno le implicazioni e così gli obblighi vengono disattesi.
La cybersecurity è una questione economica
“Ipoteticamente – prosegue Pennasilico – avendo a disposizione un tempo infinito, qualsiasi sistema può essere violato a furia di tentativi. Pertanto, bisogna ragionare in termini economici: le aziende devono implementare tutte le contromisure possibili affinché i criminali non abbiano la convenienza a perpetrare un attacco, perché risulterebbe troppo dispendioso in termini di risorse, tempo e denaro rispetto all’effettivo guadagno. La sicurezza costruita attraverso la stratificazione di tante tecnologie permette di avere a disposizione una maglia protettiva sufficientemente fitta e articolata per disturbare e dissuadere gli attaccanti. Purtroppo, è una lotta impari: le aziende devono difendere un intero castello, ai criminali basta trovare una finestra aperta per guadagnare l’accesso”.
Quanto investire per proteggere il “maniero” è un calcolo che, secondo le opinioni raccolte, non dovrebbe spettare ai Sistemi Informativi. La business impact analysis di un eventuale attacco, infatti, non andrebbe considerata come appannaggio del CIO o del CISO; certamente, l’IT può fornire indicazioni preziose per il conteggio, ma la questione esula dai suoi incarichi.
La sicurezza si estende alla supply chain
Un altro tema importante emerso dalla discussione riguarda la sicurezza come bene condiviso lungo la supply chain. L’impreparazione e la leggerezza dei fornitori, dei clienti o dei collaboratori potrebbe infatti vanificare tutti gli sforzi che l’azienda ha effettuato per innalzare la propria barriera difensiva. Come osserva Pennasilico, diverse imprese sono addirittura disposte a pagare di tasca propria per predisporre le tecnologie di sicurezza dei partner strategici.
Una logica che, negli ultimi mesi, ha portato per esempio alla diffusione di forme di assessment di terze parti, che hanno lo scopo di certificare il livello di security di potenziali partner e fornitori prima che con questi venga avviato un rapporto commerciale.
Zoppas, un caso concreto di cybersecurity moderna
A suggellare le considerazioni emerse in sala, viene raccontato il caso esemplare di Zoppas Industries, sviluppato con il supporto di Google Cloud e Huware, e del partner CyberSec Services.
Zoppas, fornitore globale di resistenze e sistemi riscaldanti, è un’azienda manifatturiera con 22 filiali e 9mila addetti. Il 60% della forza lavoro è munita di computer e i dipendenti delle linee produttive si interfacciano quotidianamente con i dispositivi PLC (Programmable Logic Controller). L’azienda si trova quindi a gestire tutte le problematiche legate al governo tecnologico di un parco IT estremamente eterogeneo, scontrandosi con le questioni culturali relative alla cybersecurity. Pertanto, è stato necessario un cambio di passo per instillare un approccio “security by design” all’interno dell’organizzazione ed elevare la percezione della sicurezza come priorità condivisa. Zoppas si è quindi affidata a Huware e, successivamente, al suo partner CSS per concretizzare la visione strategica in termini di cybersecurity
A livello pratico, la prima mossa ha previsto la messa in sicurezza della componente infrastrutturale, in particolare per quanto concerne l’ambiente SAP. Quindi, si è passati alla scelta di una soluzione SIEM (Security information and event management) di nuova generazione, basata su cloud, che avesse la possibilità di evolvere secondo le logiche del Software-as-a-Service. La decisione è ricaduta sulla piattaforma di servizi Google Chronicle, sia perché supporta ottimamente gli ambienti IT a forte componente cloud (come l’ecosistema di Zoppas) sia per l’orientamento spiccato verso le funzionalità di intelligenza artificiale (considerate un’opportunità per migliorare la visibility e la gestione degli eventi).
Secondo Zoppas, lo strumento di Google si è rivelato estremamente veloce e performante, ma soprattutto dimostra una capacità di evolvere maggiore rispetto alle soluzioni alternative. Piace soprattutto agli utenti più giovani, che ne apprezzano l’usabilità e l’aggiunta continua di nuove feature.
A Huware, con cui intercorre un rapporto di lungo corso, Zoppas riconosce un livello elevato di affidabilità e competenza, nonché la capacità di proporre partner altamente specializzati (come CSS) in grado di sviluppare progetti specifici, nel rispetto dei tempi previsti.
Una partnership orientata all’innovazione e alla sicurezza
“Come specialisti delle soluzioni Google Cloud – asserisce Bardelli di Huware -, orientati sulla componente infrastrutturale, abbiamo capito che la sicurezza era una partita fondamentale che dovevamo assolutamente giocare. Abbiamo quindi individuato all’interno del portafoglio offerto da Google, la piattaforma Chronicle, che si inseriva perfettamente a completamento della nostra vision. Tuttavia, ci siamo resi conto che, per offrire un supporto ottimale ai nostri clienti, occorrevano competenze estremamente focalizzate. Da qui è partita la ricerca di un partner qualificato, che si è risolta nell’incontro con CSS”.
“Già quattro anni fa – interviene Aresi di CyberSec Services – avevamo scommesso sulle soluzioni di Siemplify, il fornitore SOAR (Security Orchestration, Automation and Response) che è stato acquisito da Google confluendo sotto il marchio Chronicle. Insomma, avevamo anticipato le strategie di Google e l’abbiamo seguito nel suo percorso evolutivo, caratterizzato da una virata decisa in direzione della cybersecurity, come dimostrano le recenti acquisizioni. Questa condivisione di intenti e vedute ci ha quindi portato alla partnership con Huware”.
L’automazione delle operazioni ripetitive è il mantra di CSS, che sposa appieno, come suggerisce Aresi, la filosofia intrapresa dall’azienda di Mountain View e la sua volontà di semplificare, innovare e accelerare le security operations. “Se Google aggiunge e aggiorna continuamente le funzionalità tecnologiche della sua piattaforma – conclude Aresi – noi evolviamo costantemente le nostre competenze, lavorando insieme ai clienti e facendo tesoro delle esperienze realizzate”.
