Una nuova cybersecurity per i nuovi trend tecnologici e organizzativi | ZeroUno

Una nuova cybersecurity per i nuovi trend tecnologici e organizzativi

pittogramma Zerouno

Prospettive

Una nuova cybersecurity per i nuovi trend tecnologici e organizzativi

In un’azienda senza più perimetro da difendere e dove si amplia la superfice, di attacco i metodi di difesa tradizionali perdono di efficacia e persino di senso. In particolare, il progressivo ricorso al cloud, anzi al multicloud, sposta il focus verso una sicurezza intrinseca all’applicazione, all’interazione con l’utente e con il dato. Il nuovo paradigma diventa dunque il DevSecOps con tutti gli aspetti organizzativi e di framework di sviluppo conseguenti. Queste alcune considerazioni emerse nel corso della tavola rotonda su Cybersecurity e trend tecnologici, nel corso della presentazione dell’ultimo report dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano

27 Mag 2021

di Elisabetta Bevilacqua

I report dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano fotografano una situazione sulla sicurezza che Andrea Boggio, Security Solutions Sales Manager, Vodafone Business, intervenendo nella tavola rotonda su Cybersecurity e trend tecnologici, nel corso della presentazione dell’ultimo report dell’Osservatorio, dichiara di condividere ed evidenziano un’evoluzione dirompente di alcune dinamiche in atto. “Lo spostamento verso lo spazio cibernetico di servizi in precedenza nel dominio della realtà materiale comporta l’espansione proporzionale della superficie di attacco – sottolinea – Quanto più le imprese digitalizzano i processi di business tanto più si va incontro all’aumento del rischio che dovrebbe determinare un’adeguata strategia”. Si tratta di dinamiche globali, come confermano alcuni report usciti di recente come il Global Risk Report del World Economic Forum e il Report Allianz.

A queste dinamiche contribuiscono in notevole misura spostamenti tecnologici e organizzativi, con un ruolo determinante dell’evoluzione accelerata al cloud, in tutte le sue forme.

Il cloud cambia il paradigma della cybersecurity

Leroy Merlin e il Gruppo Adeo di cui fa parte hanno avviato un percorso di cloud transformation, definendo una road map che ha come obiettivo il cloud only entro nei prossimi due anni. La trasformazione infrastrutturale va di pari passo con gli investimenti su innovazione e digitalizzazione dei processi e di miglioramento delle modalità di vendita e del customer journey. “Il nostro approccio al cloud è innovativo. Non lo vediamo come un diverso contenitore di quanto prima era on premise, ma come un modo nuovo di vedere le applicazioni: rivediamo le applicazioni legacy ribaltandone il paradigma”, spiega Alessio Setaro, Cyber Security Leader, Leroy Merlin Italia e CISO Global, Gruppo Adeo precisando che il nuovo paradigma applicativo è basato su micro-servizi ed API. L’obiettivo di business è mettere in atto il concetto di azienda piattaforma che vada a integrare diverse piattaforme e le varie business unit. “La security si deve adattare al nuovo paradigma per riuscire a proteggere il business, gli utenti, i dati dei clienti senza eccessivo sovraccarico, per rispondere a un mercato che chiede di essere smart e veloci”, aggiunge. Questo comporta il superamento del concetto di perimetro aziendale a cui va sostituito quello di superficie che prevede una transizione di dipendenti e clienti distribuiti su reti non sicure e la conseguente adozione di logica zero trust. Gli approcci cambiano: nel cloud una serie di processi di delivery e di gestione che rendono necessario un approccio di security by design e by default, per rendere sicuro l’ambiente in cui si distribuiscono i prodotti che a loro volta devono essere sicuri.

WHITEPAPER
Quali sono stati i casi di cybercrime più aggressivi degli ultimi anni? Scoprilo nel white paper
Cybersecurity

“Tutto ciò viene ottenuto lavorando fianco a fianco con gli sviluppatori e sul processo con la continous integration e la continous delivery, uscendo dal silos della cyber security, spostandoci dal DevOps verso il DevSecOps, individuando un framework e controlli automatici per individuare problemi sul nascere e non dover ricorre a cicli di penetration test”, precisa.

“La migrazione verso cloud only è un percorso in divenire– commenta Luca Livrieri, Sales Engineer Manager Italy & Iberia, Forcepoint – Pur avendo come Forcepoint un approccio cloud first, ci rendiamo conto che, nonostante la spinta verso il cloud, generata nell’ultimo anno dall’emergenza Covid, le imprese non possono migrare tutta la loro infrastruttura in pochi mesi. La gestione del cloud ibrido, del private cloud, del multi-cloud, del IaaS e del SaaS diventa dunque un tema fondamentale.” Se in questo passaggio le applicazioni vanno ripensate, anche sicurezza deve evolversi in modo conseguente, verso un’idea di una sicurezza cloud-centrica e convergente, la più efficace suo parare, dove paradigmi come il SASE (Secure Access Service Edge) che vanno a unificare elementi di network e di security, vedranno un crescente sviluppo nei prossimi mesi. “L’idea è porre al centro l’interazione fra utente e applicazione cloud e una sicurezza by design e by default per le nuove applicazioni cloud”, sostiene Livrieri evidenziando la necessità di integrazione con le applicazioni in uso. Fra gli accorgimenti per garantire la sicurezza, la comunicazione via API, l’inoltro dei log verso un SIEM, dare visibilità agli utenti e ai gestori di quanto sta succedendo. Porre al centro la sicurezza nei servizi cloud consente di garantire la sicurezza in mobilità, salvaguardare l’utente, fornire monitoraggio e visibilità agli amministratori, avendo controllo delle applicazioni e del flusso in termini di scambio di dati che vanno protetti ovunque si trovino.

Il nuovo paradigma DevSecOps

La sicurezza entra dunque a pieno titolo nella fase di sviluppo modificandone i termini o meglio integrandoli. “Il DevSecOps rende necessario il gioco di squadra con competenze che devono diventare multidisciplinari, essere potenziate e trovare un terreno di incontro all’interno di un sistema dove la sicurezza diviene industrializzata”, sottolinea Michele Slocovich, Solution Design Director, CAST. La sicurezza applicativa va continuamente messa alla prova con un continuo monitoring lungo tutta la catena di sviluppo e fornitura comunque sia lunga, con radici nell’open source o in fornitori terzi. “Se è venuto a cadere il perimetro aziendale, il perimetro diventa l’applicazione stessa, dove la sicurezza è molto più importante della tradizionale sicurezza applicativa”, commenta Slocovich che considera indispensabile rendere tutti gli stakeholder che hanno un qualche interesse, molti visto i sempre più frequenti casi di organizzazioni digital only. I livelli di sicurezza devono coinvolgere chi si occupa di sviluppo (dev), chi si occupa di sicurezza (sec) sia il livello operations (ops). Anche il Risk management va coinvolto per definire i KPI, per capire se c’è opportunità di investire, se serve una cyber insurance o altre azioni sul codice sorgente.

Cast pone dunque la necessità di una governance unica come quella che la sua piattaforma abilita, monitorando il codice in corso di sviluppo in tutte le fasi, premessa non solo per garantire la compliance ma anche la certificazione del prodotto software, obiettivo a cui sta lavorando anche la Comunità Europea a partire dal Security Act varato due anni fa.

Elisabetta Bevilacqua

Giornalista

Sono attiva dal 1989 nel giornalismo hi-tech, dopo esperienze in uffici studi di grandi gruppi e di formazione nel settore dell’informatica e, più recentemente, di supporto alle startup. Collaboro dal 1995 con ZeroUno e attualmente mi occupo soprattutto di trasformazione digitale e Industry 4.0, open innovation e collaborazione fra imprese e startup, smart city, sicurezza informatica, nuove competenze.

Articolo 1 di 3