I report dell’Osservatorio Cybersecurity & Data Protection della School of Management del Politecnico di Milano fotografano una situazione sulla sicurezza che Andrea Boggio, Security Solutions Sales Manager, Vodafone Business, intervenendo nella tavola rotonda su Cybersecurity e trend tecnologici, nel corso della presentazione dell’ultimo report dell’Osservatorio, dichiara di condividere ed evidenziano un’evoluzione dirompente di alcune dinamiche in atto. “Lo spostamento verso lo spazio cibernetico di servizi in precedenza nel dominio della realtà materiale comporta l’espansione proporzionale della superficie di attacco – sottolinea – Quanto più le imprese digitalizzano i processi di business tanto più si va incontro all’aumento del rischio che dovrebbe determinare un’adeguata strategia”. Si tratta di dinamiche globali, come confermano alcuni report usciti di recente come il Global Risk Report del World Economic Forum e il Report Allianz.
A queste dinamiche contribuiscono in notevole misura spostamenti tecnologici e organizzativi, con un ruolo determinante dell’evoluzione accelerata al cloud, in tutte le sue forme.
Il cloud cambia il paradigma della cybersecurity
Leroy Merlin e il Gruppo Adeo di cui fa parte hanno avviato un percorso di cloud transformation, definendo una road map che ha come obiettivo il cloud only entro nei prossimi due anni. La trasformazione infrastrutturale va di pari passo con gli investimenti su innovazione e digitalizzazione dei processi e di miglioramento delle modalità di vendita e del customer journey. “Il nostro approccio al cloud è innovativo. Non lo vediamo come un diverso contenitore di quanto prima era on premise, ma come un modo nuovo di vedere le applicazioni: rivediamo le applicazioni legacy ribaltandone il paradigma”, spiega Alessio Setaro, Cyber Security Leader, Leroy Merlin Italia e CISO Global, Gruppo Adeo precisando che il nuovo paradigma applicativo è basato su micro-servizi ed API. L’obiettivo di business è mettere in atto il concetto di azienda piattaforma che vada a integrare diverse piattaforme e le varie business unit. “La security si deve adattare al nuovo paradigma per riuscire a proteggere il business, gli utenti, i dati dei clienti senza eccessivo sovraccarico, per rispondere a un mercato che chiede di essere smart e veloci”, aggiunge. Questo comporta il superamento del concetto di perimetro aziendale a cui va sostituito quello di superficie che prevede una transizione di dipendenti e clienti distribuiti su reti non sicure e la conseguente adozione di logica zero trust. Gli approcci cambiano: nel cloud una serie di processi di delivery e di gestione che rendono necessario un approccio di security by design e by default, per rendere sicuro l’ambiente in cui si distribuiscono i prodotti che a loro volta devono essere sicuri.
“Tutto ciò viene ottenuto lavorando fianco a fianco con gli sviluppatori e sul processo con la continous integration e la continous delivery, uscendo dal silos della cyber security, spostandoci dal DevOps verso il DevSecOps, individuando un framework e controlli automatici per individuare problemi sul nascere e non dover ricorre a cicli di penetration test”, precisa.
“La migrazione verso cloud only è un percorso in divenire– commenta Luca Livrieri, Sales Engineer Manager Italy & Iberia, Forcepoint – Pur avendo come Forcepoint un approccio cloud first, ci rendiamo conto che, nonostante la spinta verso il cloud, generata nell’ultimo anno dall’emergenza Covid, le imprese non possono migrare tutta la loro infrastruttura in pochi mesi. La gestione del cloud ibrido, del private cloud, del multi-cloud, del IaaS e del SaaS diventa dunque un tema fondamentale.” Se in questo passaggio le applicazioni vanno ripensate, anche sicurezza deve evolversi in modo conseguente, verso un’idea di una sicurezza cloud-centrica e convergente, la più efficace suo parare, dove paradigmi come il SASE (Secure Access Service Edge) che vanno a unificare elementi di network e di security, vedranno un crescente sviluppo nei prossimi mesi. “L’idea è porre al centro l’interazione fra utente e applicazione cloud e una sicurezza by design e by default per le nuove applicazioni cloud”, sostiene Livrieri evidenziando la necessità di integrazione con le applicazioni in uso. Fra gli accorgimenti per garantire la sicurezza, la comunicazione via API, l’inoltro dei log verso un SIEM, dare visibilità agli utenti e ai gestori di quanto sta succedendo. Porre al centro la sicurezza nei servizi cloud consente di garantire la sicurezza in mobilità, salvaguardare l’utente, fornire monitoraggio e visibilità agli amministratori, avendo controllo delle applicazioni e del flusso in termini di scambio di dati che vanno protetti ovunque si trovino.
Il nuovo paradigma DevSecOps
La sicurezza entra dunque a pieno titolo nella fase di sviluppo modificandone i termini o meglio integrandoli. “Il DevSecOps rende necessario il gioco di squadra con competenze che devono diventare multidisciplinari, essere potenziate e trovare un terreno di incontro all’interno di un sistema dove la sicurezza diviene industrializzata”, sottolinea Michele Slocovich, Solution Design Director, CAST. La sicurezza applicativa va continuamente messa alla prova con un continuo monitoring lungo tutta la catena di sviluppo e fornitura comunque sia lunga, con radici nell’open source o in fornitori terzi. “Se è venuto a cadere il perimetro aziendale, il perimetro diventa l’applicazione stessa, dove la sicurezza è molto più importante della tradizionale sicurezza applicativa”, commenta Slocovich che considera indispensabile rendere tutti gli stakeholder che hanno un qualche interesse, molti visto i sempre più frequenti casi di organizzazioni digital only. I livelli di sicurezza devono coinvolgere chi si occupa di sviluppo (dev), chi si occupa di sicurezza (sec) sia il livello operations (ops). Anche il Risk management va coinvolto per definire i KPI, per capire se c’è opportunità di investire, se serve una cyber insurance o altre azioni sul codice sorgente.
Cast pone dunque la necessità di una governance unica come quella che la sua piattaforma abilita, monitorando il codice in corso di sviluppo in tutte le fasi, premessa non solo per garantire la compliance ma anche la certificazione del prodotto software, obiettivo a cui sta lavorando anche la Comunità Europea a partire dal Security Act varato due anni fa.
