La cyber security infrastrutturale e applicativa non si può riassumere in una ricetta unica, valida per tutti. Va invece vista come un insieme di approcci mirati che possono variare da un’organizzazione a un’altra e che devono mirare a investimenti efficaci ed efficienti. Infatti, sulla fase di implementazione della sicurezza incidono talmente tante variabili che una mancata o poco adeguata attenzione alle fasi di analisi e progettazione potrebbe vanificare anche investimenti significativi.
Secondo Rosa Fiorenza, responsabile della security delivery end-to-end di DXC Technology in Italia, occorre partire da assessment della cyber security di un’azienda per attestarne il livello di maturità anche rispetto ai principali contesti tecnologici su cui sono basati i suoi processi e i suoi modelli di business attuali e futuri: “Condotti questi assessment – continua Rosa Fiorenza – si passa alla risk analysis, che fa emergere tutti i tipi di rischi possibili e, quindi, gli eventuali requisiti da soddisfare”.
Da dove partire: niente di scontato
Quali sono i più importanti di questi contesti da cui partire e quelli che invece sono più in evoluzione? “Anche se se ne parla da tempo – risponde Rosa Fiorenza – non si può non iniziare ancora dal cloud, che continua a vivere un momento di grande diffusione nelle aziende, così come nella Pubblica amministrazione, con modelli che vanno dall’hybrid cloud, con diverse combinazioni di utilizzo di data center on-premises e private cloud in hosting, all’utilizzo più esteso dei public cloud e dei servizi SaaS (Software-as-a-Service). Da un punto di vista tecnologico – continua la manager di DXC – c’è ancora molto spazio per l’adozione delle soluzioni CASB (Cloud Access Security Broker), che inevitabilmente diventeranno commodity come oggi lo sono i firewall”.
Un altro contesto, questo sì emergente, è l’IoT (Internet of Things). “Sia a livello di operational technology, o OT [tematica su cui recentemente DXC ha investito in acquisizione di risorse in Italia, ndr], sia di tipo non industriale e dove l’IoT non è utilizzato per il core business, ma a supporto di servizi/task specifici”. Un altro scenario su cui è necessaria attenzione, “è quello delle applicazioni cloud-native come i microservizi e i container, che offrono grande scalabilità ma introducono nuove complessità nella sicurezza o comunque aspetti differenti che vanno indirizzati e che non sono presenti nel classico sviluppo software.”.
Fra gli altri contesti non mancano la blockchain, l’intelligenza artificiale (AI) e il machine learning, “che sono sempre più utilizzati anche dagli stessi attaccanti per compiere attività complesse non solo di raccolta di informazioni e attività di ricognizione dei vari obiettivi, ma anche per la creazione di malware sempre più sofisticati”. Infine, ma non meno importanti, cambiamenti non tecnologici ma organizzativi e normativi quali l’internazionalizzazione delle imprese e le regolamentazioni internazionali come il GDPR, che portano a un aumento della rigidità delle regole da adottare nella gestione dei dati, anche per il rischio di pesanti sanzioni.
Sicurezza data driven
“Il dato, insieme alla considerazione dei contesti tecnologici e di business in cui l’azienda vuole operare, deve diventare il driver da cui partire per tutte le scelte applicative e infrastrutturali. Da sole le tecnologie non sono sufficienti alla protezione dei dati, così come le sole risorse professionali non possono mitigare un numero di minacce e di attacchi così consistente come quello attuale. Per questo DXC supporta le organizzazioni a capire i propri bisogni e a trasferirli in requisiti di sicurezza completi, sia nei confronti delle informazioni che deve proteggere, sia rispetto alle normative vigenti e agli standard applicabili, con la capacità di fornire servizi e progetti end-to-end. Il nostro è un approccio business-oriented: prima di avviare un progetto o un programma di trasformazione cyber coinvolgiamo tutti gli stakeholders interni al fine di avere il giusto livello di commitment del Management ed una corretta visione dei rischi di business, fattore chiave per impostare qualunque strategia e soluzione cyber complessa.
In generale, la complessità delle trasformazioni digitali in atto nelle grandi organizzazioni richiede provider non solo grandi, ma soprattutto flessibili e aperti all’innovazione. Per questo motivo DXC investe principalmente nell’innovazione e nella formazione delle proprie risorse, con l’obiettivo di evolvere, approfondire e modificare nel tempo gli skills, approcciando da subito i nuovi trend e le nuove tecnologie.
Inoltre, essere agnostici nei confronti dei produttori di hardware e software (che ci permette anche di proporre eventualmente l’open source) e avere risorse con competenze molto elevate, in possesso di numerose certificazioni, ci permette di garantire più obiettività nella proposta di soluzioni e far evitare vendor lock-in ai clienti”, ha concluso la manager di DXC.
