Internet of Things, Big Data, mobile, privacy saranno sempre di più le preoccupazioni principali per la sicurezza It delle imprese, anche se proprio gli stessi Big Data contribuiranno a migliorare la capacità di reazione alle minacce; infatti un uso intelligente e analitico dell’enorme volume di dati sulle minacce esterne consentirà una risposta più adeguata, e in certi casi anche automatica, ai nuovi rischi che insidiano la sicurezza dei sistemi e delle imprese.
Secondo Forrester Research, nel 2015 se i Ciso (Chief Information Security Officer) vogliono che la loro società abbia successo devono trasformare la sicurezza da un insieme di tecnologie progettate per proteggere le operazioni di business (focalizzazione interna) a una sicurezza informatica come parte della catena del valore. Per fare ciò devono raddoppiare i loro sforzi in quattro diverse direzioni, come suggerisce la società di analisi nello studio Twelve Recommendations For Your Security Program In 2015.
Prima di tutto fare della protezione del brand una missione fondamentale del team di security: alcune aziende concentrano la protezione del brand esclusivamente sul monitoraggio della fiducia dei consumatori; è invece necessario espandere questa protezione includendo un insieme molto più ampio di rischi come la frode, la sicurezza fisica, la violazione dei marchi, i contenziosi legali e il phishing.
In secondo luogo focalizzarsi sulla sicurezza dell’esperienza mobile dei clienti, i quali si aspettano di ottenere tutto ciò che vogliono e con estrema rapidità. Molti responsabili della security si sono fortemente impegnati nella sicurezza di applicazioni e servizi mobili degli utenti interni, ma sono impreparati a sostenere la strategia mobile della loro impresa verso i clienti. Per poter delineare una strategia efficace di mobile security è indispensabile che i team di security partecipino all’ideazione, progettazione e analisi delle iniziative mobile dell’impresa fronte cliente.
Terza direzione, utilizzare i Big Data per trasformare la strategia della sicurezza It e l’attività più operativa sviluppando conoscenze che consentano di identificare rapidamente e prevenire minacce complesse, scoprire e rispondere agli attacchi in corso, individuare e affrontare le vulnerabilità esistenti e adeguare continuamente la strategia di sicurezza.
Infine i Ciso devono anticipare l'impatto dell’Internet of Things al business digitale. Nel 2015 saranno lanciate numerose applicazioni IoT che interesseranno l’intero mondo della business technology: nuovi dispositivi, tecnologia indossabile e città intelligenti cambieranno profondamente il modo in cui i clienti interagiranno con la tecnologia. Queste nuove applicazioni e soluzioni renderanno necessario un ripensamento della sicurezza; manager della sicurezza dovranno inserirsi nel processo di progettazione delle soluzioni IoT, per non dover dire “no, non farlo” ma, al contrario, consigliare e guidare i progettisti in ambito privacy e cybersecurity.
Raccomandazioni strategiche
Gli utenti sono sempre più attenti alla protezione dei propri dati, come dimostra una ricerca condotta da Forrester nel Nord America nel 2014 (figura 1), quindi la fiducia dei clienti si basa anche sulla capacità che l’azienda ha di proteggere i loro dati. Senza contare che la violazione delle nuove normative europee sulla privacy crea un grave rischio finanziario: la modifica dell'articolo 79 della direttiva UE sulla protezione dei dati prevede infatti una multa di 100milioni di euro, o, nel caso di un'impresa, il 5% del fatturato annuo a livello mondiale, a seconda di quale è maggiore. Multe di queste dimensioni potrebbero essere devastanti per molte realtà.
Figura 1- Preoccupazioni per la Privacy dei Consumatori – Fonte: Forrester 2014Secondo Forrester, però, una strategia di sicurezza basata solo sulla compliance non funziona, non è sufficiente per proteggere i dati aziendali critici, la proprietà intellettuale o la comunicazione interna dagli attacchi esterni; diventa così importante applicare una classificazione ai dati non regolati, una violazione delle comunicazioni interne, per esempio, può essere altrettanto dannosa per la reputation della sottrazione di dati sensibili di clienti.
Le migliori pratiche di conformità normativa suggeriscono di adottare per la strategia di sicurezza un approccio basato sul rischio, ma il problema è che manca, anche nelle realtà più grandi e strutturate, una reale capacità di calcolare la perdita finanziaria di un attacco informatico, per cui una prima raccomandazione fondamentale è di dare un valore economico alle informazioni in modo da poterne calcolare il danno finanziario in caso di compromissione. Per lo stesso motivo bisogna evitare di mantenere dati obsoleti o inutili (che Forrester definisce addirittura “tossici”) che rappresentano in ultima analisi una passività (dovendo comunque essere gestiti e messi in sicurezza) più che un valore: un approccio alla sicurezza di questo tipo rappresenta dunque anche un driver per “fare ordine” nel patrimonio informativo aziendale. Ovviamente è poi necessario monitorare il programma di gestione del rischio al fine di garantirne l'efficacia ed evitare il suo decadimento.
Un altro elemento che deve essere portato all’attenzione dei responsabili di sicurezza è l'Internet of Things; già quest’anno, infatti, le imprese dovranno fare i conti con una grande quantità di dispositivi intelligenti interconnessi all’interno del loro ambiente, sia consumer che non. Naturalmente tutti questi dispostivi portano con loro specifici problemi di sicurezza.
È necessario valutare il rischio degli oggetti presenti in azienda: se un dipendente entra in ufficio indossando un tracker che lo informa del numero di passi che ha fatto in un dato giorno, crea un certo profilo di rischio; se lo stesso dispositivo però autentica l'utente al suo device mobile che contiene la posta elettronica aziendale, crea un profilo di rischio differente.
Attualmente le competenze in materia di sicurezza dei diversi dispositivi sono carenti e bisogna sviluppare la conoscenza in questo ambito.
Raccomandazioni tattiche
I security manager devono guardare con attenzione alla cyberthreat intelligence (Cti) e alla security analytics (Sa) che consentono di passare da una sicurezza passiva a una proattiva. La Threat intelligence utilizza la correlazione avanzata e la capacità computazionale di identificare modelli di comportamento che potrebbero indicare l'hacking; utilizzando in modo combinato la Cti e l’Sa si possono identificare le minacce e rispondere in modo automatizzato. Gli esperti di Forrester consigliano di non affidarsi a fornitori di cyberthreat intelligence; i dati più rilevanti, infatti, sono quelli relativi ad attacchi reali contro la propria organizzazione. È poi necessario implementare tecnologie di security analytics, valutando anche i fornitori che propongono la tecnologia as-a-service, che per molti può essere una soluzione più adeguata alle proprie esigenze.
Determinante è anche classificare i dati, ma bisogna tenere presente che la complessità è il nemico della classificazione, perciò bisogna puntare ad avere non più di tre o quattro livelli di classificazione. Forrester suggerisce di classificare i nuovi dati al momento della creazione e dunque impegnare i dipendenti nel processo di classificazione per aumentare la consapevolezza del valore dei dati, l'utilizzo e la manipolazione.
Infine, l’uso di soluzioni in cloud impone un serio controllo dei carichi di lavoro IaaS, PaaS, SaaS; dunque prima di passare a un’applicazione SaaS il consiglio è di crittografare i dati utilizzando i numerosi software sul mercato. Anche nel caso ambienti IaaS / PaaS, la crittografia è essenziale e il consiglio è di utilizzare prodotti che consentono di crittografare i dati al di sotto del livello di macchina virtuale o a livello del disco logico.
Un team qualificato
Il 2015, secondo Forrester, sarà un altro anno record per le violazioni e altri eventi di cybercrime devastanti. Investire in una squadra di sicurezza altamente qualificata può rappresentare uno dei migliori investimenti che una società può fare, sostiene Forrester. I Ciso, inoltre, dovranno collaborare attivamente con i manager del marketing, della finanza e delle linee di business per unificare le loro difese e aumentare la sicurezza collettiva aziendale.
