Secondo i dati rilasciati dal Clusit nel primo semestre del 2017 si sono registrati ben 571 attacchi informatici gravi, quasi il 10% in più rispetto allo stesso semestre dell’anno prima. Una crescita che sembra non arrestarsi e accende nuovamente i riflettori sull’urgenza di pensare all’Enterprise Security come a una strategia globale dell’azienda, non solo come mera scelta tecnologica. Ne abbiamo discusso con Alberto Roseo, General Manager di Lutech e Roberto Pozzi, Regional Director Southern Europe di Check Point Software Technologies.
Serve una maggiore presa di coscienza su rischi e vulnerabilità
«Oggi il tema della security non è più demandato ai Network Security Officer ma viene portato al tavolo di discussione dei Ceo», è la prima considerazione di Pozzi. «Tuttavia, gli investimenti da parte delle aziende non sono ancora adeguati ai rischi: il cybercrime oggi è caratterizzato da attacchi mirati il cui obiettivo è rubare dati e denaro».
Who's Who
Roberto Pozzi
Regional Director Southern Europe di Check Point SoftwareTechnologies
«Tutto l’hype mediatico che c’è oggi sul tema della Security tutto sommato “aiuta” le aziende a prendere maggiore consapevolezza riguardo ai rischi cui sono sottoposte», interviene Roseo. «Molto spesso però gli attacchi vengono percepiti come azioni di organizzazioni criminali internazionali dimenticando che, a volte, le falle nella sicurezza di un’azienda derivano da errori “tragicamente” banali; penso per esempio a errori di design, di progettazione, di gestione della sicurezza che non possono essere risolti semplicemente identificando la tecnologia adeguata. In questo senso, servirebbe da parte delle aziende una maggior presa di coscienza sul fatto che la tecnologia, da sola, non può risolvere i problemi, servono governance, competenze, strategia…ancor di più oggi che la digitalizzazione estende la superficie di attacco e di rischio».
Who's Who
Alberto Roseo
General Manager di Lutech
Oggi non ha più nemmeno senso parlare di perimetro aziendale, non esiste più, aggiunge ancora Pozzi. «Il mondo sta diventando sempre più complesso e questo vale anche per la cybersecurity, ma c’è ancora molta immaturità sulle azioni di protezione; pensiamo ai device, quasi tutti hanno pensato alla protezione dei Pc e dei laptop ma sono pochissime le aziende che hanno installato dei sistemi di sicurezza avanzata sugli smartphone dei propri dipendenti… eppure quella dei cellulari è una nuova superficie di attacco molto estesa».
Security by design : consapevolezza e autotutela i primi passi da compiere
Se la consapevolezza sui rischi, come accennato, è il primo grande passo da compiere verso una efficace ed estesa strategia di Enterprise Security, «quello immediatamente successivo riguarda l’autotutela che nella nostra vision si formalizza con il concetto ed il modus operandi della Security by Design», puntualizza Roseo. «Pensare alla sicurezza già nel momento della progettazione di una applicazione o di un servizio digitale significa sollecitare continuamente il ragionamento sul dual-use (utilizzo normale e “abusivo” dei sistemi e delle applicazioni), anche mediante i cosiddetti Pressure Test (simulazioni di attacco) che generano sollecitazioni concrete tali da consentire eventuali interventi, in caso di necessità, prima che si verifichi un cyberattack reale. Tutto questo senza tuttavia rinunciare alla Digital Transformation o, al contrario, rinunciare alla sicurezza per avere funzionalità più avanzate o innovative: la vera sfida è integrare la sicurezza nei sistemi, nelle applicazioni, nei servizi digitali senza precluderne l’usabilità e l’experience da parte degli utenti».
Scoprire il “nervo che duole” non è mai semplice, ancor di più quando si tratta di aziende complesse o di grandi dimensioni, è l’opinione di Pozzi. «Innanzitutto deve innescarsi un meccanismo di “trust” tra le parti, l’azienda utente, il partner con cui ha la relazione diretta e il vendor di tecnologia. Il compromesso, poi, rappresenta innegabilmente sempre il bilanciamento ottimale: per essere sicura e protetta un’azienda deve seguire una serie di regole e processi che non si limitano,come dicevamo, all’implementazione delle soluzioni tecnologiche, ma entrano nella sfera personale dei comportamenti e delle abitudini dei dipendenti e dei collaboratori».
Se il compromesso e la fiducia sono gli elementi meno tangibili dei quali è però fondamentale tenere conto nello sviluppo di una concreta ed attiva Enterprise Security, sia Roseo sia Pozzi concordano sul fatto che «non esiste una roadmap ideale o ipotetica: serve ragionare in un’ottica di prevenzione ma dal punto di vista metodologico e tecnologico le declinazioni sono molteplici, dipende dalla natura dell’azienda, dal modello di business, dalla sua struttura organizzativa, dalla consapevolezza delle persone…».
Lutech e Check Point : insieme per diventare Trust Advisor delle aziende
Entrando nel merito della proposta tecnologica (e non solo), Roseo presenta così quella che è oggi la value proposition di Lutech sul fronte della sicurezza: «Il cuore della value proposition di Lutech si basa su alcuni pilastri: Security Engineering “solido” e basato sulla conoscenza e capacità di integrazione delle migliori tecnologie, Cyber Intelligence, Breach Monitoring, Incident Response (sia la preparazione che il test e l’eventuale esecuzione), Pressure Testing».
«Va vissuto come un mantra continuo l’approccio alla prevenzione,che è ciò su cui Check Point sta investendo fin dalle sue origini», fa sapere Pozzi. «Bisogna estendere continuamente la capacità e la superficie di difesa; diventando sempre più labili i perimetri (sia delle aziende sia quelli della difesa) ciò su cui va riposta l’attenzione è la fruizione dei dati (e quindi la loro protezione) che grazie al cloud arriva agli utenti “come l’acqua del rubinetto”. Check Point punta, come accennato, sulla prevenzione e per farlo sviluppa una piattaforma in grado di coprire con una profonda granularità tutti gli aspetti dell’Enterprise Security.
Sta poi a realtà come Lutech riuscire a farne cogliere il valore alle aziende, proponendosi prima di tutto come Trust Advisor». «Affrontare la sicurezza dall’origine della Digital Transformation è il nostro modo per esprimere il valore dell’advisory», gli fa eco Roseo. «In quest’ottica aggiungo che la vicinanza con l’R&D israeliano di Check Point, di conseguenza la comprensione profonda della tecnologia, ci permettono di trasferire quella fiducia nella tecnologia che assicurano alle aziende trasparenza, il giusto dimensionamento, il supporto decisionale migliore nelle scelte architetturali e funzionali».