A cura di Marco Bavazzano, CEO di Axitea
Da sempre, la sicurezza è tra le priorità dei responsabili aziendali. Almeno a parole, perché i fatti spesso parlano un’altra lingua. Le limitazioni dei budget infatti impongono scelte spesso dolorose, che raramente mettono la sicurezza sullo stesso piano delle altre priorità aziendali. Negli ultimi tempi però, complici i fatti di cronaca, la sicurezza ha scalato molti posti nelle agende dei responsabili in azienda. E se c’è interesse, è ovviamente più facile che alla questione venga dedicato un budget adeguato. Il discorso ora si sposta sul modo più efficace in cui la sicurezza può essere implementata in azienda.
La distinzione dei sistemi crea vulnerabilità
Lo scenario tradizionale prevede una divisione netta tra sicurezza fisica e sicurezza logica. Ambiti differenti, strumenti differenti, collocazioni differenti all’interno dell’organizzazione aziendale. Ma ormai da tempo le cose non stanno più così. La continua evoluzione tecnologica ha creato un’interazione sempre più stretta tra questi ambiti, che non solo spesso condividono le basi infrastrutturali – la rete IP – ma sono ormai intimamente interconnessi tra loro. Le aziende riescono a riconoscere questa interconnessione? Come spesso accade, la risposta non è univoca. Se lo scenario è sempre più chiaro, la risposta delle organizzazioni non è per forza univoca. Molte realtà ancora oggi hanno due organizzazioni e infrastrutture differenti che non comunicano tra loro, come potrebbero – e dovrebbero. E questo genera nuovi elementi di criticità.
Pensiamo ad esempio allo scenario in cui un dipendente non risulta presente in azienda (banalmente perché non ha passato il badge) ma si collega alla rete wi-fi interna. O risulta collegato sia tramite VPN remota che alla LAN aziendale. Si tratta di anomalie che possono essere tempestivamente individuate solo se i differenti sistemi di controllo comunicano tra loro. Come si dice in questi casi, un segnale debole di allarme può non essere per forza rilevante, ma due segnali deboli distinti combinati possono essere il segnale di qualcosa di serio.
La convergenza – o gestione olistica – della sicurezza è un tema di cui oggi si dibatte moltissimo. Negli ultimi anni la sicurezza fisica è diventata fortemente dipendente e interconnessa con i sistemi informatici importandone benefici e sfide, ma acquisendo al tempo stesso anche le vulnerabilità associate. E anche se alcuni standard di riferimento sono ancora in fase di definizione, l’adozione di una efficace security convergence viene fortemente suggerita come risposta strategica alle problematiche di sicurezza e sta diventando sempre più una best practice raccomandata dagli esperti che operano in ambito di converged security threat.
Integrazione dei processi per una reale convergenza
La security convergence può essere definita come un insieme di processi che integra tutte le attività, procedure e programmi dedicati alla protezione degli asset aziendali e organizzativi. Fino a poco tempo fa sicurezza fisica e logica venivano gestite da funzioni diverse. Oggi, attraverso l’individuazione delle interdipendenze che esistono fra funzioni di business e i relativi processi ha portato allo sviluppo di un approccio più olistico del security management ed è ormai fondamentale per le organizzazioni operare con una strategia allargata che tenga conto e includa tutte le aree di rischio.
L’implementazione di un modello di security convergence si articola quindi su tre direttrici: risorse umane ed economiche, con lo sviluppo di team multidisciplinari con una formazione a 360 gradi, eventualmente supportati da terze parti specializzate nell’ambito della gestione integrata della sicurezza; tecnologia e basi dati, che devono essere arricchite e integrate con l’adozione di tecnologie di interpretazione dei dati (AI) e potenziate con nuovi sistemi di identificazione, rispristino e response, in grado di operare sulle potenziali minacce riguardanti sia gli asset fisici sia digitali; infine, organizzazione e gestione, attraverso l’adozione di un modello organizzativo trasversale e fortemente integrato soprattutto nei processi decisionali.
I vantaggi legati all’adozione di un percorso di security convergence sono quindi tesi ad eliminare i silos per la gestione della sicurezza fisica e cyber a favore di un modello convergente per analisi, gestione degli incidenti e degli interventi. I benefici? Sono numerosi e tangibili e fanno riferimento alla superiore visibilità rispetto ad attacchi informatici e incidenti di sicurezza, ma anche a guasti, disservizi e malfunzionamenti di ogni tipo. Questo porta con sé livelli superiori di velocità ed accuratezza nelle procedure di intervento, remediation e reporting, efficienza nella riduzione della duplicazione delle risorse impegnate, e trasversalità e versatilità dei profili professionali impiegati nelle attività di gestione della sicurezza.
Oltre alla convergenza, è fondamentale qui il concetto di correlazione. In particolar modo i sistemi di analisi devono poter comunicare per mettere in relazione tra loro i singoli eventi che, presi singolarmente, possono avere un impatto limitato su sicurezza e operatività aziendali ma, all’interno di uno scenario più ampio, possono essere un segnale significativo di rischio.
Il grande vantaggio nell’avere un singolo punto di ownership per tutti gli aspetti di security di un’organizzazione è che un’unica funzione assume la responsabilità sia per la protezione degli asset fisici sia per quelli intangibili, così come per la crescente complessità degli aspetti di compliance, anche e soprattutto in vista dell’imminente entrata in vigore della nuova normativa GDPR – che tra i suoi pilastri chiave annovera i concetti di visibilità e responsabilità.
Il mondo è sempre più interconnesso. Allo stesso modo, la sicurezza aziendale deve essere interconnessa e convergente, per poter fare fronte a strategie di attacco che sono per loro natura sempre più integrate. La convergenza della sicurezza non è più un’opzione quindi, ma diventa gradualmente una necessità per ogni realtà, come il fatto di affidarsi a chi dispone delle competenze e dell’esperienza per metterla in pratica
