Parole d’ordine: Zero Trust, Maturity Model, Integrazione e Automazione, Terze parti e Segmentazione della rete

Dispositivi mobile: il decalogo della sicurezza aziendale

A cura di Fred Streefland, Sr. Product Marketing Manager EMEA, ‎Palo Alto Networks

Abbiamo già approfondito come un piano olistico di sicurezza debba partire dalla strategia aziendale e perché sia fondamentale per i top manager comprendere come e perché l’organizzazione sia molto più vulnerabile ai cyberattacchi rispetto a cinque anni fa. Analizziamo ora come il board dovrebbe costruire un approccio olistico alla sicurezza e definire le priorità sulle componenti da proteggere.

Un approccio da ‘servizi segreti’

Avete mai visto un presidente degli Stati Uniti in movimento? Vi sarà stato subito chiaro chi e cosa fosse importante per gli agenti responsabili della sua sicurezza. Il presidente è circondato da personale dei Servizi Segreti a differenti livelli – di fronte, di spalle, sopra e sotto. Tutti hanno la stessa missione: proteggere il presidente.

Nell’analisi della propria strategia di business, un’azienda dovrebbe essere in grado di ottenere una visione chiara e precisa delle sue attività più importanti, come quelle degli agenti dei servizi segreti. A questo punto è possibile determinare le risorse informatiche necessarie e investire con fiducia.

Prendiamo in considerazione un produttore di autovetture. La proprietà intellettuale potrebbe essere il suo bene più importante. Le automobili competono in termini di stile, guida e prestazioni, consumi di carburante, sicurezza e, ultimamente, innovazione. Tutto inizia con il progetto legato alla proprietà intellettuale. Decine e centinaia di fornitori producono componenti per il veicolo, quindi la rete di terze parti rappresenta un asset fondamentale. Se la linea di produzione dovesse bloccarsi, l’azienda potrebbe subire perdite da milioni al giorno. Di conseguenza, un’azienda ha molti beni da proteggere.

Inoltre, un’azienda automobilistica ha una superficie di attacco molto ampia. Gli autori di minacce potrebbero accedervi tramite la rete aziendale o produttiva; tramite terze parti connesse a queste reti; via applicazioni mobili, interfacce presenti sul veicolo e anche applicazioni post-vendita (ad esempio compagnie assicurative o officine meccaniche che utilizzano dispositivi software per accedere al sistema di bordo dei veicoli).

Le minacce ai veicoli e ai loro produttori sono molto più che teoriche. L’attacco più famoso è quello del 2015, in cui “hacker etici” che lavoravano con la rivista Wired hanno attaccato una Jeep in movimento e l’hanno bloccata in autostrada. Nel 2016, l’executive chairman di Stroz Friedberg, azienda specializzata in cyber risk management, ha commentato “La mia società è stata contattata da una nota casa automobilistica per realizzare attività di “hacking etico”. Abbiamo messo in campo un attacco all’azienda in stile globale, e dopo molte settimane di lavoro con numerose risorse, abbiamo ottenuto il controllo completo che ci avrebbe consentito di interferire con le reti aziendali e produttive e di interagire con i veicoli.”

Componenti della strategia

In fondo, il numero di policy, processi e procedure che, se implementati nell’approccio al rischio aziendale conducono a una strategia di sicurezza IT olistica forte, è ridotto.

Zero Trust. Le aziende e i leader IT una volta credevano che le reti interne fossero affidabili, a differenza di quelle esterne, e di conseguenza la fiducia era diventata un presupposto implicito nella progettazione di reti private, in base a quanto affermato da John Kindervag, che ha coniato il termine Zero Trust quando collaborava con Forrester Research (oggi, Kindervag è Field CTO di Palo Alto Networks). Kindervag afferma “La fiducia è la causa principale di tutte le violazioni dei dati e di molti altri eventi con impatti negativi sulla sicurezza; non abbiamo bisogno di fiducia nei sistemi digitali quando gli unici a beneficiarne sono i cybercriminali”. Zero Trust presuppone che nessun utente o processo debba essere ritenuto affidabile e tutto debba essere verificato.

Maturity Model. Un maturity model di cybersicurezza aiuta le aziende a valutare, stabilire priorità e migliorare le capacità di protezione, definendo diversi livelli di competenza che guidano l’azienda per incrementare e diffondere una cultura della sicurezza.

Integrazione e Automazione. Sono il cuore di una strategia di sicurezza olistica. Le aziende sono diventate molto più complesse e sono subissate ogni giorno da troppi avvisi di protezione per poterli gestire manualmente. Dovrebbero installare analisi automatizzate di malware e intrusioni potenziali e integrare i propri sistemi in modo tale che il risultato di ogni analisi automatica venga propagata in modo simultaneo a tutti i punti della rete.

Terze parti. È importante ricordare che le terze parti giocano un ruolo importante in azienda. Poche imprese possono operare senza il loro aiuto. Le terze parti sono il punto principale che consente ai cybercriminali di accedere a un’organizzazione che in teoria potrebbe essere protetta. Dare priorità alle terze parti, applicando l’approccio Zero Trust, è necessario per una sicurezza forte.

Segmentazione della rete. Potrebbe sembrare troppo tecnico e tattico per un membro del board, ma accertarsi che la rete sia progettata in molteplici segmenti logici è importante per supportare l’approccio Zero Trust. Permette a un’azienda di consentire l’accesso degli utenti solo agli elementi necessari per le loro attività, riducendo così i danni potenziali di un’eventuale compromissione delle credenziali di un dipendente.

Per molte aziende la cybersicurezza deve cambiare, in quanto un pensiero “esterno-interno” basato sulle minacce non è efficace nel mondo attuale. Un approccio basato sui rischi di business, abbinato a Zero Trust, e costruito su una piattaforma automatizzata e integrata – e non su soluzioni puntuali standalone – è ciò che le organizzazioni moderne richiedono per mitigare il rischio informatico in modo significativo e permettere una crescita del business.