Il ruolo del CISO sta cambiando in funzione del fatto che la sicurezza viene gestita sempre meno come un silos. Le aziende stanno iniziando a comprendere che, per proteggere la propria organizzazione, necessitano di un Business Leader in grado di calarsi perfettamente nel ruolo. Lo scorso anno, il CISO ha dovuto prendere rapidamente decisioni importanti a supporto del business, assicurando una buona gestione del rischio nel rispetto delle policy.
È improbabile che tutto questo cambi nel 2021, e i CISO si ritroveranno ad affrontare lo stress del budget, nuovi rischi e una nuova economia del lavoro. Cosa riserverà ai CISO il 2021, e dove dovranno concentrare i loro sforzi per ottenere i massimi risultati?
Previsione #1 – Rimediare dopo la pandemia significa tornare alle origini
Dopo che il 2020 è stato interamente dedicato a gestire l’emergenza sanitaria, nel 2021 i CISO vorranno raddoppiare il loro impegno nella creazione di basi solide. In particolare, cercheranno di anticipare i malware, riconoscendo che un buon livello di sicurezza è di vitale importanza, mentre coloro che non hanno ancora un programma in atto, avranno bisogno di un workflow in grado di scansionare, analizzare, prioritizzare e neutralizzare le minacce.
Per fare in modo che questo funzioni a livello pratico, servirà disporre di elenchi accurati degli asset, un approccio che è scomparso in molte aziende quando si è dovuto affrontare tempestivamente il COVID-19. Ottenere gli elenchi accurati e mantenerli aggiornati diventerà un obiettivo comune nel corso di tutto il 2021. Questo pone un problema con le tecnologie legacy, ad esempio, nella gestione degli asset, che si riflette nei cambiamenti dei modelli dei fornitori, dove gli approcci “cloud first” saranno i più apprezzati.
Come previsto, la pandemia ha avuto un impatto sugli investimenti portando le aziende a ridurre i budget e a valutare l’efficacia dei programmi già in uso. I CISO, con l’intento di mostrarsi bravi manager d’impresa, stanno cercando di dilatare ulteriormente le spese o di tagliare i costi dove possibile. Man mano che usciremo dall’emergenza sanitaria, non saremo molto inclini ad aprire rapidamente i portafogli, ma si verificherà una certa esitazione a impegnarsi in spese ingiustificate. L’anno appena iniziato vedrà infatti le organizzazioni concentrarsi maggiormente su sistemi e soluzioni che hanno già acquistato.
Con la riduzione o con l’assunzione di personale, sarà difficile concentrarsi su qualcosa di nuovo, ma vedremo che le imprese continueranno a fare perno sul cloud, perché questo è un requisito di sopravvivenza. In effetti, abbiamo visto un’accelerazione in questa direzione per quelle organizzazioni che non si erano ancora avvicinate al cloud.
Previsione #2 – Il lavoro a distanza proseguirà
Vi sarà una grande spinta per quelle aziende che non sono ancora completamente passate al cloud, per rispondere a nuovi servizi per avere la massima visibilità, capire quali sono i loro asset e come appare la loro superficie di attacco. Vedremo anche un buon numero di aziende che sceglieranno di non tornare in ufficio e, questo trend verso una forza lavoro diversificata e distribuita, avrà un impatto enorme sulla sicurezza informatica. Vi saranno inoltre benefici in termini di costi, in quanto si presterà maggiore attenzione alle spese legate agli spazi per uffici e viaggi. Per questi motivi ci si aspetta che il passaggio al lavoro a distanza diventerà la normalità per molti.
Lo smart working però richiede protezione ovunque e questo sposterà l’attenzione dagli strumenti di sicurezza che prima erano essenzialmente concentrati sul network verso agenti di rete presenti in ogni device e in qualsiasi sito. Sarà fondamentale monitorare questi host remoti per garantire la sicurezza anche perché si potrà ridurre al minimo i tempi di inattività degli asset o degli utenti, limitando l’esposizione di un’azienda alle violazioni o agli exploit di malware o APT. Infine, questo monitoraggio servirà per allinearsi alla compliance e contenere i rischi.
Nel 2021, i CISO dovranno pensare alla visibilità in qualsiasi luogo per poter garantire sicurezza ovunque.
Previsione #3 – Conferma del modello Zero Trust
Se c’è un tipo di tecnologia su cui i vendor sembrano voler puntare, è lo Zero Trust. Questo è un nuovo approccio che consente di ottenere valore, anche se alla fine si tratta più di una metodologia che di un prodotto vero e proprio. Lo Zero Trust descrive un modello per il funzionamento dei programmi di sicurezza che assegna le priorità alla classificazione dei dati e alla comprensione dei flussi degli stessi all’interno della propria organizzazione.
Come suggerisce il nome, è un approccio che si incentra su una scarsa fiducia nei confronti di ciò che si trova all’interno o all’esterno del perimetro di un’organizzazione e che consente di negare di default tutti gli accessi. Zero Trust è popolare perché, come avevamo già ipotizzato nel nostro vecchio modello operativo, ogni dipendente, abituato a lavorare nel proprio ufficio avendo accesso a tutto ciò di cui ha bisogno, ora può farne benissimo a meno. Oggi potrebbe lavorare da casa, in un bar di Milano, o in una stazione sciistica delle Dolomiti per un mese. In questi contesti disparati, è necessario identificare un utente e confermarne l’autorizzazione prima che si verifichino eventuali problemi. Quando si parla di autorizzazione non si intende solamente il nome utente e la password ma i CISO devono pensare a un cambiamento di autenticazione incentrato sul luogo, sul tempo e anche su variabili come la velocità.
Affinché gli approcci di Zero Trust funzionino con successo, i CISO dovranno riporre fiducia nei loro metodi e in chi li supporta. Al fine di risultare efficace, questo deve essere affrontato in modo olistico. Le aziende, ad esempio, non vorranno dieci agent separati su un dispositivo, ciascuno a occuparsi di una specifica esigenza di sicurezza – questo rallenterebbe il sistema e intaccherebbe la produttività. Di fronte ai tagli di budget, vorranno ottenere questa visibilità e questo controllo in maniera efficiente. Anche in questo caso, il consolidamento sembra essere la nuova tendenza che i CISO cercheranno dove ci sarà un buon business.
Previsione #4 – Il Ransomware rimarrà una seria minaccia
Lo scorso anno abbiamo visto la crescente diffusione di ransomware e, purtroppo, è probabile che questa tendenza aumenti anche nel 2021. Questo è dovuto principalmente al fattore di monetizzazione. La pandemia ha potenzialmente colpito e provocato il licenziamento di molte persone, i mercati ne hanno risentito e per questo motivo oggi stiamo assistendo ad una progressiva tendenza alla monetizzazione da parte dei team di Advanced Persistent Threat (APT) e anche da parte delle organizzazioni criminali. In particolare, il ransomware continuerà ad avere un impatto sul settore sanitario, dove gli hacker hanno verificato che minacciando direttamente la vita delle persone, ci sono molte più probabilità di ottenere vantaggi economici.
La portata del problema è stata riconosciuta in ottobre nella guida del U.S. Department of the Treasury’s Office of Foreign Assets Control (OFAC) quando, nel tentativo di limitare i pagamenti di riscatti e l’uso di assicurazioni, alle organizzazioni statunitensi è stato ricordato che sono civilmente responsabili di qualsiasi transazione, anche indiretta, con individui o entità vicine agli hacker.
Nel 2021 ci potrebbero essere grosse sanzioni da parte degli enti di controllo verso le aziende che non si conformeranno alle normative e per i CISO, la minaccia finanziaria, legata al pagamento di una sanzione, dovrebbe indurre a predisporre una protezione ottimale verso attacchi ransomware con una piena visibilità degli asset e una pianificazione approfondita dei processi che ruotano intorno ai dati. A questo punto sarebbe opportuno riporre come obiettivo primario, la revisione dei piani e delle procedure di backup e di ripristino, anche se, erroneamente, molti ritengono che la transizione al cloud ne attenui in qualche misura la necessità.
Ci sono stati molti eventi che sono sfuggiti al controllo del 2020, ma i CISO che avevano un buon programma in atto, hanno reso la transizione verso la modalità di lavoro in smart working, relativamente facile. Nel 2020, quelli che non l’hanno fatto, hanno dovuto gestire varie complicazioni e l’anno appena iniziato può fornire quindi l’occasione per fare un bilancio di come sono andati quei progetti.
Nel 2021, le sfide di business che interesseranno la sicurezza giungeranno ai CISO molto velocemente. Spostando nuovamente l’attenzione sull’importanza delle basi, come la garanzia della visibilità degli asset, la sicurezza e l’integrazione delle soluzioni in modo efficace, i CISO possono consentire alle loro aziende di affrontare e superare le nuove criticità. Nell’incertezza che i CISO stanno cercando di affrontare, data la situazione attuale, bisogna cercare di sfruttare questo momento come un’opportunità per allinearsi meglio al business e rispondere perfettamente alle esigenze del comitato direttivo.
A cura di Ben Carr, Chief Information Security Officer di Qualys