Taking Enterprise Security to the Next Level

Massimizzazione della sicurezza aziendale

Intervista con John Summers, Enterprise VP e GM, Akamai Technologies

Quali sono le cose principali che i leader aziendali devono comprendere riguardo le minacce di oggi alla cyber sicurezza?

Riconoscere che sono passati i tempi delle minacce generiche. Le minacce sono altamente mirate alla vostra organizzazione e vengono perpetrate da persone alla ricerca di qualcosa, spesso la proprietà intellettuale o le informazioni personali o finanziarie. Oppure la missione è semplicemente entrare e spiare le attività della vostra organizzazione.

Le persone che fanno tutto questo sono altamente qualificate e hanno risorse. Alcuni dei migliori a violare le difese informatiche sono quelli che lavorano per lo stato. Sono insistenti e pazienti e fanno del loro meglio per passare completamente inosservati, facendo sembrare le loro interazioni con la vostra infrastruttura, la vostra azienda e il vostro personale innocue tanto quanto il normale svolgimento delle attività aziendali. Si tratta di una classe di minacce completamente nuova. Si è evoluta nel corso degli ultimi anni e sta rendendo la sicurezza una faccenda molto più difficile.

Nel frattempo, i leader aziendali hanno l'obbligo di portare una maggiore agilità alle proprie organizzazioni e aggiungere nuovo valore ai clienti, ai partner aziendali, alle catene di fornitura e a quelle di distribuzione. Le aziende devono digitalizzare, in modo tale da poter funzionare e cambiare sempre più rapidamente. Per necessità si connettono di più, comunicano di più e fanno un uso maggiore dell'infrastruttura cloud.

Perciò, mentre gli autori delle minacce diventano sempre più subdoli nel loro modo di penetrare l'infrastruttura tecnologica, le aziende stanno rendendo più permeabili le proprie infrastrutture, per aprirsi a connessioni che possono rendere il business più competitivo. Questo è il fulcro di tutta la tensione nella cyber sicurezza oggi. In che modo aprire il business per accelerarlo, ma conservando la coscienza del fatto che è minacciato e, quindi, difenderlo?

Cosa dovrebbero sapere i leader aziendali riguardo gli attuali approcci comuni alla sicurezza?

Storicamente, tutti nel settore della sicurezza sono usciti dal livello di sicurezza della rete. Era il mondo dei fossati e delle alte mura: dove c'era un dentro e un fuori. Ma quel mondo sta sparendo. Un business altamente interconnesso ha parti dell'infrastruttura e dei propri utenti in altri posti: non dietro mura, ma fuori, con i clienti, con i partner aziendali, per poi tornare a connettersi ad applicazioni business-critical, a volte dislocate altrove.

Questa connettività pervasiva rende grandemente irrilevante il precedente approccio adottato in materia di sicurezza di rete. Quando accedete a un'applicazione su Internet, non vi trovate in una rete che potete controllare e, quindi, i controlli a livello di rete sono molto meno efficaci nell'individuare e respingere le minacce informatiche.

Allora qual è l'alternativa necessaria?

Il punto di vista della sicurezza deve evolversi lontano dal perimetro della rete, fino ai livelli dell'utente, dei dati e delle applicazioni. Questi sono nuovi punti di controllo, dai quali controllare le interazioni di business nel mondo dell'infrastruttura cloud. Dovete sapere chi sono gli utenti. Dovete sapere a quali applicazioni devono accedere, dando soltanto a loro l'accesso. E dovete assicurarvi che i dati che transitano tra utenti e applicazioni siano quelli giusti, oltre che accertarvi che transitino in modo sicuro. Questa la chiamo evoluzione della sicurezza, dall'approccio "pacchetto, porta e protocollo" a quello "utente, dati e applicazione".

La sfida è che abbiamo necessità di molti più professionisti della sicurezza, che hanno ricevuto una formazione sui nuovi approcci e controlli. E i fornitori devono cambiare il proprio modo di pensare alla sicurezza aziendale stando in un mondo altamente distribuito e connesso. Akamai qui presenta dei veri vantaggi, in quanto siamo cresciuti distribuendo contenuti in modo sicuro su Internet e abbiamo costruito la nostra piattaforma partendo direttamente dalla struttura del web. Abbiamo dovuto operare a livello di risorse (utente, dati, applicazione, dispositivo in comunicazione con noi) per 19 anni. Ciò comporta un'autenticazione e una crittografia avanzate, nonché una visibilità completa a prescindere dalle reti in uso.

Internet è composto da qualcosa come 15.000 reti diverse. Quando vi trovate a lavorare in questo mondo, la vostra unica scelta è attuare una sicurezza a livello di risorse. Siamo ansiosi di condividere con i nostri clienti ciò che abbiamo imparato in quei 19 anni in fatto di salti di qualità necessari per la sicurezza.

Diteci ancora cosa deve avvenire dietro le quinte affinché tali risorse restino protette.

Dovete avere visibilità sulle risorse alle quali vi affidate e sui relativi comportamenti, se volete determinarne l'affidabilità e il potenziale rischio per l'azienda.

Abbiamo sempre racchiuso le identità degli utenti in un modello di sicurezza aziendale tradizionale, ma ora queste identità devono essere utilizzate per accedere alle applicazioni, comprese quelle SaaS principali, situate sul cloud piuttosto che nei nostri data center.

Fungendo da estensione per l'utente, ci serve avere informazioni sul dispositivo in uso. Viene gestito dall'azienda o è un dispositivo ampiamente non gestito, scelto dall'utente? Le policy e le procedure di sicurezza devono tenere conto del BYOD (Bring Your Own Device) per semplificare le cose all'utente.

Con le applicazioni sul cloud, ci serve sapere che l'utente sta accedendo all'applicazione giusta, chiedendoci anche se tale applicazione sia totalmente affidabile, semi affidabile o del tutto sconosciuta. Tutto questo è estremamente importante, ad esempio, quando gli utenti cadono vittima di attacchi di spear phishing, facendo clic su link contenuti in un'e-mail proveniente apparentemente da fonti affidabili o che sembra essere compresa nelle normali attività aziendali. Per individuare i possibili attacchi, dobbiamo sapere sia cosa viene comunicato che l'affidabilità della destinazione.

E poi ci sono i dati. Per tentare di tenerli al sicuro è necessario prima comprenderne l'importanza. I dati che vengono trasmessi tra l'utente e l'applicazione sono fondamentali per l'azienda, non sono tanto importanti oppure non ha importanza se vengono rubati? La classificazione dei dati è una cosa davvero nuova nella maggior parte delle aziende. La gente ne parla come di una necessità, eppure sono poche le organizzazioni a farla bene. Un dirigente nel settore dei servizi finanziari ha confidato che esistono sostanzialmente solo due classi di dati: "La roba che può mettermi nei guai e tutto il resto".

Nel proteggere tutte queste risorse, dobbiamo riconoscere che le decisioni e le azioni in materia di sicurezza sono molto meno chiare e nette che in passato. Non si tratta di approvare o bloccare l'accesso agli indirizzi IP. Non è tutto bianco o tutto nero. Dobbiamo accettare più sfumature quando prendiamo decisioni sulla sicurezza; abbiamo necessità di una visibilità più granulare su ciò che succede ed è necessario basarci di più sul rischio aziendale quando applichiamo la policy di sicurezza.

Quali vantaggi rappresenta un modello di cyber sicurezza basato sul rischio per le aziende?

L'obiettivo è ridurre il rischio per il business e per il brand, senza ostacolare nel frattempo l'innovazione, l'accelerazione e il cambiamento. Idealmente, le procedure di sicurezza permettono l'agilità del business: consentono all'azienda di implementare di continuo nuove applicazioni in modo tale che ogni nuovo rilascio non la esponga a ulteriori rischi.

Ciò rappresenta un cambiamento profondo. Storicamente si è pensato alla sicurezza come a una barriera da superare per portare a termine un obiettivo aziendale. Chi lavora nel campo della sicurezza ha sempre pensato a sé stesso come a un guardiano: controlla cosa si può fare e cosa no.

Invece, la sicurezza dovrebbe significare offrire all'azienda una consulenza su come ottenere i propri obiettivi nel modo meno rischioso e più vantaggioso possibile. La sicurezza deve essere vista come una fonte di valutazione dei rischi e linea guida per ridurre il rischio a un livello che renda opportuno per l'azienda cogliere l'opportunità. I CSO devono concedere ai colleghi aziendali la possibilità di variare la portata del rischio che l'azienda può affrontare. Nessuna organizzazione di sicurezza può ridurre il rischio a zero.

Qual è un esempio di procedura di sicurezza che consente a un'azienda di essere agile?

Abbiamo lavorato con il team digitale di una grande azienda di servizi finanziari. Sono concentrati sulle nuove applicazioni, su un'innovazione e una sperimentazione rapide e su un nuovo valore di business. Volevano poter implementare rapidamente nuove applicazioni, pur affidandosi alle proprie strategie di sicurezza. Insieme abbiamo sviluppato un framework di implementazione delle applicazioni con un livello di sicurezza integrato, in modo tale che tutte le applicazioni fossero progettate per essere scalabili e sicure dalla A alla Z.

Gli strumenti di sicurezza che utilizzavano per controllo, monitoraggio, autenticazione e per il controllo degli accessi erano tutti compresi nel framework. Perciò, gli sviluppatori potevano dedicarsi interamente allo sviluppo di nuove app. La sicurezza non era un passaggio aggiuntivo, da aggiungere dopo: era integrata. I metodi di sicurezza andavano da una barriera a un fattore determinante.

Questa è un'estensione di quell'approccio. Le applicazioni stanno integrando sempre di più le API e le comunicazioni M2M (Machine-to-Machine). La maggior parte delle organizzazioni non presta molta attenzione alla sicurezza di queste comunicazioni M2M, da API ad API, da parti di un software ad altre parti. Collegano tra di loro un intero insieme di API e poi aggiungono un livello sicurezza solo nel caso di applicazioni comunicanti con il web o con l'utente.

Ma se riusciste a realizzare comunicazioni sicure a livello di API, sarebbe un enorme vantaggio per tutte le applicazioni che utilizzano quelle API. Per ciò che l'API invia e riceve, la sicurezza è integrata nel software. È possibile implementare più velocemente le applicazioni con un livello di sicurezza maggiore.

Il principio fondamentale qui è che la sicurezza deve essere progettata in base all'infrastruttura aziendale, nonché essere integrata all'interno della stessa, non sovrapposta in un secondo momento. Quando create nuovi dati, pensate all'importanza che questi hanno per l'azienda piuttosto che tentare di aggiungere una classificazione di sicurezza subito dopo. Quando implementate applicazioni, la sicurezza dovrebbe essere già integrata. Questa è la prossima soglia, tra le procedure di sicurezza, che le organizzazioni devono varcare.

In che modo le organizzazioni possono iniziare a percorrere la strada verso una sicurezza più basata sulle risorse e sul rischio?

Ciò che desiderate è integrare la sicurezza in modo più diretto all'interno della struttura aziendale. Iniziate a esplorare i processi aziendali anziché l'infrastruttura. Esaminate i dati che vengono scambiati tra le varie tappe di una procedura e valutate il potenziale rischio che l'azienda ha di perdere alcuni di questi dati in ognuna di esse. Poi, implementate i controlli di sicurezza appropriati per tutelare tutti gli attori della procedura, impostate l'autenticazione necessaria a ogni estremo delle comunicazioni e decidete i limiti e i controlli da stabilire per tali comunicazioni. Se riuscite a pensare alla sicurezza a un livello di procedure aziendali, tutto diventa molto più scorrevole spostandosi verso il livello dell'infrastruttura.

Vi servirà anche avvicinare tra loro i domini di sicurezza e di sviluppo delle applicazioni. Spesso si dice che la sicurezza è un lavoro quotidiano, ma non vi sarà possibile insegnare a tutti i vostri sviluppatori a diventare esperti di sicurezza. Tuttavia, come appena detto, potete creare un framework di applicazioni che rendono più semplice lo sviluppo di nuove applicazioni con un livello di sicurezza integrato. Durante la procedura, capirete le competenze aggiuntive necessarie nel gruppo di sicurezza quanto a sicurezza a livello di applicazione e a meccanismi di controllo degli utenti e dell'accesso ai dati.

Qual è il vostro consiglio finale per i CIO e i CSO per accelerare il processo di miglioramento del proprio livello di cyber sicurezza?

Per prima cosa, non avere paura di utilizzare il cloud, ma affidarsi ad esso. Può aiutarvi davvero a ottenere più sicurezza, favorendo allo stesso tempo l'agilità, la redditività e la rapida crescita della vostra azienda.

Seconda cosa, seguire il principio del modello zero trust. Dovete supporre che tutto sia potenzialmente compromesso e stabilire policy aziendali e di sicurezza basate su questo presupposto. Solo nei casi più semplici saprete se qualcosa è decisamente innocuo o dannoso. La gran parte del mondo della sicurezza rientra in questa zona grigia centrale. Pertanto, dovrete valutare quanto possano essere rischiose le cose e raccogliere prove nel tempo, per aggiornare il vostro approccio alla sicurezza.

Terza cosa, accettate la responsabilità del guidare l'azienda tenendo conto dei rischi e non solo di prendere decisioni da guardiano. È un ruolo più grande, che aggiunge più valore. I professionisti della sicurezza sono in realtà professionisti del rischio, in quanto devono pensare nello specifico a come il rischio aziendale sia guidato da quello relativo alla sicurezza e non solo al rischio per la sicurezza in sé. In tal modo, l'azienda può avere idee variegate riguardo le strategie e le policy in materia di sicurezza, proprio come avviene con le strategie e le tattiche aziendali.

Related CIO Content