Roberto Tavano, Vice Presidente del reparto Security Solutions & Sales di Unisys, analizza i necessari cambiamenti nell’approccio alla sicurezza informatica che le aziende devono fronteggiare nella nuova era dell’Internet of Things. Sta infatti scomparendo il concetto di perimetro difensivo della propria rete ed è necessario modificare radicalmente la cultura della sicurezza informatica.
Viviamo certamente in un’epoca interessante. Si potrebbe opinare che abbiamo visto tempi migliori, ma ciò che intendo affermare qui è in realtà altro. Nel corso della storia, ogni grande cambiamento ha portato con sé nuove idee, modelli e paradigmi, sia a livello sociale che aziendale. Oggi stiamo assistendo alla transizione da un mondo tradizionale, completamente analogico, verso un mondo nuovo, fortemente digitale. È facile previsione affermare che l’evoluzione dello stato delle cose nel prossimo futuro porterà sempre più all’accentuazione della natura e componenti digitali tanto nelle prassi commerciali quanto in quelle della pubblica amministrazione.
Ogni volta che nasce un nuovo paradigma, la reazione naturale è quella di adattare a esso le strategie, le politiche e le tecniche già esistenti. Ad esempio, quando è stata introdotta l’automobile, le regole e le conoscenze che si erano imposte nella progettazione delle carrozze per un po’ di tempo sono state adottate anche in questo settore.
Nell’IT stiamo osservando un fenomeno simile. Nel corso dei decenni, quando l’attenzione era focalizzata sul supporto delle attività manuali e migliorare l’efficienza, l’IT veniva isolata nella stanza del tecnico e rappresentava una sorta di onere indesiderato per l’azienda, una componente necessaria ma fastidiosa, spesso non comprensibile a causa del gergo utilizzato da chi la gestiva. In ogni caso, nella maggior parte dei casi, l’IT veniva tenuta ben lontano dalla stanza dei bottoni. Pochi erano i CIO che riportavano direttamente agli amministratori delegati, e le effettive dimostrazioni di considerazione del valore strategico dell’IT che si possono citare sono state relativamente poche.
Un aspetto positivo di quei primi giorni era che le minacce alla sicurezza apparivano relativamente modeste e limitate. L’azienda era sufficientemente monolitica, poco connessa tramite reti telematiche e comunque sufficientemente in grado di affrontare potenziali attacchi e gli eventuali danni che questi comportassero. Il perimetro di difesa era sufficientemente ben definito e si potrebbe affermare che il suo monitoraggio e controllo fossero sufficientemente adatti alla situazione.
In un suo recente articolo, “The importance of zero-trust and an adaptive perimeter in cyber fortifications”, Nick Evans ha paragonato questa situazione a quella di un castello medievale, considerando che le esigenze di adattamento “perimetrico” della sicurezza informatica sono analoghe alle necessità evolutive delle strutture difensive del castello, anch’esse soggette nel tempo ad adattamento in funzione delle nuove tecnologie degli attaccanti. L’analogia è valida, ma la storia dimostra che ben pochi furono i castelli in grado di difendersi efficacemente da attacchi organizzati e ben coordinati. Per gli attaccanti c’è quasi sempre una piccola finestra di opportunità che resta aperta: un errore dei difensori o, magari, creata intenzionalmente da qualcuno all’interno delle mura. In ogni caso, ogni strategia di sicurezza informatica basata sulla difesa del perimetro aziendale ha funzionato e sufficientemente ben ripagato per un lungo periodo di tempo, ma ora non è più applicabile perché lo scenario in cui azienda e IT operano è radicalmente cambiato.
Mobilità, nuove tecnologie di comunicazione, nuove architetture, servizi e disegni di sistemi informativi ibridi, e non più totalmente controllabili, hanno scatenato una vera ondata rivoluzionaria, una rivoluzione digitale. Ne consegue una semplice domanda: come affrontare tale rivoluzione digitale in una prospettiva di sicurezza informatica?
Quando tutto esiste ed avviene in ambito digitale, l’IT non può più rappresentare un semplice supporto delle attività dato che l’essenza stessa del business è fatta di dati, informazioni e comunicazioni, e lo scambio di conoscenze e transazioni avviene ovunque, in qualsiasi momento e con qualsivoglia dispositivo. In tale contesto, le cose cambiano significativamente, e ogni concetto di “perimetro” definito in precedenza decade. Infatti, andare verso un mondo digitale implica estendere il raggio delle proprie azioni, senza limiti fisici e impegnandosi in nuovi modelli di cooperazione, condividendo le tecnologie e le procedure di altri soggetti. I propri dati non risiedono più in un “caveau” sicuro di proprietà ma sono sparsi in tutto il mondo cibernetico: in parte “ospitati” da altri partner in affari, in parte risiedendo nei dispositivi dei dipendenti (spesso senza autorizzazione o controllo da parte del datore di lavoro) e in parte dispersi in qualche luogo ignoto in “nuvole digitali”, certe o improbabili che siano.
Quindi, come evolve e si adatta un approccio alla sicurezza informatica basato sul concetto di perimetro quando è proprio il perimetro stesso a non essere più definibile o, addirittura, a non esistere più? Si tratta di una domanda ovvia, semplice e diretta, ma che resta spesso ignorata o trascurata dalla maggior parte delle aziende. In generale si rileva che tuttora l’attenzione è centrata sull’applicazione di modelli vecchi di difesa, peraltro in modo spesso frammentario quale tentativo di rispondere a posteriori ai problemi che di volta in volta si presentano. In realtà questo approccio è la conseguenza diretta di tre questioni fondamentali:
- Come detto in precedenza, lo scollamento tra IT e business (e peggio ancora con gli organi di controllo quali il Consiglio di Amministrazione) rappresenta un aspetto di difficile riconciliazione sulla base di un puro atto di volontà. In passato, membri influenti degli organi direttivi hanno spesso guardato con distanza e sussiego ai temi e problemi propri delI’IT, come se “affari” e “IT” fossero due mondi totalmente separati. Ora che l’economia digitale li ha di fatto riuniti, l’ignoranza a livello direzionale delle cose proprie dell’IT è diventata ancora più evidente e rilevante, rimanendo in gran parte un problema aperto.
- In passato, ed in larga parte anche nel presente, il personale IT si è dimostrato raramente in grado di parlare una lingua comprensibile dal business. Nelle presentazioni aziendali, la maggior parte dei messaggi lanciati dal personale IT sono percepiti come complessi o vaghi o non chiari. L’incapacità di affrontare in termini semplici le esigenze del business ha trasformato buona parte dei CIO in una sorta di fastidio necessario, una seccatura da dover per forza accettare, ma poco influente sulle decisioni di business anche a livello operativo. Se è vero che questa affermazione oggi non vale più per le grandi aziende, è altresì vero che il panorama italiano non è fatto da grandi aziende, ed il confronto con altri mercati europei è impietoso per molte e varie ragioni, soprattutto culturali e finanziarie.
- La cultura della gestione del rischio è limitata, a volte del tutto mancante o comunque non pervasiva in azienda. Quando c’è, la si incontra quasi sempre indirizzata a tematiche specifiche del business (geopolitica, finanza …) e spesso trascura la visione del proprio fare business nella sua interezza, risultante da molti fattori, inclusi quelli endogeni. Spesso le aziende poco inclini al rischio tendono a soffrire di governance. Definendo un eccesso di regole spesso si scordano delle reali finalità della pratica del risk management, con conseguente eccessiva rigidità indotta nel tessuto stesso dell’organizzazione. In realtà, il ritmo crescente degli attacchi informatici, la loro maggiore sofisticazione e complessità, dovrebbero portare ogni organizzazione a interrogarsi a livello direzionale sui propri modelli di governance e sulla opportunità di un approccio più ampio al tema del risk management. Sebbene quest’ultimo non sia per sua natura riconducibile a blocchi e temi artificialmente separati, ancora oggi assistiamo in larga parte delle aziende alla sussistenza di una artificiale separazione in funzioni organizzative tra sicurezza fisica e digitale. Va da sé che questo è un esempio di reperto culturale fossile, come se l’azienda di oggi non esistesse senza soluzione di continuità in entrambi i due mondi fisico e digitale in qualsiasi momento e luogo. Concetti obsoleti e vecchie regole tendono a separare, ad esempio, il controllo degli accessi fisici, normalmente in capo alla funzione di facility management, dal controllo degli accessi logici ai sistemi informatici, dominio dell’IT. Ne consegue un tradizionale divario tra le due competenze, con conseguente separazione delle responsabilità e intrinseca debolezza del sistema azienda a causa di scelte e soluzioni non sempre coerenti o ben integrate, e finalmente di pertinenza incerta.
La governance in azienda è fondamentale, ma quale è il suo significato nell’odierno contesto di economia digitale se alla base non si ritrova una solida conoscenza delle potenziali minacce e, quindi, senza la definizione delle appropriate misure di sicurezza informatica applicabili, valide ed efficaci? La realtà è che non esiste una soluzione buona per tutte le situazioni e necessità.
Come un buon giocoliere si destreggia con abilità ed esperienza a mantenere costantemente in aria tre palline, così ciascuna organizzazione deve imparare a bilanciare accuratamente e pragmaticamente tre fattori chiave: garantirsi sufficiente sicurezza mantenendo costi accettabili e godendo del giusto livello di flessibilità operativa. Definire un accettabile livello di equilibrio di questi tre fattori non necessita dell’opera di un mago, bensì di qualcosa che è merce ancora rara in organizzazioni medie e piccole. Infatti, richiede la capacità di partire da solide basi metodologiche nel riconsiderare l’essenza del proprio modello di business, dalle considerazioni strategiche e tattiche sulla sua natura e dalla valutazione dei rischi e della portata delle possibili conseguenze, adeguando il sistema di investimenti, riconoscimenti e controllo in tutta l’organizzazione.
La sicurezza informatica non è pensabile o configurabile come puro prodotto della tecnologia, nemmeno in uno scenario estremamente sofisticato. Essa deriva da uno stato di coscienza di sé quale elemento culturale pervasivo ed intrecciato indissolubilmente nel tessuto stesso dell’organizzazione, a qualsivoglia livello. Certamente, raggiungerla e mantenerla comporta uno sforzo significativo in termini di impegno di risorse, decisioni importanti, definizione dei modelli di difesa e dei necessari investimenti al fine di migliorare l’ambiente di business digitale rendendolo più adattato, sicuro, agile e vincente rispetto alle nuove sfide del mercato.