Intervista a tutto campo sulle sfide della cybersecurity moderna con Gabi Reish, Vice President product management di Check Point Software Technologies.
– L’Internet of Things si sta diffondendo sempre più anche nelle aziende ma pone serie questioni di sicurezza. Come vede i problemi e le opportunità legate all’IoT?
La prima sfida è definire cosa sia l’Internet of Things perché ci sono molte diverse interpretazioni.
Va fatta una distinzione tra OT (Operation Technologies) e IoT (Internet of Things).
La prima include tutto quello che attiene al manufacturing, linee di produzione industriale, i differenti elementi e dispositivi che consentono la connettività, per esempio i sistemi Scada per il controllo della produzione per le power companies e le water companies, tutti i diversi dispostivi e componenti industriali che hanno anche una connettività ma riguardano comunque l’OT.
Per esempio le linee di produzione per le automobili, gli ascensori o i prodotti farmaceutici riguardano l’OT.
Un’altra aspetto è l’Internet of Things (IoT) che ha a che fare con i dispositivi connessi in rete, come orologi, sistemi di climatizzazione, dispositivi medicali, apparecchi per l’intrattenimento o qualunque dispositivo che abbia un indirizzo IP.
A mio parere l’IoT riguarda, per esempio, le smart city, lo smart building, l’health care, i trasporti. Per cui tra OT e IoT ci sono punti in comune e molte differenze.
Per l’OT ci sono delle sfide alla sicurezza da prendere in considerazione. Nei mesi scorsi c’è stata un’intrusione nella linea di produzione di una casa farmaceutica con la modifica della formula di un farmaco, più in generale basta pensare ai rischi legati a un black out della corrente elettrica o al blocco della produzione in uno stabilimento.
Per OT, le sfide sono severe ma sappiamo come muoverci. Per l’IoT siamo all’inizio, ai primi passi, ci sono molti rischi e molte risposte che si possono dare, e Check Point ha una strategia.
– Ritiene che il GDPR (General Data Protection Regulation) possa diventare uno standard per la sicurezza che superi i confini dell’Europa?
Anche se è stato definito in Europa, il GDPR ha un valore globale, in quanto il concetto generale è che offre protezione a ogni cittadino della Comunità Europea.
L’impatto è mondiale, perché ogni azienda di qualunque Paese che voglia lavorare in Europa e con l’Europa deve essere adeguata alle specifiche previste dal GDPR, che non coinvolge solo i produttori europei ma ha implicazioni per tutti i produttori in tutto il mondo.
Le normative sulla sicurezza sono importanti ma non basta rispettare queste norme, bisogna andare oltre.
Costruire la sicurezza aziendale solo sul rispetto delle norme è restrittivo, le aziende devono guardare oltre le norme e avere obiettivi più ampi.
Il merito del GDPR è di avere portato i temi della privacy e della protezione dei dati sul tavolo dei consigli di amministrazione, richiede alle aziende di prendere provvedimenti pratici, ma non credo che un’azienda possa costruire una strategia di sicurezza solo sulle normative.
– In questo quadro come si colloca Infinity? Quale il ruolo di Check Point?
L’architettura Infinity guarda a ogni parte dell’impresa e costruisce i giusti livelli di sicurezza non solo nel network ma anche nel cloud, nel mobile, nelle filiali come negli headquarter.
Il concetto che la sostiene è che dobbiamo essere protetti per la futura cybersecurity, non serve essere protetti sul passato o anche sull’oggi.
Il focus è su come costruire un singolo sistema per realizzare la miglior protezione e garantirla in modo consistente in tutte le parti del network aziendale.
Infinity è il futuro della cybersecurity, supporta tutte le piattaforme cloud, private, pubbliche e ibride.
Il dettaglio di tutte le caratteristiche e le funzionalità di Infinity è reperibile al link dedicato.
– Le imprese devo guardare avanti, pensare alla loro evoluzione, alle possibili acquisizioni, a come si muoveranno sul mercato, a cosa e come produrranno…
Oggi tutto è connesso e gli IT department non possono correre il rischio di trascurare la sicurezza; la sicurezza deve procedere assieme con gli sviluppi del mondo IT.
Questo è molto importante perché la sicurezza deve seguire il business, deve muoversi sulla stessa strada.
E questo può accadere solo se la strategia sulla sicurezza è allineata al business, oggi di fronte alla quantità di attacchi, non ci si può permettere di dire che la sicurezza non è importante, non si può pensare alla sicurezza dal giorno dopo.
Bisogna partire dall’inizio, bisogna subito implementare i sistemi di sicurezza.
– Per cui il problema principale è convincere i dirigenti a investire nella sicurezza?
Penso che oggi sia sempre una sfida ma è diventato più facile rispetto a qualche anno fa.
Se pensiamo alla quantità di attacchi notiamo come siano sotto gli occhi di tutti, siano oggetto di conversazione. È importante che quando si imposta la strategia per la sicurezza si abbia ben chiaro che cosa si vuole proteggere.
Per esempio, se sono una retail company magari non mi interessa proteggere le mie proprietà intellettuali, forse non sono così importanti, magari è meglio se proteggo i miei clienti.
Deve essere ben chiaro qual è il focus dell’azienda, quale la strategia e concentrarsi principalmente su quello che si vuole proteggere.
– Però oggi le aziende lavorano in stretto collegamento con partner, terze parti, piccole e medie imprese. Chi ha la responsabilità di tutti i processi?
Quando si lavora con dei partner bisogna accertarsi che tutti abbiano gli stessi livelli di sicurezza. Questo è fondamentale perché l’anello debole del network sarà quello che darà origine ai danni.
I partner devono avere lo stesso livello di sicurezza o devono essere aperti a auditing e a tutti i provvedimenti che è necessario adottare.
– Dipende anche dalle risorse che è possibile destinare alla sicurezza?
Una delle maggiori sfide oggi è proprio quella delle competenze, perché i prodotti e la tecnologia progrediscono ma c’è da chiedersi se nelle aziende ci sono le persone all’altezza della situazione o addirittura se ci sono sufficienti risorse per capire cosa sta succedendo, se è in corso un attacco.
Non ci sono abbastanza persone con le giuste competenze e per questo è necessario sviluppare soluzioni e prodotti che siano molto facili da utilizzare.
Nelle piccole e nelle medie imprese sicuramente non ci sono esperti di sicurezza ma hanno spesso la necessità di operare in sicurezza e di farlo in modo semplice.
Per questo i nostri prodotti per le PMI possono essere utilizzati senza grandi impegni nella formazione.
“Security will be as strong as your management is!”
Se in un’azienda il security manager è debole anche il sistema di sicurezza sarà debole. Se è forte anche la sicurezza sarà adeguata.
Questo perché gestire la sicurezza è complesso e di conseguenza più le soluzioni sono semplici più possono essere efficaci.
– A che dimensione di azienda vi rivolgete? In Italia le PMI sono molto importanti e diffuse ma hanno meno fatturato e dipendenti rispetto a quelle che vengono considerate come SMB negli Stati Uniti o in Europa.
Abbiamo soluzioni adatte anche a partire da dieci utenti, con costi che si aggirano attorno ai 200 USD, e che comunque sono molto avanzate.
Possiamo soddisfare le esigenze di small, medium, commercial, enterprise, midsize enterprise, large enterprise.
L’unica differenza tra queste soluzioni sta nel throughput, nelle prestazioni di cui hanno bisogno le aziende. Il software è lo stesso differisce solo nelle prestazioni.
– Pensa che le società di telecomunicazioni abbiano una loro responsabilità nel proteggere i dati dei clienti? Le telco gestiscono molti dati dei loro clienti.
C’è un certo livello di responsabilità, forse una responsabilità condivisa, ma dipende anche dal tipo di servizio che la telco sta fornendo.
Se la telco fornisce un servizio per un ambiente protetto fault proof è un conto, se sta fornendo un servizio cloud c’è una responsabilità condivisa, non devono necessariamente proteggere i contenuti o le applicazioni che sono sul cloud ma solo garantire la connessione e il traffico.
– Un grosso problema sono gli enti pubblici che non hanno soldi o cultura per investire in sicurezza.
È un problema di priorità e di cultura. Per esempio ci sono differenze anche tra gli stati, Germania e Stati Uniti sono più proattivi, altri stati meno e reagiscono solo dopo un attacco ma quello che vediamo è che siamo tutti vulnerabili e vale per tutti i tipi di aziende e per tutti i tipi di organizzazioni.
– La quantità di attacchi dipende dall’incuria o dal fatto che ci sono talmente tanti sistemi da proteggere che è impossibile farlo?
Spesso le aziende non credono ai rischi o magari non sanno cosa fare e come muoversi. Dipenda anche da noi, dalle aziende della cybersecurity far crescere il livello di consapevolezza, far vedere le sfide che vengono dal cloud, dal mobile, dal network.
Far comprendere alle aziende la gravità della situazione è una delle nostre maggiori responsabilità.
Vedere anche Check Point: A Leader in Vision and Execution in Two Gartner Magic Quadrants
