Verizon ha appena pubblicato la terza edizione del Mobile Security Index, ne parliamo con Gene Stevens, Director of Security Architecture di Verizon.
L’indagine è incentrata sulla Mobile Security. Secondo i dati del report, il 43% degli intervistati ha riferito che nell’ultimo anno le proprie aziende hanno trascurato la sicurezza mobile.
Ma quali sono le sfide di security legate all’utilizzo di tecnologie come il cloud, l’IoT e il 5G? In che modo le aziende possono evitare i gravi rischi che possono danneggiare irrimediabilmente le loro attività? Ne parliamo con Gene Stevens, Director of Security Architecture di Verizon.
– Le aziende stanno incrementando notevolmente l’uso del cloud, ma come qual è il modo migliore per farlo senza compromettere la sicurezza?
L’83% delle aziende sta adottando misure specifiche per proteggere le proprie app e servizi basati su cloud. Tuttavia, solo il 52% ha dichiarato di bloccare l’utilizzo delle app cloud quando queste sono accessibili da reti sconosciute, una precauzione basica che dovrebbero invece assumere tutte le aziende. Poco meno della metà delle organizzazioni (44%) ha affermato di utilizzare solo applicazioni cloud con un comprovato rating di sicurezza.
Ad esempio, la condivisione di file attraverso app dedicate, anche se utile, può generare ulteriori rischi per la sicurezza. Tra le possibili complicazioni, la gestione dei dipendenti che possono utilizzare questo tipo di app, insieme alla difficoltà di tener traccia dei destinatari che hanno accesso ai file condivisi con questa modalità. Quindi, la soluzione migliore è proibire completamente ’uso di queste applicazioni, come fa già il 18% delle organizzazioni.
La maggior parte delle organizzazioni hanno dipendenti che lavorano da remoto e risorse custodite in cloud, e ciò determina una minore demarcazione dei perimetri di rete. L’adozione di un approccio Zero Trust è quindi un modo efficace di mantenere la sicurezza in situazioni come quelle che ho appena descritto e può contribuire a offrire una user experience migliore ai dipendenti.
– Secondo le ultime stime entro il 2025 saranno oltre 25 miliardi i dispositivi IoT. Quali sono i rischi principali per questi dispositivi?
Alla domanda su quanto siano importanti questi device per il buon funzionamento della propria organizzazione su una scala da 1 a 10, oltre il 70% degli intervistati ha risposto con un voto maggiore o uguale 8.
Tuttavia, penso che ci sia ancora molta ingenuità quando si parla di rischi per l’IoT. Molti pensano che siano minacciati solo i dati contenuti sui loro dispositivi, ma in realtà, quando un device viene violato, può essere utilizzato dagli hacker come punto di partenza per accedere a molte più informazioni.
La comodità è un fattore che genera ulteriori rischi. Avere password specifiche per centinaia di dispositivi è complesso e richiede processi di applicazione lunghi e onerosi. Tutto questo mal si concilia con i ritmi di lavoro e la flessibilità attuali, come dimostra anche la nostra indagine.
Inoltre, spesso i dispositivi IoT sono situati in luoghi di difficile accesso, ma non è l’unico aspetto che rende molti device difficili da aggiornare. Nonostante i numerosi vincoli, in Verizon pensiamo sia fondamentale consentire l’esecuzione di aggiornamenti over the air (OTA), ossia da remoto. Questa modalità di aggiornamento permette infatti di patchare qualsiasi tipo di vulnerabilità, sfruttando tutte le nuove soluzioni di security che vengono lanciate.
– Il 5G è una tecnologia incredibilmente entusiasmante, ma con così tanti nuovi dispositivi e applicazioni, come possono le aziende garantire che non venga compromessa la sicurezza della loro rete?
Verizon è stato il primo fornitore nel mondo a lanciare un servizio commerciale 5G, ma non l’avremmo mai fatto se non fossimo stati sicuri di essere pronti. Sebbene la nostra rete 5G offra un’esperienza completamente nuova per i nostri clienti, essa è un’evoluzione della nostra tecnologia LTE 4G. Sfrutta le soluzioni di sicurezza che esistono oggi per lo standard 4G, introducendone di innovative come sofisticate funzionalità di crittografia e autenticazione, nonché un nuovo proxy Security Edge Protection che aiuta a evitare che le minacce che colpiscono reti interconnesse meno sicure danneggino le reti 5G.
I nostri sforzi per rendere disponibile al pubblico lo standard 5G non si sono limitati allo sviluppo della sola tecnologia. Al contrario, abbiamo lavorato anche sul piano della sicurezza, eseguendo ad esempio controlli approfonditi e creando programmi di compliance per i fornitori, per garantire che ogni componente che aggiungiamo alla nostra rete soddisfi standard rigorosi.
Usiamo inoltre strumenti di threat modeling per valutare il rischio potenziale di nuove applicazioni e dispositivi. Conduciamo poi test di sicurezza sia interni sia sui dispositivi e le app di terze parti, per individuare vulnerabilità che potrebbero essere sfruttate dagli hacker all’esterno o all’interno dell’organizzazione. Questa valutazione del rischio permette di capire se sono necessarie modifiche prima di proseguire con la realizzazione di un prodotto o di un servizio.
Verizon partecipa attivamente anche allo sviluppo degli standard di processo per identificare nuove funzionalità di sicurezza che potrebbero essere applicate alla nostra rete. Vogliamo infatti continuare a guidare lo sviluppo di soluzioni di sicurezza innovative e di nuove funzionalità per il 5G. Una delle novità più importanti su cui stiamo lavorando è l’utilizzo di un software-defined perimeter (SDP) per creare un livello di sicurezza “zero-trust” per la rete 5G. Questo offrirà grandi vantaggi a clienti con reti ed esigenze di security complesse.
Infine, stiamo investendo anche sui nostri dipendenti. Dallo scouting di talenti allo sviluppo della carriera, stiamo puntando sulla crescita delle risorse nell’ambito della sicurezza IT, per soddisfare le necessità di oggi e di domani di tutti i nostri clienti.
