Sicurezza IT, per i dipendenti è troppo complessa e riguarda l’azienda

Andrea Negroni, Country Leader Cybersecurity di Cisco Italia, illustra i risultati ottenuti da un'indagine sulla sicurezza che ha coinvolto anche l’Italia.

sicurezza

Come viene valutata la sicurezza IT oggi in azienda? Come vivono i dipendenti l’aspetto cybersecurity? Per dare una risposta a queste e ad altre domande, Cisco ha condotto una piccola indagine che ha coinvolto anche l’Italia. Abbiamo chiesto ad Andrea Negroni, Country Leader Cybersecurity di Cisco Italia, di parlarci dei risultati ottenuti.

– A fronte dei dati raccolti dalla vostra indagine, che rapporto c’è oggi tra gli utenti aziendali la sicurezza?

Dalla ricerca è emerso che una buona parte degli intervistati vede la sicurezza come un asset aziendale importante. D’altra parte, il business si sta spostando sempre più velocemente verso il digitale e tutto quello che è digitale ha una correlazione molto stretta con la cyber security. Tuttavia, circa il 18% della popolazione intervistata in Italia considera la sicurezza ancora come un concetto molto complesso, qualcosa di distante, di pertinenza dell’azienda. Quindi, benché sia reputata molto importante per il business, la sicurezza non sembra essere avvertita come una cosa che riguarda direttamente i dipendenti.

Tuttavia, oggi la sicurezza non può più essere vista come una logica centralizzata, dove è tutto in carico all’azienda. Anzi, in certi casi l’azienda può fare davvero poco. Se per un’incauta gestione, vengono rubate le credenziali a un utente, queste portano a un’esposizione molto elevata e possono essere rivendute. L’azienda può anche avere la migliore difesa contro il cyber crime ma a fronte di questa situazione non può fare nulla, se non adottare una serie di misure tecnologiche, come la multifactor authentication, per avere un’inconfutabile identificazione dell’identità degli utenti.

– Si parla di credenziali, argomento da sempre piuttosto critico. Come sono gestite le password dagli utenti oggi?

Le credenziali d’accesso sono un passaggio obbligato tutte le volte che dobbiamo accedere a servizi o a piattaforme che l’azienda ci mette a disposizione direttamente o indirettamente tramite cloud provider. Quasi il 30% degli intervistati ha dichiarato però che le password le scrive da qualche parte. C’è quindi ancora un processo di “storage e backup” delle password manuale. Ma è una procedura totalmente al di fuori delle politiche aziendali e questo espone a un rischio estremamente elevato.

L’utente dovrà essere sempre di più cosciente del fatto che la tecnologia di per sé non è sufficiente. Quando parliamo di sicurezza non parliamo solo di temi tecnologici ma anche di modelli, di processi e di procedure. È l’insieme che crea la sicurezza e, chiaramente, all’interno del modello ci sono ruoli e responsabilità che riguardano anche l’utente.

Remote working

– Non sembra però facile fare in modo che gli utenti prendano coscienza di questo aspetto…

Ritengo che l’azienda debba giocare un preciso ruolo di sensibilizzazione nei confronti degli utenti stessi. Come tante altre grandi organizzazioni, Cisco ha già avviato una serie di iniziative per rendere gli utenti più consapevoli. Ci sono anche piattaforme tecnologie che propongono training per far capire quali possono essere gli impatti e i pericoli legati alla sicurezza informatica. Noi, per esempio, proponiamo campagne di phishing simulato in modo da sensibilizzare gli utenti sul fatto che certe e-mail possono essere malevole e che certi link o allegati all’interno di tali e-mail possono essere pericolosi.

Non dimentichiamo infatti che il perimetro aziendale non esiste più e la sicurezza si sposterà sempre più verso i terminali e verso gli utenti che usano tali terminali ovunque si trovino. Tuttavia, di questo sembra che gli utenti non abbiano consapevolezza. Ci vorrà del tempo per farlo capire, ma ci deve essere un impegno da parte di tutti. Non si può certo chiedere agli utenti di diventare esperti di sicurezza, ma l’azienda deve abilitare un ecosistema, un modello di sicurezza robusto ed efficace. E questo tipo di gap a livello di conoscenza e di sensibilità deve essere colmato anche attraverso campagne di training e iniziative di sensibilizzazione.

minacce informatiche

– Avrebbe qualche suggerimento da fornire alle aziende per provare a sensibilizzare i propri utenti?

C’è un 30% di persone che scrive ancora la password su un foglietto, senza citare anche un’altra fetta della popolazione ha dichiarato di utilizzare la stessa password per più accessi, anche per servizi personali, e magari la password usata è quella aziendale.

Per evitare che ciò accada, Cisco sta introducendo il concetto di passwordless, un sistema che permetta di identificarsi e autenticarsi senza l’uso di password, per esempio, usando tecnologie che sfruttano la biometria. Però ci sono anche altre tecnologie per semplificare e rendere la sicurezza quasi poco invasiva. Il concetto di base è cercare di rendere la user experience quanto più semplice possibile. Così può risolvere anche l’aspetto complessità della sicurezza che è stato chiaramente citato nella nostra indagine.

Uno degli elementi cardine è riuscire a colmare il gap da un punto di vista sia tecnologico sia organizzativo-procedurale, operando secondo una visione più ampia, di sicurezza resiliente. Con resiliente intendiamo una sicurezza che possa garantire l’integrità di ogni aspetto del business. Noi crediamo che con la trasformazione digitale in atto la sicurezza sia trasversale a tutti gli ambiti di business e quindi, anche per quanto riguarda la sicurezza informatica, abbia senso parlare di resilienza.

– Come si può avere una sicurezza resiliente?

Per avere un buon modello di sicurezza resiliente riteniamo ci siano cinque elementi principali da considerare. Il primo è quello appena citato, ovvero colmare il gap tecnologico e organizzativo tra le persone e le procedure.

Un altro punto molto importante riguarda la visibilità, che assume un ruolo sempre più centrale in un modello che sarà sempre meno centralizzato e più distribuito. Capire, per esempio, non solo chi si sta autenticando per accedere ai sistemi ma anche cosa sta facendo chi si è autenticato e dove si sta muovendo. Acquisire visibilità vuol dire capire e rilevare eventuali problemi per tempo.

Da ciò discende immediatamente che, una volta rilevato un problema, si deve mettere in atto una serie di procedure che permettano di reagire nella maniera più veloce possibile. Emerge quindi il concetto di automazione, di orchestrazione, che per noi è fondamentale per costruire un modello di sicurezza resiliente.

Cisco PMI italiane sicurezza

Un altro elemento molto importante è la predittività. La sicurezza è tipicamente associata ai temi della prevenzione, del rilevamento e della risposta. Tuttavia, c’è anche il tema della threat intelligence, ovvero tutto quello che può essere l’intelligenza, la logica che permette di capire non solo qual è il contesto attuale all’interno della cybersecurity, ma anche di prevenire le evoluzioni delle minacce. A riguardo, noi abbiamo un asset importante, Talos. È la nostra organizzazione di threat intelligence, una delle più grandi organizzazioni intelligence private al mondo, che è composta da una serie di data scientist che ci aiuta a capire quali potranno essere le prossime wave tecnologiche in un certo ambito di attacchi informatici e quindi di cercare di prevenirle.

Il quinto elemento per la creazione di un’efficace sicurezza resiliente sta nel capire cosa fare e con quale priorità gestire una serie di informazioni, di eventi e di segnalazioni che vengono gestite da un SOC. Ormai quotidianamente sono disponibili aggiornamenti software (del telefono, del PC o di un’applicazione) per andare a risolvere eventuali problematiche di sicurezza. Per un’azienda che deve gestire un elevato numero di dispositivi e sistemi può non essere semplice distribuire o installare gli aggiornamenti sui dispositivi o sulle applicazioni che devono essere “patchati”. Siccome le risorse non sono infinite, si deve capire dove iniziare e come procedere: gestire le priorità diventa sempre più fondamentale. Bisogna dare il giusto ordine alle attività da eseguire. Lo stesso tipo di logica la si applica a una serie di segnalazione o di allarmi che quotidianamente vengono gestiti da chi si occupa di sicurezza. Quindi bisogna valutare quali sono i rischi maggiori e poi agire secondo delle priorità.

Questo sono i cinque elementi che abbiamo definito all’interno del nostro modello di sicurezza resiliente: colmare i gap tecnologici e organizzativi, acquisire visibilità, automatizzare le attività e usare la threat intelligence, definire delle priorità dei rischi e capire “what’s next”, cosa avverrà domani all’interno di questo contesto della cybersecurity.

– A quale azienda si addice un simile modello di sicurezza resiliente?

Dipende da come questo modello viene scaricato a terra e viene poi attuato nel concreto. Per esempio, una grande azienda può avere tutto in house, quindi disporre delle competenze e delle tecnologie. Ci sono poi i sistemi a consumo in cloud, servizi come SOC e detection & response, che molti provider in Italia stanno erogando e che vanno a toccare segmenti di mercato medio-piccoli, ma crediamo siano un modello che può essere applicato a qualsiasi livello.

In questo senso, il cloud ha un po’ democratizzato la tecnologia, ovvero sta permettendo a molte aziende di potersi avvalere di soluzioni infrastrutturali molto avanzate, senza fare grossi investimenti. Ci stiamo spostando verso una logica di ecosistemi misti, in parte on-premise e in parte in cloud. E alla piattaforma cloud può accedere sia la grande sia la piccola azienda.