La sicurezza informatica delle infrastrutture, a cominciare dai server che contengono dati e applicazioni critiche, è un aspetto fondamentale della cosiddetta Business Continuity. Proteggere l'infrastruttura significa tutelare le attività, l'immagine aziendale e la privacy dei clienti. Utilizzando tool disponibili a bassissimo costo nel Dark Web, infatti, attaccanti anche non particolarmente preparati sono oggi in grado di scovare le vulnerabilità non gestite presenti nei sistemi, penetrare le infrastrutture aziendali e sottrarre dati. Le informazioni esfiltrate possono essere l'obiettivo degli attaccanti, ma più spesso diventano un viatico per azioni più sofisticate, per attuare attacchi a istituti finanziari e reti di pagamento, danneggiare il business delle organizzazioni e perfino di interi settori, addirittura supportare attività terroristiche. Un pericolo che l'Unione Europea ha messo a fuoco e sta cercando di arginare con una serie di azioni incisive. Come è avvenuto con il GDPR (General Protection Data Regulation), che troverà piena applicazione a partire dal prossimo 25 maggio e che impone multe salatissime alle aziende che non curano con la dovuta attenzione la protezione dei dati e la tutela della privacy.

 

Una security governance condivisa

Purtroppo la tendenza ancora imperante è quella di una gestione della sicurezza che "sana" una situazione pericolosa venutasi a creare. Poco si investe, invece, nella prevenzione. "Un approccio che si dimostra fallimentare – commenta l'analista Alan Zeichick di Camden Associates –. Mentre in passato i bersagli degli attacchi erano in prevalenza desktop e laptop, oggi i cybercriminali possono puntare a tutta una serie di dispositivi che vanno dagli smartphone ai tablet fino alle macchine virtuali ospitate nel data center on premise o nel cloud". Anche i sensori intelligenti ormai utilizzati in vasti campi, dall'agricoltura di precisione all'Industria 4.0, possono rappresentare il target ideale per azioni di scanning o exploit. Ecco perché occorre guardare al di là della protezione dei sistemi, per abbracciare una difesa più ampia, che si estenda fino all'infrastruttura. I sistemi SDN (Software Defined Networking) sono forieri di una flessibilità finora mai sperimentata, ma anche di nuove vulnerabilità. I dispositivi programmabili via API (interfacce di programmazione) o SDN non sono immuni da utilizzi illeciti difficilmente prevedibili, specie se associati a vulnerabilità software come buffer overflow, SQL injection o cattive pratiche di coding.

Il cloud per vincere le sfide del GDPR

Tutelare le infrastrutture IT aziendali significa, prima di tutto, evitare che malintenzionati possano penetrarle, ma anche essere capaci di rilevare rapidamente gli attacchi e prendere le contromisure utili che ne evitino la diffusione su ampia scala. A questo proposito, inizia a diffondersi in azienda il concetto di SysSecOps (Systems & Security Operations) ossia la possibilità (e l'opportunità) di poter gestire IT e security insieme, evitando di approcciare i due aspetti in differenti ambiti organizzativi. Fondamentale una visione d'insieme: "Per rendere la gestione della sicurezza più efficace – spiega l'esperto – serve una governance condivisa a livello di tutta l'impresa. Lo scopo di chi lavora nell'IT è creare opportunità per l'azienda e, spesso, tra le sue priorità non c'è la gestione del rischio. Parlare di SysSecOps significa adottare in azienda un linguaggio comune e permettere alle persone che operano nella sicurezza e nelle operation di lavorare su obiettivi, dati e piani di gestione delle minacce condivisi". Più facile a dirsi che a farsi? "Le infrastrutture IT aziendali possono rivelarsi inadeguate a fronteggiare le nuove sfide che la sicurezza impone – spiega Stefano Mainetti, Responsabile Scientifico dell'Osservatorio Cloud & ICT as a Service del Politecnico di Milano –. Il cloud può aiutarle, grazie alle certificazioni che accompagnano i livelli di servizio garantiti contrattualmente. Il GDPR, per esempio, obbliga le aziende ad adottare una serie di misure minime di sicurezza, ma anche a entrare nel merito dei dati, per rimuoverli o consegnarli al possessore. Sono azioni all'apparenza banali ma che hanno ricadute rilevanti sulla gestione dei sistemi IT e che spingono al ricorso ai provider di servizi cloud esterni".

 

6 marzo 2018