Tutela dei dati, dai processi alla tecnologia
L’approccio di IBM al tema della sicurezza IT, tra servizi, integrazione, ruoli… e GDPR.
l mercato della sicurezza è uno dei settori che negli ultimi anni è cresciuto maggiormente. IBM per soddisfare la domanda di mercato ha fatto confluire le competenze di sicurezza (prodotti, servizi, consulenza), sparse nelle varie business units, in un’unica struttura denominata IBM Security. Tale business unit oggi è presente in ogni segmento di mercato con un portfolio completo di prodotti e servizi e una struttura di ricerca in grado di ampliare costantemente le competenze e produrre una gamma di brevetti unica al mondo”. Così Giuseppe Puleo, Security Consultants Manager di IBM, ha introdotto il tema della tutela dei dati in occasione di un recente incontro organizzato da Soiel International in collaborazione con IBM e Tech Data. “Riusciamo a offrire ai nostri clienti competenze a 360 gradi, dal software alle infrastrutture, dai servizi alla consulenza; un’ulteriore competenza a disposizione degli specialisti IBM deriva dal modello di gestione della sicurezza che IBM adotta per il proprio business: in caso di necessità il network globale cui noi possiamo attingere offre sempre una soluzione ai nostri problemi specifici sui clienti”. Per quanto attiene al modello di gestione della sicurezza nelle aziende, Puleo ha raccontato di una crescente richiesta di CISO (Chief Information Security Officer): ovvero di una figura che pur in grado di gestire quotidianamente l’operatività dei processi di sicurezza, ha il compito di mantenere un rapporto diretto con i vari reparti aziendali – dal legale, alle risorse umane, dalle operations all’IT. Le interazioni con le strutture aziendali sono indispensabili per portare a corretto compimento tutte le attività previste dal processo di analisi, gestione del rischio e compliance. Ne è una dimostrazione il modello di compliance definito all’interno del regolamento europeo GDPR che, essendo basato su un modello di gestione del rischio, non fornisce indicazioni precise sull’uso di determinate soluzioni, ma pone il raggiungimento della tutela dei dati personali come obiettivo fondamentale. IBM si pone quindi come partner strategico per aiutare i propri clienti, attraverso il supporto dei suoi consulenti, nell’identificare il livello di sicurezza target e definire il relativo modello da implementare. IBM accompagna il cliente in modo graduale, partendo spesso da una situazione in cui la sicurezza è garantita attraverso strumenti non automatizzati e un approccio reattivo, per arrivare ad un modello che prevede meccanismi automatizzati e un approccio proattivo.
Tutto questo viene fatto attraverso una gestione del rischio che deve essere condotta con il supporto di tutta l’azienda. Si tratta infatti di un processo che tiene conto non soltanto delle probabilità che un determinato evento possa verificarsi ma anche dell’impatto che questo potrebbe avere. Un aspetto questo di cui l’ICT può non essere a conoscenza e comunque non ne sarebbe owner, in quanto derivano da valutazioni del business. È invece responsabilità dell’ICT valutare le vulnerabilità e le minacce, oltre che provvedere a selezionare le misure di sicurezza più opportune. Occorre ricordare che non sempre l’ICT è in grado da solo di proteggere le informazioni: “Si pensi ad esempio a un uso non corretto di documenti cartacei o di dispositivi di memorizzazione mobili. Il problema può venire direttamente dalle persone, che possono fare un uso errato di dati, applicazioni e strumenti informatici in dotazione”, ha proseguito Puleo descrivendo quindi un panorama di attacchi informatici derivanti da quattro layers di un complesso puzzle le cui tessere sono: persone, dati, applicazioni e infrastrutture. Per ridurre i rischi non basta proteggere il perimetro e le singole soluzioni puntuali, in quanto questo non è più sufficiente e/o adeguato a garantire la difesa di un’impresa. La consapevolezza dei rischi e la sensibilizzazione del personale a tutti i livelli infine resta comunque uno dei temi prioritari da affrontare. “Qualsiasi edificio protetto anche con le misure di sicurezza più evolute risulta vulnerabile se si perde il controllo delle chiavi…”.
Un approccio integrato
Per incrementare il livello di sicurezza la strategia aziendale deve prevedere un modello organizzativo e infrastrutturale in grado di prevenire eventuali attacchi. L’insieme dei servizi IBM è orientato ad aiutare i clienti a garantire l’efficacia dei programmi di sicurezza, e a definire un percorso programmatico, partendo dallo sviluppo di una strategia condivisa e dal disegno di architetture e programmi efficaci, fino alla costruzione di un piano infrastrutturale, in conformità alle principali best practices di settore.
Al fine di poter raggiungere gli obiettivi strategici sopra descritti è necessario adottare un ventaglio variegato di strumenti tra di loro non sempre facilmente integrabili. La proposta IBM prevede soluzioni che integrano servizi specialistici e prodotti, presenti sia nel portfolio IBM che eventualmente selezionati sul mercato, per garantire ai clienti il raggiungimento degli obiettivi di sicurezza prefissati. “Spesso le organizzazioni attingono in modo disordinato alle offerte presenti sul mercato, per cui l’integrazione risulta difficile nelle sue diverse fasi, gestione inclusa”, ha affermato Puleo. L’obiettivo finale è quello di avere un sistema di gestione della sicurezza dei propri sistemi, denominato da IBM ‘Security Immune System’, che attraverso un meccanismo centralizzato di raccolta e analisi dei dati inerenti i processi di sicurezza (che IBM definisce ‘orchestration’) offra ai gestori della sicurezza IT la massima visibilità e i migliori strumenti per la riduzione del rischio. Tale sistema può essere adattato alle esigenze dei clienti e offerto sia in modalità cloud che on premises o con soluzioni hybrid. Tra gli strumenti di sicurezza previsti dal Security Immune System si trovano quelli per la protezione su app, ambiente mobile, dati, rete, accesso e identità, threat intelligence, endpoint, fino a strumenti per la protezione da frodi avanzate.
L’importanza della compliance
Il CISO ha il compito di guidare il processo di risk management, non soltanto con indicazioni e misure di tipo tecnologico, ma anche attraverso policy e standard di sicurezza: sono fondamentali a tal proposito le linee guida per gli utenti sul comportamento corretto da tenere nell’utilizzo degli strumenti informatici e nella gestione delle informazioni in generale. Ha quindi la responsabilità di fornire indicazioni agli organi aziendali preposti alla formazione, contribuendo a diffondere consapevolezza sui temi della security. Insieme al DPO (Data Protection Officer), la figura prevista dal GDPR come supervisore del trattamento dei dati personali deve garantire la compliance ai requisiti di sicurezza, assicurandosi che vengano rispettate le regole aziendali. Poiché uno dei requisiti fondamentali del GDPR è la gestione in tempi brevi degli eventi di sicurezza e in particolare del data breach (notifica di un eventuale data breach all’autorità di controllo entro 72 ore dal momento della sua scoperta), uno dei compiti più importanti del CISO in ottica compliance è garantire la raccolta e l’analisi degli eventi di sicurezza in modo proattivo. In definitiva il CISO è una figura che richiede molteplici competenze e una capacità di gestire temi di sicurezza su diverse tipologie di asset, dalle infrastrutture alle applicazioni, dalle basi dati ai dispositivi mobile: considerato il carico di lavoro oggi previsto per tali attività, è opportuno prevedere una figura competente e con un focus specifico sul raggiungimento di tali obiettivi.
Riferimenti di settore
“Uno dei nostri obiettivi è anche quello di favorire la comunicazione tra ICT e business, perché il problema della sicurezza va ben oltre l’aspetto tecnico. Oggi sempre di più e consigliabile lasciarsi guidare dai principali standard, a partire dalla ISO 27001 che è il riferimento per la sicurezza delle informazioni, certificabile e di supporto nella conformità al GDPR. Come consulenti, inoltre, per seguire le evoluzioni e trend sugli eventi di sicurezza, facciamo affidamento ai nostri SOC (Security Operation Center), dove raccogliamo e analizziamo informazioni sparse in tutto il mondo, e ai nostri centri di ricerca e di sviluppo. Infine parliamo degli analytics di Watson che, attraverso algoritmi avanzati, ricercano ed elaborano informazioni e dati, aiutando a comprendere vulnerabilità e minacce, anche latenti e pronte a esplodere”, ha concluso Puleo.