Sicurezza tra tecnologie e competenze
Abbiamo messo a confronto chi si occupa di tecnologia e protezione cyber a livello aziendale per capire dove tira il vento.
La corsa allo smart working non ha cambiato solamente il modo di lavorare ma ha generato ulteriori sfide per le aziende, sicurezza compresa. La tavola rotonda Vincere le sfide della sicurezza informatica in un mondo che cambia organizzata dalla redazione di Office Automation con la collaborazione di SentinelOne ha coinvolto una serie di aziende utenti per discutere degli scenari legati a quanto successo negli ultimi mesi di pandemia, quali sono stati i cambiamenti introdotti e come le tecnologie entrano in gioco nei diversi scenari organizzativi, con un occhio particolare su quelle basate sull’intelligenza artificiale. Ecco di seguito il resoconto di quanto emerso nel corso del dibattito.
Massimo Fedeli, CIO – Direzione centrale per le tecnologie informatiche e della comunicazione di Istat
Per parlare di sicurezza va prima di tutto specificato che Istat (Istituto nazionale di statistica), tra censimenti e indagini campionarie, eroga dei servizi del tutto atipici rispetto ad altre realtà della Pubblica Amministrazione, ma anche della ricerca. E per garantire tale fornitura impiega un numero elevato di ricercatori, con oltre 2.000 dipendenti e 20.000 collaboratori, che durante la pandemia sono stati abilitati tutti al lavoro da remoto. Si è trattato di una grande sfida che ci ha posto una nuova frontiera legata alla necessità di una connettività efficiente e sicura anche rispetto alla tutela del segreto statistico e della privacy. Nel frattempo ci siamo resi conto che non si trattava di un tema tecnologico, ma soprattutto culturale ovvero far comprendere ai diversi utenti i rischi correlati a un lavoro svolto da remoto. Abbiamo quindi portato avanti alcune iniziative di formazione mirate. A tutto ciò va aggiunto che Istat è anche uno dei Poli strategici nazionali per cui siamo fortemente impegnati nel rendere le infrastrutture cloud ready e molto sicure, anche in termini di estensione del nostro CED.
Andando più nel dettaglio della nostra attività, Istat scambia permanentemente dati con centinaia di pubbliche amministrazioni, altri produttori di statistica pubblica, istituti di statistica europei, enti di ricerca, organizzazioni di categoria e quant’altro. Si tratta di attività che si affiancano al nostro ‘core business’ tradizionale che è quello di realizzare rilevazioni campionarie e censimenti, e a quello più sperimentale di costruire set di informazioni che provengono da nuove fonti come social, sensori IoT e altri big data. È comprensibile come in uno scenario di questo tipo sia indispensabile operare con soluzioni consolidate e sicure. Dal 2015, inoltre, a seguito della vision 2020 definita nell'ambito del sistema statistico europeo, abbiamo eseguito un progetto importante su questi fronti attraverso la costruzione di registri statistici che integrano dati amministrativi, dati censuari e campionari e big data superando, insieme agli istituti di statistica europei più avanzati, una produzione impostata su singole linee produttive. È fondamentale specificarlo perché il tema della sicurezza dipende molto da come si è organizzati al proprio interno (noi abbiamo la componente di governance della sicurezza integrata nella direzione IT che si interfaccia con gli altri uffici, compreso quello dedicato all’analisi del rischio) oltre che dalle competenze dei singoli, per le quali tra l’altro abbiamo sviluppato collaborazioni con il mondo universitario. In Italia bisogna su questo piano investire maggiormente in ricerca e far crescere la cultura scientifica e condividere pratiche all'avanguardia.
Prima di concludere va ricordato che il rischio sicurezza riguarda anche le applicazioni, tema fondamentale visto che secondo i dati AGiD nel mondo pubblico ce ne sono ancora molte poco affidabili. Tale fenomeno deriva da una stratificazione solipsistica nel tempo e per il quale il cloud può dare una grossa mano, con servizi validati e certificati. Ulteriore particolare attenzione va posta sulla software selection oltre che su policy per l’uso dei dispositivi adottati oltre il perimetro tradizionale.
In definitiva la sicurezza informatica deve in certi casi guadagnare ancora l’attenzione che merita, visto che in determinati contesti è assente una sensibilità adeguata alla cura di questo aspetto. Eppure le tecnologie ci sono per fornirci le risposte giuste. Tra queste quelle che si basano sull’intelligenza artificiale offrono opportunità sulle quali dal canto nostro abbiamo fatto già dei progetti che riguardano diversi aspetti del processo statistico.
Alessandro Paglione, Group CyberSecurity Coordinator in MBDA
MBDA è l'unico gruppo europeo della difesa in grado di progettare e produrre missili e sistemi missilistici per rispondere alle più svariate esigenze operative, presenti e future, per le forze armate. L’azienda lavora di conseguenza su infrastrutture particolarmente sensibili. Il tema della sicurezza viene quindi affrontato con particolare attenzione, e non potrebbe essere diversamente considerato il contesto particolare in cui ci muoviamo. Quanto accaduto in questi mesi con il lavoro da remoto non ci ha tuttavia colti impreparati avendo persone già abituate a operare al di fuori dei nostri uffici. Un impatto si è registrato relativamente all’impiego delle piattaforme collaborative con cui coinvolgere il mondo dei partner esterni, a cominciare dalla supply chain, necessitando quindi di strumenti capaci di garantire una maggiore apertura. Tutto questo ha richiesto una modifica delle nostre strategie di difesa che ha previsto anche l’utilizzo di tool specifici dedicati al controllo del traffico.
La situazione attuale vede, del resto, da tempo una modifica dei perimetri aziendali qualcosa che la pandemia ha accelerato ulteriormente offrendo delle nuove opportunità a chi attacca. Ci sono dati che, di fatto, parlano di un aumento del 300% di incidenti e attacchi, presenza di phishing generici, mirati, attacchi che arrivano dall’estero, ecc. Una situazione che va gestita in modo competente e con grande attenzione e che coinvolge la parte di cloud computing sempre più diffusa e chi effettivamente classifica e usa i dati che vi risiedono. Da considerare poi le regole che limitano l’utilizzo di cloud non europei per chi gestisce dati di infrastrutture critiche, come è il caso nostro. A tutto questo si lega il tema della consapevolezza in un momento in cui si è tutti più rilassati nell’uso degli strumenti informatici, operando in un luogo - tipicamente la propria abitazione – che appare come più confortevole.
Relativamente all’utilizzo dell’intelligenza artificiale, si tratta di un versante tecnologico che certamente automatizza determinati interventi su più fronti, compreso quello della sicurezza, ma per essere veramente efficace e utile va impostata correttamente e per compartimenti. Noi l’abbiamo già applicata in termini di analisi comportamentale registrando dei risultati importanti per gli analisti dei SOC. Aggiungo che quando si parla di sicurezza seguiamo un approccio basato sulla ‘kill chain’ per capire a che tipo di vulnerabilità sono soggetti il nostro business e le nostre infrastrutture, come sono progettate e disegnate agendo di conseguenza per limitare i danni.
In generale l’azienda ha ben chiaro il rischio legato alla cyber security e la gestione del cyber rischio è assolutamente prioritaria in MBDA; si rileva piuttosto una certa difficoltà a trovare sul mercato competenze e figure specializzate, come ad esempio gli analisti in ambito cybersecurity.
Paola Girdinio, Presidente del centro di competenza per la sicurezza e l’ottimizzazione delle infrastrutture strategiche Start 4.0
Start 4.0 è uno degli 8 centri di competenza nazionali, ha sede a Genova e il focus sulla sicurezza e l'ottimizzazione delle infrastrutture strategiche. Nato con il Piano Industria 4.0, si è sviluppato come partenariato pubblico privato, proponendo un insieme di attività focalizzate appunto su tematiche di safety, security e cyber security. Su quest'ultimo fronte il tema della consapevolezza è fondamentale, sia guardando al mondo delle aziende in generale che dei loro dipendenti in particolare. In tal senso proponiamo diverse iniziative di formazione mirate per i board, per accrescere la loro consapevolezza sul rischio cyber, e per i singoli utenti, che in alcuni casi non hanno ancora compreso i meccanismi e le conseguenze di attività come ad esempio il phishing o la semplice connessione di chiavette di memoria esterne a un computer.
Di fatto il tema della formazione è fondamentale quando si parla di sicurezza, ma lo è altrettanto anche quello della condivisione delle informazioni e delle esperienze considerato inoltre che gli aspetti della cybersecurity si legano anche a quelli della safety delle persone laddove la digitalizzazione avviene su più contesti. Su questo fronte stiamo lavorando anche con Inail. Altri nostri punti di forza sono progetti in collaborazione con le istituzioni e realtà imprenditoriali. Come docente del Università di Genova mi fa piacere evidenziare che UNIGE in collaborazione con il Ministero della Difesa ha sviluppato un 'cyber range' dapprima riservato al mondo militare e poi esteso a quello civile e, insieme al CINI, il progetto “cyber challenge” per avvicinare anche i più giovani a questo tematica. Un punto importante è il fatto che ormai la sicurezza non riguarda più solo la parte IT delle aziende, ma anche quella OT che, nel mezzo di una serie di processi di innovazione e apertura verso le reti deve, nel contempo, sviluppare un interesse verso questo aspetto fondamentale. E noi abbiamo creato anche un Osservatorio per condividere le varie problematiche ad esso correlate.
Parliamo in generale della necessità di un approccio 'security by design', in cui la sicurezza deve essere già parte integrante del processo di progettazione. Purtroppo ci sono ancora diverse realtà che non hanno ancora sviluppato questa mentalità, in particolar modo le PMI che essendo parte della supply chain non possono essere l'anello debole dell’ecosistema. Non è sufficiente che la grande azienda si comporti in modo adeguato se i suoi fornitori non fanno altrettanto. E il tema della resilienza deve obbligatoriamente anche comprendere la parte cyber. Qui il cloud computing può diventare una grande risorsa, chiaramente valutando che cosa effettivamente portarvi. Sul fronte tecnologico l'AI è un'ottima opportunità per profilare le attività sospette, ma nel contempo viene impiegata anche da chi attacca per cui bisogna utilizzare strumenti dello stesso livello per contrastarli. Importanti sono infine i framework anche se come per tutte le cose vanno poi calati in ogni realtà.
Il messaggio che si può dare è che non basta gestire solo il rischio finanziario. La sicurezza è un processo olistico che coinvolge tante figure e competenze e non solo quelle tecniche. E in Italia mancano purtroppo i finanziamenti su tale fronte per cui ciò che si fa è anche per volontà personale e collaborazione con le aziende stesse. Senza contare che studenti di eccellenza vanno poi a lavorare all'estero. Solo per fare un paragone un euro speso in formazione rende mezzo euro all'Italia mentre in Inghilterra l'equivalente di quattro volte tanto. Ecco che il sogno sarebbe quello dare maggiore importanza alle materie scientifiche anche nelle scuole per colmare il ritardo digitale del Paese.
Ivano Di Conca, CISO di Avio Aero
Avio Aero è una business unit di GE Aviation dedicata alla progettazione, produzione e manutenzione di componenti e sistemi aeronautici civili e militari. Dal nostro punto di vista la pandemia non ci ha colti impreparati rispetto al lavoro da remoto che era già attivo, diversi colleghi operavano con una certa frequenza in smartworking utilizzando soluzioni strutturate e funzionanti anche sul fronte sicurezza. In questo periodo siamo però passati a numeri ben più elevati, un cambiamento che ha impattato molto dal punto di vista dell’erogazione del servizio partendo quindi dalla connettività, revisionata e potenziata tra Stati Uniti, Europa e Asia, il tutto concentrato sulla rete di GE con VPN dedicate.
Nel contempo abbiamo provveduto a un’ampia distribuzione di laptop a chi era abituato a operare con desktop installati sulla propria scrivania. Per quanto riguarda la sicurezza, come detto si tratta di un tema già consolidato nella nostra realtà per il quale avevamo già previsto corsi di awareness sull’uso delle piattaforme aziendali fra mura domestiche e relativi accorgimenti. Abbiamo però svolto un potenziamento sulla parte VDI ma anche e soprattuto sulla piattaforma di collaboration. Insomma, se da un lato eravamo già pronti come infrastruttura, abbiamo dovuto estendere la nostra potenza di fuoco per poter abilitare molte più persone.
Guardando al settore manifatturiero in cui operiamo il tema della sicurezza diventa fondamentale laddove oggi ad esempio la manutenzione dei macchinari avviene da remoto con tecnici che si collegano da remoto. Inoltre il nostro è un mondo che se in passato era ancora chiuso a riccio oggi si sta aprendo con condivisione dei dati all’esterno con tutte le sfide e i rischi che questo può comportare. Ecco che il ruolo di chi si occupa di sicurezza non deve essere vissuto dai nostri interlocutori come una problema bensì come elemento propedeutico a un’accelerazione del business in modo protetto, diffondendo la giusta consapevolezza. Pur mantenendo all’interno alcune applicazioni critiche, noi stiamo investendo in modo massiccio sul cloud computing che permette di gestire le applicazioni in sicurezza e con meno sforzi. Tenendo in tal senso presente che a livello tecnologico non basta affidarsi a un prodotto puntuale, ad esempio di anti phishing, o demandare tutto all’intelligenza artificiale.
Operativamente, facendo parte di un gruppo multinazionale, siamo supportati da un SOC centralizzato così come per la parte di protezione perimetrale. Tuttavia ci sono altri aspetti come la data governance sulla quale stiamo investendo in modo strutturato anche con logiche di intelligenza artificiale e per l’accesso più agile alle informazioni. E poi standardizzazioni e guideline interne, iniziative di awareness, assessment e control, oltre che di conformità alle normative. Portando framework condivisi e chiari su tutta l’azienda. Fondamentale in tutto questo resta la percezione del valore delle persone che si occupano di sicurezza.
Simonetta Maina, Responsabile Cyber Security Provincia Autonoma di Bolzano
Come Pubblica Amministrazione, per via della pandemia, abbiano dovuto cambiare velocemente la nostra modalità operativa, accelerando il ricorso al lavoro da remoto a tappeto e reggendone piuttosto bene l’impatto. In pochi mesi abbiamo migrato in questa modalità oltre il 90% dei 4500 impiegati della Provincia e le segreterie scolastiche da noi supportate sul territorio. Abbiamo dovuto ricorrere anche al Bring Your Own Device, con tutte le problematiche di sicurezza legate a questo approccio, nel nostro caso necessario, non essendo dotati di dispositivi mobili da distribuire a tutte le persone dell’amministrazione attive da remoto.
Il ricorso massiccio al lavoro agile e al BYOD ha rappresentato un elemento importante in tema di sicurezza informatica, concentrando un insieme di rischi e responsabilità sul singolo dipendente, che abbiamo supportato con formazione specifica sulla cybersecurity, peraltro già programmata e predisposta, raccogliendo ottimi feedback da parte dei partecipanti, in termini di utilità ed efficacia. Sono state inoltre fornite indicazioni relativamente al lecito utilizzo di password manager, agli antivirus da installare sui dispositivi mobili e computer privati, e prevedendo l’adozione della Multifactor Authentication, declinata nel conditional access. Sul fronte applicativo si è lavorato largamente su strumenti in cloud di nuova generazione, con relativa formazione continua per permetterne un utilizzo evoluto; tuttavia sono in uso anche molti sistemi legacy, per i quali quasi 1.500 persone sono collegate anche in VPN.
È bene tener presente che in ogni caso la Pubblica amministrazione deve seguire le linee guida dettate dal governo e da AGID (Agenzia per l’Italia digitale), con obiettivi regolamentati nonché passi e scadenze da rispettare. Più nel dettaglio si può dire che oggi nella PA sta avvenendo una forte spinta verso il cloud computing tramite il quale si possono supportare più facilmente i processi amministrativi, che spesso devono essere rivisti e reinterpretati in chiave digitale. Questo significa produrre un cambiamento culturale e di mentalità, laddove si è ancorati al già vissuto e si opera in zone di comfort da cui è difficile sradicarsi.
In questo contesto, come referente per la sicurezza informatica, devo sensibilizzare le persone sul fatto che la sicurezza IT non è relegata solo al mondo della tecnologia e non è un elemento di disturbo bensì abilitante, che comprende una trasversalità di temi, dall’organizzazione dei processi alla compliance normativa, come la privacy. L’analisi del rischio è una tematica sulla quale stiamo investendo molto, sia dal punto di vista delle tecnologie a supporto, sia coinvolgendo anche gli uffici amministrativi per aumentare consapevolezza e sensibilità ai temi di protezione e sicurezza delle informazioni.
Gli strumenti basati sull’intelligenza artificiale sono molto interessanti, e li stiamo iniziando ad approcciare, infatti presuppongono una maggior maturità e la predisposizione di un processo che la nostra IT ha iniziato a sviluppare. Una difficoltà è anche rappresentata dalla scarsità di risorse specializzate: sarebbe utile riuscire ad attrarre, anche con strumenti finora poco o per nulla presenti nella PA, quali flessibilità di carriera e stipendi realmente adeguati ai meriti, persone preparate nei settori della riprogettazione dei processi, della digitalizzazione, tecnologie comprese, nonché della sicurezza informatica.
Simone Pezzoli, CISO Autostrade per l'Italia
Autostrade per l’Italia gestisce un’infrastruttura critica per il sistema paese, abilitando il trasporto su gomma di persone e merci, e per questo mettiamo particolare attenzione alla sicurezza nelle sue diverse accezioni. Con la pandemia abbiamo portato tutto il personale remotizzabile ad operare da remoto, in uno scenario che ci ha visto fornire direttamente da noi i laptop, introdurre MFA (“multi factor authentication”) su tutti gli ambienti più critici. Parliamo di un’infrastruttura complessa che ha richiesto un deciso rafforzamento su alcuni fronti oltre a un solido processo di comunicazione interna. Qui abbiamo provveduto a veicolare pillole di sicurezza e formazione all’utente finale perché potesse operare al meglio da remoto.
Di fatto quanto accaduto ha accelerato un processo di trasformazione digitale che era già stato avviato e sul quale abbiamo previsto investimenti per 200 milioni di euro, agendo su processi corporate così come sui sistemi di monitoraggio delle infrastrutture e sulle attività di analisi avanzata del dato con sua democratizzazione. Qui entra in gioco la sfida di come governare i dati in un ambiente distribuito, garantendo un accesso sicuro e un posizionamento su piattaforme di data science che ad oggi sono quasi tutte esterne e vanno protette in modo almeno equivalente a quelle on premise.
Riguardo al controllo dell’infrastruttura noi seguiamo un approccio integrato IT e OT che comprende ad esempio i sistemi di galleria, gli impianti di esazione, ed i sistemi di monitoraggio della viabilità e delle infrastrutture stesse. Quindi se in passato la cybersecurity era solo un tema legato all’IT puro ora va vista a 360 gradi impattando su tanti altri aspetti della protezione, compresa quella fisica e dell’incolumità di chi usufruisce della rete autostradale. È una preoccupazione trasversale e qui si innesta l’aspetto del monitoraggio che richiede l’intervento di competenze variegate, impattando su più livelli – dagli impianti all’ingegneria – laddove stiamo introducendo concetti di digital twinning per abilitare un controllo pervasivo. Nella sostanza, bisogna concentrarsi sulle attività a più alto rischio, monitorando e presidiando, in un percorso di miglioramento progressivo secondo un capability maturity model.
Un altro aspetto importante è quello delle competenze. E qui si manifesta il nodo del talent shortage per cui nei prossimi anni di fronte a una richiesta sulla cybersecurity che crescerà del 70% l’aumento delle risorse capaci di rispondervi sarà solo del 20%. Emerge quindi la necessità di una revisione dei piani di carriera laddove cybersecurity non è solo tecnica, ma anche conoscenza dei processi di business. Educando nel contempo le terze parti della supply chain perché siano anch’esse allineate ai requisiti fronte sicurezza. Al nostro interno ci serviamo di strumenti e piattaforme di analisi del traffico, analisi dei comportamenti, correlazione degli eventi al fine di perfezionare la nostra strategia e via via modificare anche i nostri processi interni, senza tralasciare l’elemento umano che permette di compiere analisi più approfondite e dettagliate rispetto a quelle offerte dagli strumenti di automazione.
A questo aggiungiamo diversi framework di riferimento a cui siamo conformi, anche se non bisogna mai dimenticare di restare allineati alle varie evoluzioni delle minacce e seguire un approccio con i principi security by design con costante monitoraggio e validazione dell’architettura, e definizione di digital win per costruire i modelli dei vettori di attacco che sono in continuo cambiamento. Dal punto di vista dei CISO penso infine che sia fondamentale avere un punto di raccordo come potrebbe essere l'Agenzia Nazionale per la Cybersecurity e che le persone che vanno all’estero a fare esperienze totalizzanti tornino in Italia per portare valore al sistema Paese.
Guido Barbero, Chief Information Security Officer (CISO) & Global CTO di CNH Industrial
Operativa nel settore capital goods con 12 marchi che progettano e producono ‘macchine da lavoro’, CNH Industrial è una realtà che prima della pandemia era già abituata allo smart working, un paio di giorni alla settimana, per cui abbiamo coordinato il potenziamento di una modalità già attiva investendo in connessioni, aumento di licenze e così via anche sui poli esteri da noi seguiti. Inoltre, considerato che nel settore dell’ingegneria bisogna lavorare con applicativi particolari come quelli di modellazione CAD 3D, abbiamo suddiviso i canali VPN per l’accesso al cloud non solo per la semplice lettura della posta e previsto una serie di virtual desktop sempre in cloud per remotizzare le attività di chi aveva necessità di una potenza elaborativa adeguata senza installare a casa una workstation dedicata.
La nostra trasformazione digitale era nel frattempo già partita anche fronte collaboration prevedendo, per quanto riguarda la sicurezza, un accesso multi factor portato rapidamente in produzione su tutta l’azienda. La tecnologia è però solo una delle variabili che entrano in gioco anche perché il vero anello debole sono i comportamenti delle persone. Abbiamo quindi lavorato molto sulla formazione, con linee guida e tutorial, considerata la superficie di attacco ampliatasi notevolmente, e modificato in modo profondo gli strumenti di comunicazione dismettendo buona parte della telefonia fissa e a favore dei softphone e trasformando le sale di videoconferenza, introducendo inoltre anche sistemi di prenotazione delle scrivanie e rotazione delle presenze.
Noi abbiamo tantissimi sistemi on premise, un mix di tante piattaforme. Certamente il cloud computing può essere più sicuro ma bisogna saperlo gestire e configurare correttamente. Di fatto obbliga a tenere i sistemi aggiornati e permette di implementare replicazione e disaster recovery con un minimo sforzo. Lato minacce, il tema del ransomware è invece quello che mi preoccupa maggiormente, visto che pur avendo investito in corsi antifrode, c’è sempre il rischio che qualcuno attivi un link o scarichi allegati fraudolenti. L’intelligenza artificiale può in tal senso aiutare e noi in questo momento utilizziamo la parte di machine learning ad esempio per attività di elaborazione eventi e tuning si potenziali incidenti di sicurezza. Da non sottovalutare inoltre il tema della “consumerizzazione” degli attacchi per cui risulta semplice reperire nel dark web degli strumenti che permettono di fare ciò che prima era appannaggio solo di un sistemista esperto.
Infine, al nostro interno applichiamo diversi framework di sicurezza, ad esmepio COBIT in ambito SOX oppure NIST, ed effettuiamo nel contempo anche un, non semplice, risk assessment delle terze parti in ambito sistemi informativi e di comunicazione. Inoltre lavoriamo anche sul tema dei connected vehicle che ha degli stretti contatti con la parte di ingegneria per le centraline di bordo. Anche qui portiamo avanti attività di threat risk assessment. Concludendo, la nostra strategia di sicurezza prevede tutta una serie di misure che partono dal singolo veicolo e arrivano all’utilizzo dei sistemi ICT corporate a livello globale.
Franco Cerutti, IT Security Director di Costa Crociere
Costa Crociere è una compagnia di navigazione con sede principale a Genova e parte del Gruppo Carnival. Sul fronte della gestione delle emergenze già da una decina di anni avevamo introdotto due siti di disaster recovery a livello regionale, uno a Genova e uno a Milano, ragionando nel frattempo su come introdurre modalità di telelavoro nel caso non fosse stato possibile operare in ufficio, come di fatto è poi accaduto in occasione della pandemia iniziata lo scorso anno. All’epoca esistevano ancora diversi vincoli a livello normativo, ma tre anni fa abbiamo iniziato a lavorare ulteriormente sul tema dello smart working partendo con un progetto pilota sulla parte IT e Risorse Umane per poi approdare a una diffusione totale con laptop distribuiti a tutti i dipendenti. L’attività, inizialmente compressa in un paio di giorni alla settimana, da marzo 2020 è stata estesa al 100% sull’intera forza lavoro.
Anche sul fronte sicurezza avevano già compiuto diverse mosse in anticipo, introducendo l’autenticazione multi-fattore e i collegamenti in VPN, e operando con piattaforme di collaboration anche nell’ambito di Carnival Corporation. Parliamo inoltre di tecniche di advanced threat protection per bloccare in anticipo i tentativi di attacco, compresa l’analisi del comportamento e di quanto sta avvenendo in tempo reale su dispositivi e reti, per prendere le decisioni corrette. In tale contesto, l’intelligenza artificiale la vediamo come un’opportunità, anche se applicata in ambiti ben definiti, per agevolare alcuni punti essenziali dei nostri processi decisionali e di difesa, senza perdere l’orientamento su altri aspetti operativi fondamentali.
Dopo l’esperienza lato IT il mio ruolo oggi è concentrato su quello OT – ossia i sistemi a bordo delle navi – che, lato sicurezza informatica, per motivi storici e per mancanza di attenzione da parte dei produttori, è in ritardo di una quindicina d’anni. Di fatto, da qualche anno, le realtà che ad esempio prima si occupavano esclusivamente di motori e si servivano dei computer solo per l’operatività locale oggi guardano molto di più all’integrazione e alla possibilità di accesso e manutenzione da remoto, confrontandosi coi rischi legati alla apertura alla rete. Nel frattempo molte applicazioni nascono ormai native in cloud, il che permette da un lato una riduzione dei tempi di sviluppo e implementazione e dall’altro una maggiore tutela rispetto all’on-premise. I problemi emergono invece se si mantengono entrambi i mondi, con conseguente aumento dei costi e minore protezione. Se possibile, quindi, la soluzione migliore è oggi portare tutto nella ‘nuvola’.
Infine, anche per quanto riguarda la tecnologia non va dimenticato il tema delle competenze: bisogna sì investire nell’istruzione, ma anche capire che chi si trasferisce all’estero lo fa perché qui in Italia non trova le stesse opportunità. Pur essendoci alcuni centri di eccellenza, nel nostro Paese permane di fatto ancora un problema di organizzazione generale ed è questo il vero nodo da sciogliere, ritenendo utile nel complesso una maggior cooperazione e collaborazione come sistema Italia per poter compiere dei passi avanti quando si parla di preparazione e competenze.
Paolo Ardemagni, Regional Director of Sales Continental Europe di SentinelOne
Quando si parla di sicurezza ogni azienda ha le sue esigenze legate anche al settore in cui opera. Ci sono però dei tratti comuni come ad esempio quello della consapevolezza, unito a quello dei comportamenti, oltre che delle tecnologie. Un fronte, la cybersecurity, al quale quelle basate sull’intelligenza artificiale possono offrire un’opportunità per automatizzare diverse attività di analisi, producendo indicazioni e azioni indispensabili per proteggere il proprio ambiente. Per fare un confronto, i meccanismi sono gli stessi dei siti di e-commerce che analizzano l’attività degli utenti per successivamente offrire dei suggerimenti di acquisto mirati.
Entrando più nel dettaglio, i CISO oggi hanno a disposizione strumenti variegati di protezione che però producono anche una quantità enorme di dati di difficile lettura. Serve invece una soluzione, una sorta di ‘esperanto’, che nelle sue analisi non liberi migliaia di alert e falsi positivi, ma selezioni solo quelle poche tracce importanti per analizzare e intervenire direttamente là dove effettivamente serve, a partire dagli endpoint, prevenendo, proteggendo e ripristinando. Di fatto, il 75% delle minacce vanno a colpire proprio questi ultimi, che si chiamino laptop ma anche mobile phone. Una situazione che si complica ulteriormente con l’utilizzo dei device personali per il proprio lavoro, il cosiddetto BYOD. Senza dimenticare le vulnerabilità che possono trovarsi in dispositivi IoT domestici, ma connessi alla stessa rete utilizzata per operare da remoto sul proprio business.
Un’altra esigenza che emerge è quella della sicurezza del cloud computing che deve essere almeno pari a quella garantita dai tradizionali ambienti on premise. Qualcosa che oggi in realtà è già possibile raggiungere, attraverso ad esempio le piattaforme di containerizzazione, con il vantaggio della rapidità di implementazione e avvio dei servizi proprio del cloud. E questo è ancora più evidente in quelle realtà che sono nate direttamente su questo ambiente piuttosto che in chi trasferisce sistemi e processi esistenti nella nuova modalità. Un tema sul quale si innestano gli obblighi normativi rispetto alla residenza del dato in data center situati in Europa e le opportunità offerta da operatori come i managed service provider che permettono anche alle realtà più piccole di usufruire di servizi destinati al mondo enterprise.
Tutto questo dobbiamo calarlo in un presente che sta ribaltando situazioni tecnologiche che apparivano consolidate sia fronte comunicazione (dalla tradizionale telepresenza ai sistemi di collaboration avanzati e integrati) che, appunto, fronte sicurezza (dalle vecchie signature per identificare i virus ai sistemi di AI con analisi dei comportamenti). Negli ultimi 30 anni sulla sicurezza di strada, di fatto, ne è stata percorsa. Da quando inizialmente i virus si diffondevano sui floppy disk facendo scarsi danni oggi siamo arrivati a potenti strumenti che arrivano a sottrarre dati e bloccare attività con conseguenti richieste di riscatto. Ma anche le difese sono contestualmente cambiate, non solo in modo tecnologico ma anche organizzativo, prevedendo team di incident response.
Ecco che l’intelligenza artificiale automatizza il lavoro di selezione dei fenomeni, compiendo una sorta di raccolta differenziata tra vere e false minacce in modo tale da intervenire là dove effettivamente serve in modo dinamico. In definitiva la tecnologia deve evolversi e adattarsi al momento, seguendo uno sviluppo coerente e costante.