Un bel po’ di contraddizioni ristagnano nelle aziende, rendendole ancora più esposte al rischio cybernetico. Contraddizioni sia tecnologiche sia culturali, che Vmware ha contribuito a mettere in luce commissionando a Vanson Bourne un’indagine in territorio Emea (Europa, Medio Oriente e Africa), con oltre 1.700 decisori It e 3.500 dipendenti aziendali intervistati in Italia, Regno Unito, Francia, Germania, Olanda, Belgio, Svezia, Norvegia, Danimarca, Russia, Arabia Saudita ed Emirati Arabi. Il primo dato che balza all'occhio è una sorta di “omertà”, discretamente diffusa, sugli incidenti informatici che colpiscono le organizzazioni.
Di fronte all’evenienza di un data breach, cioè di violazioni che comportano una fuga di dati, spesso al danno immediato si associa l’aggravante della mancata notifica ai vertici aziendali. Succede, secondo l’indagine di Vanson Bourne, che in Italia nel 22% delle aziende (stando al campione interpellato) il responsabile It eviti di rivelare ai dirigenti l’avvenuto attacco, anche se grave. La mancata trasparenza non è un difetto solo italiano: la percentuale di “omertosi” nella regione Emea è ancora più alta, 25%.
La controparte è rappresentata dal 28% dei decisori It italiani (30% in Emea) e dal 20% di chi lavora in ufficio (23% in Emea) che credono il Ceo debba essere considerato responsabile in caso di data breach significativi. Resterebbe da capire se le percentuali di chi sceglie la “regola del silenzio” e di chi scarica il peso degli incidenti sul Ceo siano perfettamente complementari o invece almeno in parte sovrapponibili. In ogni caso, l’esistenza di una contraddizione è evidente perché non pare corretto imputare all’amministratore delegato la responsabilità di fatti su cui viene tenuto all’oscuro.
Le vulnerabilità da arginare sono quelle di cui si sente parlare ormai abitualmente: ransomware, Apt, attacchi DDoS, operazioni mirate. Ma il pericolo si annida anche all’interno delle aziende: il 45% dei decisori It intervistati (ma solo il 31% di quelli italiani) pensa che la prima minaccia sia rappresentata dai dipendenti distratti o non educati alla sicurezza It. Questo è confermato da ulteriori numeri, come il 25% di coloro che usano il proprio dispositivo personale per accedere ai dati aziendali, o come il 17% di coloro che ammettono di essere inclini a violare una policy pur di poter lavorare in modo più produttivo (per esempio, utilizzando un servizio cloud gratuito).
L’indagine ha anche svelato un diffuso livello di preoccupazione. Il 30% degli intervistati ha detto di considerare come probabile un attacco che avvenga nell’arco di 90 giorni (dalla data del questionario), mentre il 32% pensa che i sistemi di sicurezza non riescano a stare al passo con l’evoluzione delle minacce informatiche.
Alberto Bullani, country manager di Vmware
Vmware è in parte d’accordo con questa visione: molte aziende non stanno al passo, ma non tanto per un problema di tecnologie disponibili quanto di approcci tecnologici. “Il digital landscape sta cambiando, ovvero è già cambiato e continua a farlo”, ha dichiarato Alberto Bullani, contry manager di Vmware. “E si evolvono anche gli attacchi cyber e i tipi di dispositivi colpiti. I vecchi modelli di sicurezza, evidentemente, non funzionano più e a nostro modo esistono però nuovi modelli in grado di offrire maggiori garanzie”.
“Bisogna cambiare il paradigma, il modo di pensare”, ha aggiunto Rodolfo Rotondo, business solutions strategy, advisory services della regione Semea di Vmware. “Quello che manca oggi è una vera a propria architettura di sicurezza. C’è una frattura fra l’It e il business, fra le policy di sicurezza da impostare e le risorse da proteggere. Le regole devono essere coerenti con i dati, con i dispositivi, con le applicazioni, mentre in realtà questo non accade. Esistono dei silos nell’ambito della sicurezza, una serie di frammentazioni di vendor, di regole e di tecnologie. Mancando questa architettura pervasiva e onnipresente, non si riesce a fortificare la sicurezza dall’interno verso l’interno”.
Rodolfo Rotondo, business solutions strategy, advisory services della regione Semea di Vmware
L’architettura mancante in realtà esiste, benché ancora poco diffusa. La risposta di Vmware al problema della “frattura” si chiama Nsx ed è una piattaforma per la virtualizzazione delle risorse di rete che consente di applicare un insieme di policy comuni a tutte le risorse del data center (siano esse virtualizzate o fisiche): computer, server, dispositivi mobili, oggetti dell’Internet of Things, infrastrutture di virtual desktop, terminali Pos, sportelli Atm, sedi remote, cloud pubblici, container di applicazioni. Per quanto l’ambiente It possa essere eterogeneo, la piattaforma riesce a fare da collante fra le regole di sicurezza dettate dall’It e i singoli endpoint, le applicazioni e i dati da proteggere.
“La virtualizzazione è l’architettura giusta per realizzare il concetto di zero trust”, ha spiegato Rotondo, facendo riferimento al termine coniato da Forrester: un approccio che considera qualsiasi entità (utenti, applicazioni, dispositive) come “inaffidabile” per default e dunque soggetta all’obbligo di verifica. La virtualizzazione l’architettura giusta perché “è onnipresente su tutte le tipologie di risorse, è allineata con tutte ed è isolata”. Nsx, infatti, non risiede all’interno di un’applicazione o di un oggetto hardware, come potrebbe essere un agente software, ma si trova “nel mezzo” e ha visibilità complete su tutte le risorse.
La soluzione può integrarsi con quelle dei vendor di sicurezza, a partire da Airwatch (società di Vmware specializzata in gestione dei dispositivi) e proseguendo con Check Point, Palo Alto, Trend Micro, Symantec e decine di altri brand che hanno aderito al programma di affiliazione tecnologica.
Il principio di fondo è quello della micro-segmentazione, che permette di confinare un eventuale attacco dentro al più piccolo spazio possibile, evitando che si propaghi. Per esempio, è possibile creare una Vpn per dare accesso a una singola applicazione e a uno specifico database, dunque a una isolata porzione di un data center. Per dirla con una metafora, “è un po’ come se si dovesse proteggere meglio un’abitazione: oltre a mettere un portone blindato, si chiudono a chiave le singole stanze e in questo modo si isola il malware”, ha spiegato Rotondo.