La sicurezza informatica è ancora una materia ampiamente da sviluppare in tantissime aziende, anche perché i suoi risvolti sono innumerevoli e li si affronta solo una volta che diventa indispensabile piuttosto che cercare di organizzare il tutto in modo da snellire le operazioni future.
Durante il recente Security Summit di Elmec, azienda specializzata in soluzioni informatiche che ha una divisione chiamata CybergON dedicata alla cybersecurity, sono stati evidenziati alcuni trend ricorrenti. Il primo è sicuramente quello della protezione degli account utente. Come riferito da Filadelfio Emanuele, CISO di Elmec e Responsabile di CybergON, nel 75% di attacchi informatici che hanno avuto successo e che sono arrivati a creare problemi di business, l’evento scatenante è proprio una errata gestione dell’identità dell’utente. Più specificatamente, nella maggioranza dei casi si tratta di credenziali rubate tramite phishing o di accessi VPN non sicuri.
Questa situazione, annosa e persistente, sta diventando ancora più complessa da gestire a causa del perfezionamento delle tecniche criminali di phishing che fanno leva sugli strumenti GEN-AI per confezionare e-mail credibili e situazioni che stuzzicano la curiosità della gente, portandola a compiere errori fatali per la sicurezza. Per questo è stata ribadita la necessità di proteggere ogni aspetto della vita digitale dell’impresa e dei suoi dipendenti: dai device degli utenti, inclusi i telefoni mobili, fino ad arrivare al data center, al cloud, ai dati, all'Intelligenza Artificiale (AI) e persino all'Internet of Things (IoT – gli oggetti connessi) in fabbrica. E bisogna partire dalla formazione.
"Il vero punto di svolta per le imprese – afferma Filadelfio Emanuele – è comprendere che la sicurezza non è un elemento accessorio, ma un vero e proprio fattore abilitante del business. Non si tratta soltanto di tecnologie, ma di un approccio culturale che deve permeare ogni livello aziendale. Per questo la formazione delle persone gioca un ruolo decisivo: dipendenti consapevoli e preparati sono il primo baluardo contro i rischi informatici, perché sanno riconoscere potenziali minacce e adottare comportamenti corretti nelle attività quotidiane.”
La formazione da sola non basta
A questo primo passo, però, devono seguire procedure e tecnologie attentamente messe a punto per riuscire a funzionare in ambienti molto complessi. Un compito difficile da portare a termine “da soli”, ma che diventa più abbordabile se si sfruttano le competenze di un partner preparato. Secondo i dati interni di Elmec, i loro clienti gestiti possono contare su di una media di risoluzione delle vulnerabilità a un anno del 75%, contro il 40-45% di quelli che gestiscono la sicurezza completamente in casa. Il motivo di questa, importante, discrepanza è da ricercarsi nella vastità di competenze concentrate nel partner e addestrate su di un numero di casi molto più ampio di quelli rilevati in una sola azienda. Facendo leva su questa esperienza, si può implementare un approccio di "security by default e by design" in tutti i servizi e le soluzioni, ponendo la sicurezza come punto principale sin dalla fase di progettazione e applicando poi un piano di Disaster Recovery (DR) di nuova concezione. Se un tempo, infatti, i piani di recupero erano legati a catastrofi naturali (terremoti, alluvioni e altre evenienze per lo più fisiche), oggi devono affrontare la realtà degli attacchi informatici. I servizi di DR sono stati quindi riprogettati per garantire una ripartenza nel minor tempo possibile con la certezza dell'integrità dei dati.
Il software in azienda ha bisogno di un approccio nuovo alla sicurezza
Un analogo approccio di sicurezza a tutto tondo dev’essere applicata allo sviluppo del software aziendale. Infatti, al giorno d’oggi bisogna considerare come particolarmente delicato l'uso massivo di librerie e software open source, che rende fondamentale l'integrazione di strumenti automatizzati nel ciclo di vita per controllare lo stato del software e mitigarne le vulnerabilità. Il secondo vettore di attacco più usato dai criminali dopo quello del furto delle credenziali, infatti, è proprio quello delle vulnerabilità software e invece di limitarsi a sfruttare quelle scoperte “per caso”, da qualche tempo si sono attivati per infiltrare i progetti open source e nascondere delle backdoor in quelli più usati. Una strategia terribilmente efficace, come abbiamo visto in passato, che ha portato Elmec a costituire un rigido sistema di governance nello sviluppo che va a vantaggio dei suoi clienti.
Infine, un importante tema relativamente nuovo per le aziende italiane è quello dell’internazionalizzazione e dell’espansione tramite acquisizioni. Incorporare un’azienda, infatti, è un’operazione molto complessa sotto innumerevoli punti di vista e troppo spesso si sottovaluta quello della sicurezza informatica. Una infrastruttura diversa da quella “principale” che il team interno conosce bene dev’essere convertita a procedure e policy che spesso non si adattano all’architettura da assorbire, portando anche a problemi di governance legati alle diverse normative continentali (es. GDPR contro regolamenti Nordamericani). L'approccio consolidato in questi scenari prevede un assessment infrastrutturale approfondito, che verifichi prima di tutto gli asset e le modalità di accesso per poi uniformare ogni singola funzione in tutte le sedi. Operazioni che bisogna standardizzare per rendere ogni successiva espansione sempre più semplice ma che si scontra con una cultura della sicurezza ancora lontana dai livelli necessari.
“Spesso le aziende” – ha affermato Alessandro Ballerio, amministratore delegato di Elmec – “puntano a fare solo lo stretto indispensabile, ma le cose stanno cambiando. Il livello di consapevolezza sta crescendo.”