Failure is not an option, ovvero, vietato fallire. Non nel senso che gli errori non sono ammessi – errare è umano – ma continuare a prendere la cyber security sotto gamba, nel mondo del cloud, del mobile, dei social, della IoT e del dark web, non è più ammissibile.
Anche quest’anno l’RSA Summit, l’evento organizzato da RSA la divisione di sicurezza di EMC, ha rappresentato un’occasione per condividere, tra manager dell’azienda americana, esperti del settore e partner del canale italiani, informazioni e best practice in tema di security, perché l’info-sharing è una delle chiavi per mettere in sicurezza organizzazioni di ogni genere, che siano imprese, grandi o piccole, o enti governativi.
Quanto ci costa non essere pronti a rispondere ai rischi? Questa è la domanda fondamentale che ogni ente o impresa si deve porre oggi, secondo Massimo Vulpiani, Europe South Regional Director di RSA, che ha ricordato che solo l’8% delle aziende intervistate in un recente sondaggio Gartner è risultato completamente capace di gestire le cyber minacce. “Ma far crescere il business vuol dire tenere conto anche dell’esposizione e imparare a affrontare gli attacchi”, ha indicato Vulpiani; “la sfida oggi è bilanciare la crescita con la gestione del rischio”.
Come si fa? La ricetta RSA è semplice: cambio di mentalità (da un atteggiamento reattivo a uno proattivo), definizione di una strategia che tenga conto del punto di partenza e dell’obiettivo cui si tende, coinvolgimento nelle strategie di security di tutti i dipendenti, a ogni livello, e abbattimento dei silos e dell’approccio top-down nella gestione della sicurezza.
“La prevenzione ha rappresentato finora il cuore delle strategie di security ma oggi non è più sufficiente”, ha sottolineato Vulpiani: “va rafforzata con le fasi di detection e response. Nel mondo complesso di oggi, dove sempre più oggetti sono connessi in reti ‘aperte’, va bene cercare di prevenire gli attacchi ma occorre essere consapevoli che la prevenzione non funziona al cento per cento ed essere in grado di rilevare tempestivamente un’intrusione ormai avvenuta e reagire in un lasso di tempo brevissimo”. E’ sulle fasi di monitoraggio, intelligence e risposta che le strategie di security si dovranno concentrare sempre più nel futuro.
“Le strategie di cyber security messe in atto oggi dalle imprese non sono sempre adeguate”, ha ribadito Mike Anderson, Director, Federal Strategy and Plans di RSA. “Quando pensiamo ai test nucleari, tutti siamo d’accordo che sono una minaccia e che un incidente nucleare ha conseguenze per decenni. Perché non siamo portati a ritenere una minaccia altrettanto grave e potenzialmente duratura quella che arriva dal cyber spazio?”. Ex dell’esercito americano oggi a stretto contatto con le agenzie federali Usa, Anderson ha spiegato che un’efficace strategia per la cyber sicurezza deve unire tre elementi: persone competenti, tecnologie all’avanguardia, processi. “Solo combinando queste tre fasi si ottiene una protezione robusta. Andando avanti verso il mondo della Internet of Things, in cui ad essere connessi saranno anche device medici o automobili, capire la cyber security è fondamentale”, ha concluso Anderson.
Insomma, aziende e governi devono spingere su formazione del personale It e rinnovamento dei processi (oltre che sugli investimenti) perché le tecnologie per proteggersi non mancano, come ha sottolineato RSA insieme ai partner che impiegano le sue soluzioni. All’RSA Summit ne ha parlato Andrea Campora, Senior vice president e responsabile Linea business Cyber security di Leonardo (Finmeccanica): i Soc Leonardo usano anche soluzioni RSA che l’azienda italiana ha apprezzato per la “flessibilità e capacità di integrazione con i nostri strumenti di intelligence”, ha sottolineato Campora. Nel suo Centro di Chieti Leonardo ha 2 Soc attivi h24 e capaci di monitorare tutta l’infrastruttura informatica dei clienti dell’azienda gestendo fino a 30.000 eventi al secondo e 50 incidenti al giorno. “Il nostro Soc è ancora più sofisticato e il lavoro dell’analista del Soc più efficace, perché in grado di estrapolare subito le minacce più gravi”, ha detto Campora.
Uno dei settori più bersagliati dagli hacker è naturalmente quello bancario-assicurativo: ne hanno parlato Remo Marini, Head of service line security di Unicredit Business integrated solutions, e Andrea Pontoni, Head of Group It audit di Generali. Marini ha ribadito l’importanza della formazione delle risorse interne per mettere a punto un’efficace strategia di security, la necessità di coinvolgere ogni livello dell’organizzazione e di puntare sulla fase di intelligence/monitoraggio e di risposta tempestiva all’attacco: non possono passare settimane (a volte mesi) prima di accorgersi dell’intrusione, le aziende devono essere più veloci nel rilevare i data breach. “Il Soc del futuro sarà molto basato sull’intelligence”, ha detto Marini.
Pontoni ha sottolineato il ruolo dell’auditor come collaboratore tanto del dipartimento It che delle funzioni più strettamente business: “Business e It devono lavorare insieme”, ha detto Pontoni. “L’It è diventato fondamentale anche per le assicurazioni, ora che esistono le polizze personalizzate basate sul rilevamento del comportamento degli assicurati. Ma questo esige una solida capacità di proteggere i dati. Il 10% del personale di Generali è It“.
In ambito pubblico, Stefano Plantemoli, security manager del ministero dell’Interno, ha sottolineato quanto sia importante proteggere le strutture It governative: non sono solo appetibili di per sé ma come “ponte” per accedere ad altre banche dati preziose. Per esempio, nel caso del ministero dell’Interno, l’hacker potrebbe voler colpire per “passare” poi alle banche dati delle prefetture o dell’Antimafia. “La cyber security è una necessità per il sistema paese, ma non perché ce lo dice una legge”, ha ammonito Plantemoli. “Il 2016 sarà un anno fondamentale perché è partito Spid ed è stata approvata la nuova direttiva europea sulla protezione dei dati che chiede la nomina di un Data protection officer e esige di segnalare le intrusioni entro 48 ore dal rilevamento”. Anche in un quadro internazionale pieno di sfide (i contrasti tra super potenze, la lotta all’Isis che spesso si combatte nel cyber spazio), l’Italia, come parte della Nato, è chiamata a rafforzare la sua cyber sicurezza, aumentando la visibilità che ha sui suoi sistemi e banche dati e irrobustendo tecnologie e risorse (persone e capitali) per difendersi.
Sempre sul tema della cyber difesa delle nazioni, Maurizio La Puca, vice comandante dello Stato maggiore della Difesa (Comando interforze cibernetiche), ha ricordato i passi fatti per allinearsi al Piano nazionale per la protezione cibernetica che l’Italia ha varato, come la trasformazione del Soc della Difesa in Cert, per garantire maggiore capacità di risposta alle emergenze, e le collaborazioni con le università per la formazione e l’aggiornamento delle risorse.
