Perché la pandemia ci ha dato una nuova prospettiva della cyber security. È il momento di mettere la cybersecurity al centro delle operation aziendali.
“In questa situazione di incertezza…” è senz’altro una delle espressioni maggiormente utilizzate recentemente, ma è di certo tra le meno efficaci quando si tratta di decidere la strategia da intraprendere e di passare all’azione. In genere, quando pianifichiamo la nostra vita personale abbiamo bisogno di fondamenta solide su cui poggiare le nostre scelte: la presenza della nostra famiglia, la nostra situazione economica, il nostro lavoro, il supporto dei nostri amici. Lo stesso avviene, anche se con forme diverse, quando pianifichiamo la nostra attività di business: in questo caso usiamo molteplici fonti informative, che possano permetterci di costruire basi solide e che ci assicurino un buon fatturato a fronte di un rischio di impresa che consideriamo accettabile.
Cosa accade quando pianifichiamo la difesa del business aziendale dalle minacce che il mondo cyber comporta? Al centro di tutto, come in qualunque processo aziendale, ci sono indubbiamente le persone: i professionisti della cyber security, con il grande compito di mantenere i dati e le risorse tecnologiche di un’organizzazione al sicuro e funzionanti nonostante lo stravolgimento delle modalità di accesso e consumo delle risorse aziendali che il lavoro da remoto ci ha imposto nell’ultimo anno.
La rete è tutto un fiorire di informazioni relative alle nuove minacce cyber, ai percorsi più rapidi per la resilienza, al costo delle sanzioni per la non conformità, alle sempre presenti violazioni dei dati e all’importanza vitale di garantire che gli investimenti nella trasformazione digitale non si blocchino. Le sorgenti dati (o di informazione se preferite) non ci mancano di certo.
Ciò che è meno chiaro è come possiamo creare un valore culturale più duraturo e come possiamo valorizzare il lato umano di questi passaggi pratici, aspetti sui quali siamo stati decisamente carenti fino ad oggi. Quindi, quali sono i fattori che influenzano questa nuova cultura della cyber security?
A pesca di dati
Come essere umani siamo innatamente curiosi, ricerchiamo informazioni inerenti a qualsiasi aspetto della nostra vita personale e professionale utilizzando le più disparate sorgenti informative, anche le più dubbie. Lo status di “remote workers” miscelato con la pandemia ci ha portato a ricercare informazioni su SARS-CoV-2 inizialmente, sui vaccini successivamente per culminare con le informazioni circa le varianti del virus. Tutto questo non ha fatto altro che inasprire la nostra sete di informazioni. Essendo uno dei metodi più economici ed efficienti per raggiungere obiettivi su larga scala, non sorprende che il phishing o lo spear phishing siano una delle principali tecniche utilizzate negli attacchi che abbiamo osservato durante lo scorso anno.
Gli attaccanti stanno continuamente affinando tecniche consolidate in modo da instillare il senso di urgenza in maniera sempre più efficace. Il cyberspazio è una enorme fonte informativa per gli attaccanti stessi, che sempre più frequentemente utilizzano dati prelevati dai social network, arrivando fino a clonare i profili degli utenti, pur di risultare maggiormente credibili. E anche la trasformazione digitale non poteva essere certamente ignorata dagli attaccanti. Durante lo scorso anno, il 36% degli attacchi ha infatti interessato soluzioni SaaS aziendali.
Questo elevato livello di personalizzazione, congiuntamente a un ottimo livello di italiano raggiunto dai messaggi personalizzati comporta una maggiore difficoltà nell’identificazione degli attacchi di phishing, spesso anche da parte dei più esperti in tecnologia. La formazione del personale è un elemento fondamentale, non solo attraverso la comunicazione o dei corsi (indispensabili ma mai sufficienti), ma anche attraverso simulazioni ed esercizi periodici che possano permettere di mantenere il livello di allerta molto alto. Avete mai guardato distrattamente la vostra e-mail mentre vostro figlio/a correndo per casa rischiava di farsi male? So che sapete di cosa sto parlando. Spesso gli attaccanti ci trovano distratti, ed è anche su questo che molto spesso contano per far sì che le campagne di attacco vadano a buon fine.
Sicuri di non avere backdoor?
Il “remote work” ci porta immancabilmente a lavorare in condizioni il cui livello attenzione è alterato da tutto quello che accade in casa: figli che seguono le lezioni in DAD, pacchi che arrivano dai corrieri più disparati, bambini al rientro dal nido che pretendono attenzione e i sempre ed immancabili call center che chiamano dai numeri più improbabili. Questo alterato livello di attenzione comporta errori più frequenti: dati inviati a persone sbagliate o non affidabili e accentuata pigrizia nell’applicare le patch a sistemi operativi o applicazioni. Ammettiamolo, non siamo mai stati bravi nell’applicazione delle patch, e la situazione attuale non sta facendo altro che aumentare il nostro debito di vulnerabilità, esponendo le nostre aziende sempre di più.
Il panorama, tuttavia, è molto più complesso delle “semplici” patch di sicurezza non applicate: server cloud mal configurati (purtroppo la semplicità di provisioning spesso non comporta altrettanta attenzione nella configurazione sicura degli stessi), ambienti multi-cloud che spesso comportano maggiore complessità nel monitoraggio, API spesso implementate in fretta, password di default o non sicure e gli immancabili software non autorizzati installati sui sistemi aziendali. Problemi vecchi e nuovi che complicano lo scenario che stiamo vivendo. Non sorprende infatti che più di 1 organizzazione su 5 subisca un incidente informatico originato da una risorsa IT non autorizzata. È necessario un cambiamento culturale per poter iniziare a porre rimedio alla situazione attuale: la cyber security deve diventare una responsabilità di tutti, in modo da mantenere gli attaccanti fuori dalle nostre case e fuori dal nostro business.
Un cambio di ruolo
Una ricerca pubblicata all’inizio della pandemia ha rilevato che il 47% dei team di sicurezza si è trovato riassegnato a compiti IT generici e il 90% lavora da remoto a tempo pieno (molto più che tempo pieno, di frequente). Questo, ovviamente, è preoccupante, maggiori responsabilità allocate nella stessa finestra temporale comporta inevitabilmente minor tempo dedicato a ciascuna di esse.
Dall’altro lato, l’aspetto positivo di questa fusione di IT e cyber security è l’evangelizzazione di una platea IT più ampia su tematiche di sicurezza informatica soprattutto quando vi sono investimenti come DevSecOps che provano a rompere i silos. Essere in grado di collocare le professioni della sicurezza dove è necessario, ma facendole integrare profondamente con il resto team IT, sarà una delle lezioni che avremo imparato lavorando durante una pandemia globale. Stabilire la priorità su dove si concentrano questi professionisti può anche consentire di automatizzare alcune attività a lungo termine. Pronti ad abbracciare la filosofia DevSecOps?
Disparità di competenze
Quello che non vorremmo avere è una mancanza di professionisti skillati in cyber security, un problema in crescita nel settore. Il crescente divario nelle competenze ha lasciato tante organizzazioni prive di professionisti della cyber security dedicati a svolgere le funzioni necessarie per proteggere l’azienda, con grande preoccupazione dei CISO. Secondo un recente report Marlin Hawk, due terzi (66%) hanno affermato di soffrire di carenze di talenti perché i candidati non hanno le giuste conoscenze tecniche, mancano di esperienza o semplicemente non hanno la cultura adatta. È un problema che la maggior parte dei CISO (62%) pensa che peggiorerà nei prossimi cinque anni, ma – come molti cambiamenti in corso in questo momento – questo potrebbe essere stato solo accelerato dalla recente crisi. Non è quindi questo il momento di diluire certi ruoli, ma piuttosto di utilizzare la loro riallocazione per rafforzare e aiutare a diffondere l’idea di sicurezza come valore fondamentale dell’azienda.
Il CISO del futuro
Il ruolo del CISO è quello di essere presente lungo tutta la catena di comando. Comunicando verso l’alto, i CISO sono saldamente inseriti nel board decisionale e spesso è loro compito colmare il gap tra la necessità di proteggere l’organizzazione e la direzione che si vorrebbe prendessero gli investimenti. La gestione di una forza lavoro più ampia e la necessità di non abbassare mai la guardia, richiede la capacità di identificare un incidente di sicurezza in mezzo a una raffica di falsi positivi e avvisi a bassa priorità. Guardando al futuro, i CISO dovranno confrontarsi con una forza lavoro ancora più flessibile, costringendoli ad essere più agili che mai riguardo al panorama delle minacce. Le difficoltà e le sfide affrontate dalle nostre aziende negli ultimi mesi, hanno evidenziato che la sicurezza non è qualcosa che può essere deprioritizzato. Questo può essere un momento perfetto per i nostri team di cyber security per aiutarci a garantire che sicurezza, stabilità e fondamenta solide, sia in senso pratico che umano, siano al centro dei valori aziendali condivisi.
Autore: Oliver Friedrichs, VP of Security Products di Splunk
Adattamento italiano a cura di: Antonio Forzieri, EMEA Cyber Security Specialization and Advisory, Splunk
