La sicurezza in un mondo così complicato è un problema complesso. Crescono gli investimenti, ma mancano ancora qualità, formazione e cultura
Ha ragione Bruce Schneier (autore di Applied Cryptography, libro riferimento per la crittografia) quando dice che la sicurezza è maledettamente complicata. Difendersi è più difficoltoso che attaccare. Siamo ciechi di fronte alle minacce. Non sappiamo quando avverrà il prossimo affondo. Né come né da dove. Neppure sappiamo a danno di chi o cosa[1]. Si definiscono nuovi poteri e si delineano scenari di guerra inediti, dominati dall’anarchia e dalla logica del tutti contro tutti. Il volano di questi anni sembra essere la paura. Aziende e organizzazioni toccano con mano questa complessità ogni giorno. è complicato mettere in sicurezza la propria rete, i propri device, pc, router switch. Rendere più consapevoli le persone dei pericoli che si corrono online. Istruirle, formarle, fare crescere quel minimo di expertise che possa rendere meno a rischio una sfilza di comportamenti dannosi, capaci di mettere in ginocchio l’IT. è complicato trovare interlocutori validi, personale tecnico all’altezza, persone di cui fidarsi.
Se questo è il quadro, le organizzazioni quanto si sentono al sicuro? Poco, secondo l’Annual Security Report di Cisco, dal quale emerge che solo il 45% delle aziende interpellate (con almeno mille dipendenti, service provider compresi) si dichiara fiducioso del proprio approccio alla sicurezza. La maggioranza del personale tecnico, CIO compresi, al contrario, ammette di sentirsi indifeso di fronte alla gravità della minaccia[2]. Tra i fattori principali di questa insicurezza, c’è la crescita significativa del cyber crime, rilevata periodicamente dalla totalità delle ricerche in circolazione. Tra i fattori secondari, ci sono gli obblighi delle organizzazioni nei riguardi dei propri stakeholder, per i quali l’importanza della sicurezza cresce senza soluzione di continuità. Di certo, per il management farsi cogliere impreparati è un rischio che può costare caro. Nella survey Cisco, si legge che “il 92% dei manager intervistati concorda sul fatto che legislatori e investitori si aspettano che le aziende siano in grado di gestire l’esposizione al rischio legato alla sicurezza informatica”. Detto altrimenti, con la legge che fissa paletti sempre più stringenti, mettere in campo pratiche di sicurezza efficaci diventa un obbligo per l’azienda. Non una scelta. Un prerequisito, quasi, per rimanere sul mercato.
Insicuri perchè indifesi?
Numerosi fattori sottopongono l’IT a pesanti pressioni. Entità della minaccia. Budget insufficienti. Mancanza di personale e di competenze adeguate. Sollecitazioni pressanti da parte del board[3]. Più di recente la comparsa di una nuova fonte di preoccupazione, e cioè la complessità della tecnologia. Lo rileva lo studio The 2016 Security Pressures Report[4], commissionato dal vendor di security e compliance Trustwave, in cui si rilevano le difficoltà che i CIO incontrano quando si tratta di scegliere e di sfruttare al meglio la tecnologia disponibile. Quello della security è un settore da anni in crescita. Più aziende, più tecnologie, più servizi, più investimenti. Nel momento in cui scriviamo, più di 300 aziende si sono registrate all’edizione 2016 di Infosecurity Londra, la fiera di settore più importante in Europa. In marzo all’RSA Conference di San Francisco, il numero di fornitori presenti superavano di gran lunga le 500 unità. Più operatori certo. Ma anche più prodotti. Collocati sul mercato a ritmi forsennati. Solo per fare un esempio, nel campo delle soluzioni VPN, quelle disponibili sfiorano le 200 unità. Se questi sono i numeri, è verosimile che la platea di acquirenti possa sentirsi talvolta frastornata. «Talvolta, la complessità e la ricchezza dell’offerta finiscono per disorientare le aziende. Chi non dispone al proprio interno di personale in grado di valutare le offerte è esposto ancora di più a questo rischio» – concorda Luca Bechelli, membro del Comitato Tecnico Scientifico di CLUSIT, l’Associazione Italiana per la sicurezza informatica. L’ideale è poter contare sulla disponibilità di tecnici competenti ai quali affidare i test delle soluzioni, valutandone i vantaggi e l’impatto. Obiettivo perseguito da Aldo Ceccarelli, chief information officer and business process expert di Sedamyl. «L’esperienza ci ha insegnato quanto sia importante avere un po’ di grip, un pò di manualità sulle soluzioni da utilizzare. Per sperimentare. E scegliere la soluzione più adatta alle nostre esigenze. Anche perché i vendor tendono a proporti soluzioni adatte più alle grandi aziende. Che hanno problematiche diverse dalle nostre. E il licensing talvolta può penalizzare».
In questo quadro, la percezione della complessità della tecnologia si intreccia con quella dei suoi limiti. Per esempio, i dati di una ricerca SANS mettono in evidenza che il 55% dei 430 security and risk professionals rispondenti è insoddisfatto della qualità e dei tempi (recovery time) di risposta agli attacchi delle soluzioni di sicurezza impiegate[5]. Altre ricerche tuttavia documentano lo scollamento tra efficacia attesa e reale della tecnologia. Secondo un altro studio condotto dalla società di ricerche di mercato Ponemon Institute[6], un’azienda statunitense di medio grandi dimensioni riceve ogni settimana circa 17mila alert relativi alla rilevazione di malware. Di questi, però, solo uno su cinque risulta fondato. L’IT ha due possibilità: verificare tutti gli alert oppure disabilitare alcune feature della soluzione, per abbassare il numero di segnalazioni da controllare. La ricerca mostra come lungo l’arco della giornata in media un team di sicurezza riesca a lavorare solo il 4% degli alert. «Spesso capita di vedere che il cliente è costretto a scegliere, attivando determinate funzioni su una soluzione e disattivandole al contempo su un’altra» – conferma Bechelli. Un comportamento in parte giustificato dalla sovrapposizione di funzionalità delle soluzioni. Ma non esente da rischi. Non solo. Quando un software di sicurezza inonda di segnalazioni l’IT, e il diluvio di falsi positivi è un problema noto con alcune tecnologie, lo stesso software cessa di essere la soluzione e diventa parte del problema. «Servono soluzioni in grado di correlare più fonti e che riescano a distillare risultati più precisi. Servono più angoli di visione, più punti di vista, più intelligence» – spiega Bechelli. Il problema della razionalizzazione e della prioritizzazione degli allarmi, pur circoscritto solo ad alcune soluzioni di sicurezza, non può dirsi ancora risolto. I vendor lo sanno. E in alcuni casi non possono che ammettere i limiti delle soluzioni.
«A differenza di altre aree dell’ICT dove molto spesso è la fiducia nella visione tecnologica degli operatori a guidare e alimentare le aspettative dei clienti, nell’ambito della sicurezza IT tutti i maggiori operatori concordano nell’evidenziare quanto la sicurezza in senso assoluto sia diventata più che mai una chimera» – fa notare Giancarlo Vercellino, research & consulting manager di IDC Italia. «Da alcuni anni, la complessità sempre più accentuata dell’ambiente IT ha ingigantito il problema, tanto che alcuni vendor hanno iniziato a veicolare attraverso il proprio marketing messaggi del tutto nuovi: come la nozione che i data breaches vanno ormai considerati inevitabili e tutte le aziende, presto o tardi, dovranno necessariamente fare i conti con questa minaccia». Sull’efficacia della tecnologia insomma non garantiscono più nemmeno gli operatori. Un paradosso che ci trasporta in una dimensione nuova, dove la relazione tra i vendor e il proprio mercato si fonda su una fortissima ambivalenza. E dove la complessità impone di sganciarsi da logiche d’isolamento per aprirsi all’apporto di informazioni e conoscenze provenienti da altri contesti, remoti rispetto alla propria esperienza diretta. «Un aiuto quando si tratta di prendere talune decisioni ci viene dal confronto con i partner o con aziende simili alla nostra – conferma Aldo Ceccarelli di Sedamyl – così come dallo scambio di informazioni e pareri con associazioni ed enti di formazione specializzati, slegati da logiche di business. I vendor di sicurezza, per fortuna, non sono più l’unica voce disponibile».
Si spende di più per la sicurezza ma non in meglio
In questi anni di vacche magre, che si torni a spendere per la sicurezza IT è la buona notizia. Secondo la ricerca Global State of Information Security Survey 2016 condotta da PwC[7] coinvolgendo 10mila manager in 127 paesi, Italia compresa, a fronte di una significativa crescita del cybercrime (+ 38% di attacchi rilevati a livello mondiale, 42,8 milioni lo scorso anno) si registra un incremento degli investimenti pari al 24%. Una volta tanto, a spiccare è il dato dell’Italia, con un aumento degli investimenti anno su anno pari al 66%. La corsa ad accaparrarsi tecnologia tuttavia produce anche effetti negativi. Investimenti poco oculati generano il fenomeno dello sprawling, il proliferare cioè di tecnologia inutile o sottoutilizzata. Un fenomeno descritto nello studio Global Information Security Workforce Study 2015 condotto da Frost & Sullivan, Booz Allen Hamilton in collaborazione con ISC2[8]. Come rileva Luca Bechelli di Clusit, sino a un certo punto la stratificazione è fisiologica: «Le soluzioni lavorano su perimetri e livelli (applicativi, reti e sistemi operativi) diversi, sui quali agiscono minacce differenti. Da qui, la necessità di stratificare. Tuttavia, non è raro assistere a sovrapposizioni tra soluzioni. Alcuni prodotti nascono molto focalizzati, poi la tecnologia matura e quella stessa funzione perde di centralità. E alla feature principale, anche per ragioni commerciali, se ne aggiungono altre». Il problema è che queste tecnologie faticano a integrarsi. «Ma un conto è l’integrazione della soluzione con i sistemi che dovrebbe proteggere. Un tema sentito e fondato. Distinto però dall’integrazione tra le soluzioni di sicurezza» rileva Bechelli. «In certe aziende, il numero di prodotti di sicurezza supera quello delle persone a essi dedicate. Antivirus, firewall, IPS, DLP, vanno aggiornati. Le segnalazioni controllate. Ogni strumentazione di sicurezza ha un’interfaccia e logiche di funzionamento proprie. Sulle quali deve agire personale specializzato. In realtà, spesso capita di vedere che lo strumento lavori senza che un tecnico lo presidi».
E’ evidente che la gestione di console che tendono a moltiplicarsi comporta maggiori costi. E qualche volta, finisce per intaccare la produttività del personale IT. Quello che però si tende a sottovalutare è l’impatto che l’introduzione di nuove tecnologie ha sulle procedure di sicurezza. Le ragioni del fenomeno dello sprawling, come si sottolinea nello studio ISC2, sono numerose. I rispondenti, tutti professionisti nel campo della sicurezza IT, scaricano sui vendor le responsabilità maggiori. Attribuendosi tuttavia parte di responsabilità, in decisioni di acquisto poco circostanziate connesse soprattutto a una inefficiente gestione di alcuni aspetti organizzativi (riorganizzazioni interne, fusioni e acquisizioni). Quello dello sprawling è un fenomeno per ora tutto sommato circoscritto. Preoccupa però il ruolo che assume il management nella vicenda. Nel già citato Security Pressure Report 2016, si legge infatti che all’IT si sostituisce in modi sempre più invasivi il management. E questo, in prospettiva non lascia presagire nulla di buono. Non solo. «Comprare nuovo hardware o software di sicurezza accontenta un po’ tutti. Il vendor ovviamente. Il management. E anche l’IT» – afferma un altro esperto di sicurezza disposto a sbilanciarsi sull’argomento. Mi parla durante la pausa dei lavori dell’ultimo Security Summit di Milano, a patto di restare anonimo. Ha gli occhi stanchi di chi ha dormito poco la notte precedente. Ma non difetta di lucidità sulle possibili conseguenze di investimenti sganciati da logiche di business. «In alcuni casi, la situazione rischia di sfuggire di mano» – dichiara in tutta confidenza. «C’è chi corre ai ripari, riducendo il numero di soluzioni di sicurezza presenti in azienda oppure sospendendo tutte le sostituzioni di tecnologia, concordate per contratto, con i propri fornitori di sicurezza. E andando incontro così al pagamento di penali. In altri casi, complici altre ragioni contingenti, si preferisce fare piazza pulita di tutta l’architettura di sicurezza presente in azienda, rivolgendosi a fornitori di servizi di sicurezza gestita, pur di chiudere in fretta una situazione diventata insostenibile». Situazioni limite. Una provocazione, che – però – fa riflettere. E forse alla fine, finisce per non sorprendere più di tanto, se solo si guarda alla struttura degli investimenti in sicurezza in Italia. Dove, all’esiguità in termini assoluti degli investimenti, la qualità degli stessi rappresenta il vero anello debole. «Ma contrariamente a quanto ci si aspetta – riprende dal canto suo Bechelli di Clusit – e cioè che l’esborso avvenga a fronte di uno stanziamento previsto in anticipo, le cose spesso vanno in tutt’altro modo. Si spende in modo disarticolato, il più delle volte in conseguenza di un incidente di sicurezza». E allora, parlare di strategia o di “vision” facendo riferimento a talune microrealtà rischia di essere fuorviante. Al contrario, nelle aziende più piccole si fatica persino a trovare applicate le misure di sicurezza più elementari. Lo si legge nella ricerca condotta da Unicri[9] (United Nations Interregional Crime and Justice Research Institute), sul livello di percezione e conoscenza della minaccia informatica presso le PMI italiane. Spietata nel descrivere la loro mancanza di preparazione e la quasi assoluta assenza di criteri oggettivi e misurabili applicati agli investimenti.
Aspetti reputati invece fondamentali nelle conclusioni dell’indagine condotta da DNV GL – Business Assurance[10] in collaborazione con l’istituto di ricerca GFK Eurisko. Dallo studio emerge con chiarezza la natura degli investimenti in sicurezza nelle aziende italiane. Con le più piccole che quando spendono lo fanno soprattutto in tecnologia; mentre solo una piccola parte, soprattutto le aziende medio grandi, effettua investimenti più mirati e dedica maggiore attenzione agli aspetti organizzativi, alla formazione del proprio personale e all’igiene delle infrastrutture. «Proprio perché la sicurezza in senso stretto sta diventando un traguardo difficilmente raggiungibile, diventa fondamentale un ritorno a strategie di salvaguardia basilari. Torna cioè a essere centrale il tema della business continuity e del disaster recovery, nelle intenzioni di investimento di CIO e security manager. Soprattutto in Italia, dove le risorse disponibili per la sicurezza continuano ad attestarsi su pochi punti percentuali del budget IT» – conferma Giancarlo Vercellino di IDC Italia. Ma queste differenze hanno scavato un solco profondo. Da una parte un drappello di aziende di dimensioni medio grandi, coraggiose, visionarie, che ha valicato il confine tra approccio “difensivo” e gestione integrata, in cui la crescita, o semplicemente il consolidamento del budget, procede in armonia con l’allocazione efficiente delle risorse. E dall’altra il buco nero rappresentato delle aziende che pur con gradazioni diverse, a seconda degli interessi in gioco e del settore di riferimento, investono ancora troppo poco e male. Con il risultato che la sicurezza resta un obiettivo mancato ancora per troppe organizzazioni. Infatti, solo poche sembrano aver compreso che la sicurezza, ridotta con profitto a una serie di concetti fondamentali tra loro correlati, può essere applicata con successo in molte attività quotidiane. In un contesto così dinamico come quello dell’IT, solo sviluppando una mentalità evoluta si può sperare di riuscire a fronteggiare le minacce. è evidente che non possiamo delegare tutto il problema alla tecnologia, votandoci completamente alla sua supposta efficacia, messa peraltro fortemente in discussione. Perciò, la loro mera adozione, senza aver sviluppato una comprensione autentica della sicurezza, non porta molto lontano, perché a chi attacca basterà escogitare nuove tecniche più ingegnose per raggiungere i suoi obiettivi. Per questo bisogna investire di più sulle persone. Puntare sulla loro formazione. E diffondere con ogni mezzo la cultura della sicurezza all’interno dell’organizzazione.
[1] Vedi in https://www.youtube.com/watch?v=M83zPxCJGtY
[2] Lo studio, intitolato Cisco Annual Security Report 2016, riporta i risultati principali emersi dal secondo Security Benchmark Study di Cisco “che analizza la percezione sullo stato della sicurezza delle aziende e il loro livello di prontezza nel difendersi. Vengono inoltre discussi i trend geopolitici, la percezione del rischio di sicurezza informatica e dell’affidabilità e i principi di una difesa integrata dalle minacce”. Qui il link per scaricarlo.
[3] Vedi in http://www.datamanager.it/2016/02/sicurezza-piu-investimenti-formazione-cosi-le-aziende-si-difendono-dalle-minacce-della-rete/
[4] Lo studio è scaricabile registrandosi a questo link
[5] Alla ricerca dal titolo State of Dynamic Data Center and Cloud Security in the Modern Enterprise Survey and Research Report, hanno partecipato 430 rispondenti, tra security e risk professionals appartenenti alla SANS community. La survey è scaricabile da questo link
[6] Ricerca condotta negli Stati Uniti su un campione di circa 650 rispondenti, tecnici e manager della sicurezza IT. Il report, titolo The Cost of Malware Containment, è reperibile qui
[7] Dati diffusi nell’ottobre del 2015. Circa 500 i rispondenti italiani. Il report è scaricabile e customizzabile qui
[10] La ricerca condotta nel luglio 2015 ha coinvolto 1.192 professionisti di aziende clienti di DNV GL – Business Assurance operanti nei settori primario, secondario e terziario di differenti comparti in Europa, Nord America, America Centrale, Sud America e Asia.
