I chief information security officer (CISO) nei board dei consigli di amministrazione. Budget più ricchi. Tecnici di livello e personale più formato. Le imprese italiane al contrattacco
Prima o poi, bisognerà aggiungere una sedia al tavolo color mogano dei decisori per fare posto al chief information security officer (CISO), la figura che dovrà coadiuvare il management nel compito – tutt’altro che agevole – di guidare la strategia di sicurezza. Per ora si tratta solo di un cambio auspicato. Almeno qui da noi. Ma non oltreoceano, dove – complici le clamorose débâcle di sicurezza – l’urgenza di correre al più presto ai ripari ha scatenato una vera e propria caccia ai migliori professionisti in circolazione. D’altra parte, chi altri dispone degli strumenti per scattare una fotografia chiara e sintetica della situazione? Al CISO, spetta stimare l’entità della minaccia informatica e dei danni che può provocare; individuare i punti deboli da presidiare senza sottovalutare l’incidenza dell’errore umano; presentare al management le opzioni percorribili; costruire metriche che rendano possibile per entrambe le parti misurare il grado di efficacia dell’intervento. Non solo. Dispone di una serie di competenze specialistiche rare e spesso disperse. Padroneggia una normativa complessa, soggetta a frequenti cambiamenti. L’esperienza lo guida nel tracciare una distinzione netta tra fatti prevedibili e cigni neri. Così come nel cucire addosso ai decisori, l’abito di sicurezza a misura delle loro esigenze. Il riconoscimento da parte del management della centralità di questa figura incarnerebbe dunque la classica situazione win-win, in cui tutti gli attori coinvolti guadagnano e nessuno perde.
Attenti, alle scatole di montaggio
Se da un lato le polemiche sulla cyber security alimentano il dibattito politico, dall’altro l’industrializzazione, l’automazione degli attacchi e i costi per la gestione dei rischi spaventano le aziende e fanno aumentare il livello di allerta. È in arrivo, per esempio, il ransomware versione “Ikea”, in scatola di montaggio. Codice scritto in HTML, CSS e JavaScript. Linguaggi, da sempre impiegati nella creazione di siti web ma sconosciuti ai creatori di virus. Pochi e semplici passaggi e il gioco è fatto. Malware pronto all’uso per spillare più quattrini possibile ai soliti malcapitati. Lo rivela la BBC, che documenta altresì la relativa facilità con cui è possibile procurarsi il software, a disposizione di tutti coloro che sappiano navigare nel deep web e abbiano qualche bitcoin da spendere. Ma sono in arrivo anche nuove varianti di ransomware per smartphone e che non risparmiano più il sistema operativo di Apple e Linux. Vittime predestinate di questa ondata di nuovo malware – proveniente per il 90% da quel “triangolo delle Bermude cyber” rappresentato da Russia, Ucraina e Bielorussia – sono le pubbliche amministrazioni, ASL, comuni, anagrafi. Alla fine ancora noi e i nostri dati.
Il 2015 è stato l’anno del ransomware
Gli attacchi CryptoLocker, alimentati anche dal fenomeno in crescita del malvertising, la diffusione di codice dannoso attraverso banner pubblicitari, sono praticamente raddoppiati rispetto al 2014. Secondo una stima effettuata da Kaspersky Lab sarebbero state infettate più di 50mila macchine aziendali. Solo negli USA, l’FBI stima che questi attacchi abbiano fruttato oltre 18 milioni di dollari in riscatti nel periodo che va tra aprile 2014 e giugno 2015. Senza contare i danni connessi (fermo macchina, intervento dell’help desk, e così via).
Investimenti più ragionati
Secondo l’indagine condotta da DNV GL – Business Assurance, con il supporto dell’istituto di ricerca GFK Eurisko, nel 2015 la cyber security è schizzata in cima alle preoccupazioni della stragrande maggioranza dei manager. Secondo Roberto Davico, esperto di ICT Governance di DNV GL – Business Assurance, la sicurezza delle informazioni è «un aspetto chiave dal punto di vista delle dinamiche di business, rilevante per le strategie dell’81% delle aziende intervistate». Dato che sale all’84% per le aziende che impiegano più di 250 dipendenti. E all’85% tra le aziende italiane. La necessità di farsi carico della sicurezza delle informazioni non è certo una novità per le aziende. E di certo non lo è per quelle più grandi e strutturate, dotate in genere di risorse più cospicue, a fronte di esigenze di governance e di gestione del rischio più pressanti. «In queste realtà – rileva Andrea Zapparoli Manzoni, membro del Comitato direttivo di CLUSIT – non solo è cresciuta la consapevolezza, ma si sta facendo molto in concreto, applicando contromisure tecniche e organizzative che si dimostrano abbastanza efficaci».
Secondo i dati della ricerca DNV-GL, negli ultimi tre anni il 62% delle imprese italiane ha investito in iniziative specifiche. «Le più diffuse sono state l’investimento in strumenti per la sicurezza delle informazioni (45%) l’adozione di policy specifiche approvate dal top management (36%) e la formazione del personale (33%)» –spiega Davico di DNV GL. Inferiore invece, rispetto alla media globale, la spesa in personale specializzato (19%), voce questa che secondo la survey fa si che «le aziende italiane si discostino ampiamente dalla media globale riguardo alla presenza di professionalità adeguate per la gestione dell’information security». A questo proposito, Giancarlo Vercellino, research & consulting manager di IDC Italia ci dice che in termini assoluti «la spesa in security raggiunge i maggiori volumi sul segmento degli endpoint e dell’identity access management, che da soli rappresentano due terzi del software per la sicurezza in Italia». Sin qui le aziende che investono. Ma che dire di quell’area grigia nella quale si investe poco e male? «In questi casi purtroppo – dichiara Zapparoli Manzoni di CLUSIT – la consapevolezza cresce solo a causa dei continui attacchi, spesso con conseguenze pesanti (perdita di dati, interruzione dell’attività). Consapevolezza alla quale non corrisponde una capacità di porre in essere correttivi efficaci». Le dimensioni dell’azienda spesso rappresentano un indicatore preciso della qualità degli investimenti. «Le grandi imprese pur investendo molto in tecnologia dedicano quote significative di budget alla formazione e agli aspetti organizzativi. Invece, le medio-piccole comprano quasi esclusivamente tecnologia, il che di per sé non aiuta a mitigare tutti i rischi. Di frequente, si tratta di investimenti guidati dall’offerta dei vendor, che non sempre tengono in considerazione le vere esigenze di un’azienda» – continua Zapparoli Manzoni. Volumi di spesa che, secondo alcuni esperti, sarebbero ancora inadeguati al livello della minaccia. «Da quanto osserviamo, si fa ancora abbastanza poco» – fa notare Vercellino di IDC Italia. «E certo, dipende dagli interessi in gioco e dal settore di riferimento.
Ma se vogliamo guardare al solo dato medio, non possiamo stare molto tranquilli». E la crescita dei budget dovrebbe procedere di pari passo con l’allocazione più efficiente delle risorse. «Oggi, rispetto alla natura delle minacce prevalenti – concorda Zapparoli Manzoni – si spende molto più in protezione della rete di quanto si spenda in termini di protezione dei device mobili o degli endpoint. In modo analogo, si spende troppo poco in sicurezza applicativa e sviluppo di codice sicuro». Anche nella qualità degli investimenti, la situazione varia molto da PMI a medio-grande azienda. «I budget di sicurezza stanno certamente crescendo, pur se con grande difficoltà, perché si tratta di spendere denaro il cui stanziamento non era previsto. Purtroppo però in modo disorganico, spesso in conseguenza di una crisi, senza una strategia chiara» – spiega Zapparoli Manzoni. La maggioranza delle aziende, spinta principalmente da intenti di protezione delle informazioni, sta ancora lavorando sui requisiti infrastrutturali essenziali, quelli che richiedono gli investimenti più consistenti ma che sono indispensabili per evitare violazioni e perdite e garantire, allo stesso tempo, la disponibilità e l’accesso ai dati. «In questo senso, le aziende incontrano ancora numerose difficoltà quando si tratta di darsi degli obiettivi concreti» –conferma Davico di DNV GL. «Tuttavia, dalla nostra ricerca emerge un gruppo di aziende “leader”, che corrisponde circa al 25% delle aziende rispondenti, capace di porsi obiettivi misurabili». Una quota, ancora minoritaria e tuttavia significativa, ha valicato il confine simbolico tra un approccio “difensivo” e un altro più orientato alla gestione sistemica. Si tratta di aziende che hanno incorporato la gestione degli aspetti di information security nelle pratiche quotidiane, apprendendo la capacità di diffondere una cultura della sicurezza all’interno dell’intera organizzazione. «Realtà che sono riuscite a darsi dei numeri a cui fare riferimento. Un fattore importante per determinare il loro grado di maturità in relazione alla sicurezza» –argomenta Davico. Un buon viatico, che annuncia – nonostante la presenza di scelte ancora influenzate da errori – l’affermarsi di una cultura della sicurezza più allineata alla complessità delle sfide. Il segnale che non si investe più solo perché si deve. O perché ci si sente assediati dalle minacce e dal timore di patire danni ingenti. E questo è la prova che si sta facendo largo una mentalità diversa. Più attenta ai reali bisogni e meno alle mode.
Una nuova postura di sicurezza
Secondo uno studio condotto da Accenture in collaborazione con il Ponemon Institute, esistono una serie di caratteristiche che accomunano le aziende proattive nel campo della cyber security. Per esempio, la velocità nel riportare al management i dati relativi a un incidente di sicurezza; l’attribuzione di ruoli e responsabilità precise agli attori in campo; l’efficacia nella comunicazione verso i propri collaboratori e partner. Soprattutto la capacità di misurare le proprie performance di sicurezza nell’identificare il maggior numero possibile di minacce, consente di mettere in campo un programma di difesa flessibile per adattarsi anche a quelle sconosciute. Efficacia che non è necessariamente sinonimo di complessità. Né si accompagna esclusivamente a progetti faraonici. Tra i manager più avveduti, guadagna terreno la tendenza a prestare ancora maggiore attenzione “all’igiene delle infrastrutture”, concentrandosi sull’ABC della sicurezza. Se per alcune realtà, la realizzazione di progetti ambiziosi e tecnologicamente avanzati rappresenta l’asticella con cui misurare la propria capacità di produrre sicurezza, in altri contesti l’eccellenza si declina con la capacità di mostrarsi impeccabili nell’implementazione delle misure essenziali. Certo, disporre di tecnologia all’altezza non guasta. Nelle realtà più strutturate, la presenza di soluzioni in grado di identificare anomalie nel traffico di rete, di assegnare priorità efficaci alle minacce e di anticipare l’eventualità di un attacco, palesa plasticamente capacità ed efficacia dell’organizzazione. In queste realtà, anche la sperimentazione è la benvenuta.
Nel settore finanziario per esempio, alcuni istituti di credito utilizzano l’autenticazione biometrica direttamente allo sportello del bancomat. In altri, si stanno testando nuovi metodi di autenticazione social e di identificazione basata sul contenuto o sul rischio. Servizi, oggi in fase sperimentale, pronti però a trasformarsi in vantaggio competitivo. Una manna per le banche, esposte allo stillicidio di attacchi di successo e all’erosione della loro capacità di trasmettere fiducia e sicurezza ai clienti. Sull’onda di questa mutata sensibilità, oltre che di budget più generosi, anche la formazione trae beneficio. Per una quota importante di problemi di sicurezza, i CISO sanno bene che la formazione ai dipendenti può avere ricadute importanti. Anche se nessuno nasconde la difficoltà di riuscire a far accettare comportamenti più prudenti e responsabili ai propri collaboratori. Nuova linfa ricevono anche le iniziative rivolte allo sfruttamento delle possibilità offerte dalla collaborazione interna, come lo scambio e la raccolta di informazioni tra funzioni e l’analisi delle interazioni tra aree aziendali. Attività che travalicano l’orizzonte ristretto dell’azienda e che incoraggiano la condivisione di esperienze tra aziende dello stesso settore. Negli USA, la collaborazione tra aziende della stessa filiera produttiva, manifattura e supply chain per esempio, non solo è incentivata, ma riceve anche un supporto normativo. Infatti, sempre più spesso si registra la presenza, accanto all’offerta di un certo prodotto o servizio, di questionari dettagliati che mirano a descrivere la postura di sicurezza adottata dal potenziale fornitore. Nessun obbligo di rispondere, ma la certezza che facendolo si potranno avere maggiori possibilità di fare affari con i pezzi grossi del settore. Un accorgimento che serve a entrambe le parti per alimentare la dovuta attenzione alla sicurezza.
La sicurezza che verrà
Sino a ieri, a meno di sfracelli, raramente un CISO sedeva al tavolo del management. La musica però sta cambiando. La sua presenza non è più un evento raro ma una concreta possibilità. D’altra parte anche le aspettative nei riguardi della sicurezza sono cambiate. Il manager della security sa che al verificarsi di un attacco informatico di un certo rilievo, non dovrà farsi cogliere impreparato. Come nella storiella della gazzella nella savana, sa che dovrà correre più forte del leone per assicurarsi la sopravvivenza. Certo la pratica dannosa di interpellare il CISO solo quando scoppia il bubbone non è affatto debellata. Accade e accadrà ancora. Ma sempre più di rado. Infatti, si moltiplicano i segnali di un monitoraggio più attento e costante da parte del management nei riguardi dei fattori di rischio in azienda. Così come lo sforzo più puntuale di verificare e tenere traccia degli sforzi profusi dall’IT in termini d’impegno e adozione delle misure necessarie e cost-effective per proteggere l’azienda. L’auspicio è che presto si affermi in entrambe le parti la necessità di disporre di una visione condivisa del rischio: un cambio di mentalità che attesterà, più di qualunque altro cambiamento, il riconoscimento dell’importanza della sicurezza. E sarà la prova tangibile dell’assunzione decisa di responsabilità da parte del management di farsi carico della governance della sicurezza IT.
