L’approccio data-centric alla protezione contro malware e minacce interne non basta più. Bisogna tener conto di comportamenti ed emozioni dell’endpoint più critico: il fattore umano
La cybersecurity è diventata nella percezione di tutte le imprese la problematica numero uno del business digitale. L’attuale scenario, avverte tuttavia Emiliano Massa, area vice president sales per la regione Sud Europa di Forcepoint, impedisce di colmare le lacune accumulate in questi anni e ottenere un adeguato livello di protezione di tutte le linee di business di una organizzazione, vuoi per proteggere o normare lo scambio di informazioni e di proprietà intellettuale, vuoi per assicurare la compliance con normative che su scala nazionale ed europea sono sempre più specifiche e stringenti. «Il problema principale dei nostri interlocutori nell’impresa è che spesso i CIO sono stati interpellati solo alla fine di determinati processi di trasformazione e oggi questi responsabili si trovano a dover securizzare dati e applicazioni quando queste ci sono già e sono state ottimizzate per il business. Il business richiede procedure il più possibile aperte e quindi insicure».
I muri non servono
Tradizionalmente si sarebbe intervenuti innalzando barriere perimetrali che oggi sono quanto mai aleatorie. «Il perimetro non c’è più. L’uso di device portatili e di app di tipo personale definisce una linea di confine sempre più nebulosa tra business e attività individuali. Io utilizzo Booking.com per le mie trasferte di lavoro, ma anche per le mie vacanze e ogni volta fornisco un sacco di dati, non solo i numeri delle carte di credito ma anche le destinazioni, gli itinerari». Questo graduale processo di apertura, di “messa in piazza” di informazioni che possono diventare molto sensibili è legata anche all’evoluzione infrastrutturale delle prime forme di cloud privato. Oggi, una grande azienda su due riversa i propri dati, anche quelli sensibili, sui vari cloud pubblici, per poter condividere meglio le informazioni e favorire il business. «In questo scenario, fare sicurezza è difficile. Ci si arriva dopo, magari con qualche escamotage». Fornitori come Forcepoint incontrano spesso e volentieri situazioni in cui il codice applicativo è scritto male o è poco aggiornato. Ma senza sicurezza, il crimine informatico ha ritorni altissimi. Per fortuna, proprio le normative come la GDPR o la direttiva NIS, pur essendo ancora percepite dalle aziende come un problema, «possono sensibilizzare molto sul tema della sicurezza, rendendo la questione più urgente – afferma Massa – e spingendo le aziende a operare in ottica di processo. Occorre cambiare molte cose affinché tutto diventi più fluido, anche se in questo momento i CIO sono nel panico, perché il perimetro si sgretola e il management preme per adeguarsi agli standard senza spendere troppo».
Sicurezza non entropia
Una cura progressiva esiste, dice ancora Massa, anche se non può essere solo tecnologica. «Nel mondo, dal 2009 al 2016, si sono spesi quasi 300 miliardi di dollari in tecnologie di cybersecurity, entro il 2020 si stima che si arriverà a spenderne 500. Solo lo scorso anno se ne sono spesi più di 80. Non sono certo le tecnologie che ci mancano. All’ultima RSA Conference c’erano oltre 500 fornitori registrati. C’è una soluzione per tutto e come abbiamo visto non è un problema di spending generale. Il problema è l’approccio finora adottato: aggiungere strati su strati di tecnologia complica ulteriormente il problema».
Secondo il responsabile commerciale di Forcepoint, la ricetta è semplificare, ponendo l’accento più sulla roadmap da seguire e meno sull’aspetto dell’identificazione e del contenimento della minaccia che arriva dall’esterno. Le minacce, molto spesso, le abbiamo già in casa. «Il comune denominatore di qualunque processo potenzialmente dannoso per l’integrità dei nostri dati è il fattore umano. Il focus di Forcepoint è rivolto alla gestione non della minaccia in sé, ma delle interazioni tra le persone, i dipendenti e i dati confidenziali, critici, o riferibili alla proprietà intellettuale dell’azienda, ai quali questi individui hanno accesso». In questo modo, si introduce una grande semplificazione, perché l’azienda opera in ottica diversa. Considerando che il comportamento degli esseri umani è condizionato dalle emozioni e che queste sono mutevoli per definizione, non è possibile impostare una policy di sicurezza in funzione del diverso umore del dipendente aziendale. Per questo, Massa invita a dotarsi di strumenti che consentano di intuire le intenzioni alla base di un click: «Intenzioni che possono essere benevole, ma comunque pericolose e in determinati momenti e contesti possono tradire un comportamento davvero ostile o fraudolento».
Le persone al centro
In altre parole, è necessario concentrarsi sulle reali intenzioni, senza bloccare arbitrariamente un dipendente che deve poter accedere ai dati quando vuole, nelle modalità preferite, sempre che le sue credenziali glielo consentano. Forcepoint ha condensato questa filosofia nel concetto di protezione dello Human Point: una tecnologia in grado di dare una risposta semplificata e il più possibile automatica al problema della identificazione della soglia di rischio nelle interazioni tra operatori umani e dati digitali. «Tutte le aziende hanno problemi di staff e addentrarsi nel profondo degli eventi di sicurezza richiede analisti esperti, con anni di formazione alle spalle. Come fornitori dobbiamo essere bravi nell’agevolare chi analizza certe anomalie, presentando loro solo gli eventi più significativi in una valanga di dati che non hanno ricadute in termini di sicurezza». Questo, sottolinea Massa, è il principio ispiratore che porterà la R&D di Forcepoint a prototipizzare e a mettere a punto soluzioni “human point centric”. Lo specialista di sicurezza, noto in precedenza con il brand di Raytheon Websense, è costituito da tre business unit: Cloud Data, Insider Threat e Network Security che sono i tre pilastri dell’offerta Forcepoint. «La strategia Human Point si orienta attraverso tutte queste linee» – ribadisce Massa. «Oggi, con le nostre soluzioni contro la perdita di dati (data loss) e la “fuga di dati” (data leak), il cliente dispone già di reportistiche basate su una classifica dei livelli di rischio costruita con l’analisi intelligente degli eventi. Non solo. Gli utilizzatori del prodotto CASB (Cloud Access Security Broker), possono studiare le modalità di interazione con i dati che entrano ed escono dalle rispettive organizzazioni, individuando operazioni di salvataggio sospette e distinguendo tra comportamenti anomali ma in buona fede e tentativi di violazione». L’approccio alla security comportamentale è un fattore differenziante dell’offerta Forcepoint. Tutti i principali player nel mercato della lotta al cybercrime e alla protezione dei dati ricorrono al machine learning e all’analisi Big Data, sostiene Massa, ma la logica è ancora centrata sul codice di natura maligna, o sulle deviazioni rispetto a comportamenti predeterminati, che non tengono conto delle storie personali dei dipendenti, degli aspetti emotivi che possono caratterizzare un comportamento imprudente, ma non per forza doloso. Tuttavia, secondo Massa c’è un ultimo aspetto da considerare. «La capacità di analizzare il comportamento del dipendente nel suo insieme permette di attraversare tutte le aree di operatività di una azienda, fornendo uno strumento che aiuta a prendere decisioni riducendo i margini di rischio». In questo modo, cambia anche la catena di interlocuzione. Il fornitore di tecnologie che prima dialogava solo con il CIO o con il CSO entra definitivamente in una dimensione di business: quella della gestione del rischio legato all’informazione.
Visita il sito ufficiale del WeChangeIT Forum, i relatori, gli argomenti, aggiornamenti sulla edizione 2018 e la possibilità di Pre-Registrazione http://www.wechangeit.it/
