Le aziende riconoscono i punti di forza della proposta di ServiceNow declinata come piattaforma di automazione dei processi con la Now Platform. Allo stesso tempo cresce la consapevolezza sul fatto che la sostenibilità del business è misurabile solo considerando l’effettiva resilienza delle organizzazioni anche rispetto agli eventi avversi relativi alle sfide crescenti nell’ambito della cybersecurity. Un ambito, anche questo, indirizzato in modo innovativo da ServiceNow. Ne parliamo con Danilo Allocca, Senior Sales Executive, Security Operations Solution di ServiceNow per il Sud Europa.
“L’offering di ServiceNow per la cybersecurity si basa anche e soprattutto sull’integrazione totale della Now Platform il cui sviluppo è indirizzato a coprire tutte le esigenze aziendali”. In un contesto in cui, per assicurarsi la cyber-resilienza, tutti concordano nel sottolineare che il primo aspetto da considerare è la piena visibilità in azienda, ecco che “Now Platform offre la visibilità completa non solo sugli asset, ma anche sui processi e quindi consente di essere più puntuali in caso di un problema di cybersecurity così da comprendere esattamente l’impatto effettivo sul business dell’azienda”.
La Now Platform, in primis, abbatte la struttura a silos tipica di tante realtà che operano per reparti solitamente abituati a lavorare con pochi interscambi; in particolare, l’offering di sicurezza di ServiceNow si basa su due pilastri. Andiamo con ordine. “Il primo riguarda la gestione delle vulnerabilità che siano infrastrutturali o applicative e – ancora più insidiose – quelle riconducibili alle cattive configurazioni, alle mis-configuration.Ecco, Now Platform permette di farlo comprendendo per tempo quali esse siano, ed in maniera proattiva agire sulle stesse. “Gli elementi differenzianti della piattaforma – prosegue Allocca – sono da individuare nelle sue caratteristiche di inclusività, perché la proposta non elimina l’overthread della parte infrastrutturale aziendale ma anzi lo sfrutta per raccogliere feed da tutta l’infrastruttura cyber del cliente (Siem, scanner di vulnerabilità, dati di penetration test) e portarli all’interno della piattaforma”. Grazie alla piena visibilità sugli asset aziendali, da cui iniziano i processi che sono parte del business aziendale – e grazie all’enrichment del singolo asset – è così possibile valutare l’esatto impatto della vulnerabilità e dell’incident sul business per offrire la prioritizzazione corretta di intervento.
Il secondo pilastro è invece rappresentato dalla gestione degli incidenti cyber (phishing, malware, accessi non autorizzati etc.) che, sfruttando fortemente la componente di automazione dei workflow della piattaforma, si occupa dell’assegnazione ai giusti team dei task, della normalizzazione degli incident. Inoltre, sfruttando tecnologie di threat intelligence e Machine Learning – la piattaforma ottimizza il processo di risoluzione delle problematiche, scalando i task sui team – a seconda dell’effettiva disponibilità di risorse e delle relative competenze – e interagendo con le infrastrutture a supporto per eseguire le operazioni di orchestrazione quali potrebbero essere mettere in quarantena un host, bloccare un firewall o un’email search & delete, etc..
In particolare, per quanto riguarda la gestione dei problemi in area Soc e dei Cert sono determinanti le potenzialità del framework Mitre Att&ck, che permette di identificare, in base a determinati parametri, le tipologie di incident, quali playbook risolutivi utilizzare, a quali team assegnare la sua soluzione. Questo semplifica l’analisi degli incident e la parte di remediation. “E’ end-to-end quindi il processo indirizzato da ServiceNow che, con Now Platform, raccoglie le informazioni, le analizza, le normalizza, le distribuisce ai componenti dei team deputati (con tutti i log necessari per la compliance) ma consente anche di fare remediation puntuale sugli asset fisici come su quelli applicativi, grazie alla piena integrazione infrastrutturale”.
La soluzione ServiceNow Security Operations, in particolare, è il verticale specifico che permette di abbattere la struttura a silos, ovviare – grazie all’automazione – all’eventuale carenza di risorse, e offrire la visione dello stato dell’incident e di cosa va fatto, oltre a permettere di capire il livello di cyber-resilienza e la postura aziendale sulla base di una serie di Kpi.
Solo poche aziende in Italia vantano un elevato livello di automatizzazione/orchestrazione per quanto riguarda la cybersecurity e questo impatta sull’effettiva possibilità di essere proattivi. In ogni caso, oggi c’è più consapevolezza su come la cybersecurity riguardi ogni verticale e qualsiasi tipologia di azienda (enterprise e Pmi), anche perché non si tratta di indirizzare solo le problematiche IT ma anche la componente OT (Operations Technology). Utilities e Telco cercano una maggiore visibilità per riuscire a proteggersi meglio e per questo chiedono di “fare un merge dei Soc IT con le informazioni OT – fino ad oggi relativamente trascurate – anche per semplificare i processi di risposta e migliorare proprio la visibilità”, spiega Allocca.
Cresce anche il coinvolgimento dei team deputati alla cybersecurity da parte dei board, proprio perché la corretta postura impatta sulla reale efficienza aziendale e sulla reputation. Questa attenzione si riflette sui budget (oggi per la sicurezza intorno al 20%) e ServiceNow, con l’offering per coprire anche l’ambito di security operations, “riesce a dare una mano alle aziende che sono ad un buon livello di maturità e aiuta a sopperire alla mancanza di risorse, proprio grazie ai processi di automazione applicati alle problematiche di sicurezza”. La proposizione, in ogni caso, può essere funzionale a qualsiasi dimensione di azienda: nel momento in cui un’azienda opera con una catena di produzione già minimamente automatizzata può così sfruttare l’ITSM di ServiceNow, mentre le aziende molto piccole possono invece affidarsi a fornitori di servizi attraverso cui è sempre disponibile la piattaforma.
“La piattaforma – spiega ancora Allocca – non vuole sostituire le appliance e le soluzioni di sicurezza disponibili presso il cliente, quanto piuttosto integrarle per metterle ulteriormente a valore. La piattaforma lavora invece a livello di orchestrazione e integrazione dei feed da diverse fonti per normalizzarli”. Così da disporre su un’unica consolle delle informazioni da Siem, scanner, ma comunque riconducibili ad uno specifico asset, per un enrichement dell’asset e con tutti i feed e le info possibili inerenti alla sicurezza dello stesso. L’asset, collegato ad un processo, consentirà un apprezzamento puntuale del rischio direttamente sul business, in modo da prioritizzare eventuali interventi, gestire le assegnazioni, interagire con l’infrastruttura. Allocca: “Per questo abbiamo predisposto anche uno store dove tutti i fornitori di terze parti pubblicano la loro integrazione con ServiceNow e per abilitarla è sufficiente una stringa in forma di Rest Api o una semplice coppia di User Name e Password”.
Con l’ultima release della Platform, San Diego, si è indirizzato in modo ancora più specifico il tema della perdita dei dati attraverso la disponibilità di un playbook per la gestione degli incident di sicurezza in relazione proprio al tema Data Loss Prevention (DLP), in modo trasversale, dai dispositivi al cloud.
Mentre in un primo momento i clienti che già conoscevano la piattaforma ServiceNow si informavano sulle potenzialità della piattaforma nell’ambito della cybersecurity, ora l’azienda viene riconosciuta per la sua proposizione di sicurezza proprio nell’ambiente cyber, e contattata dalle aziende per questo. Inoltre, come tutte le componenti della platform, anche la componente SecOps sfrutta interamente le potenzialità di Now Platform, anche per quanto riguarda le possibilità di customizzazione sulla base dello sviluppo low-code e no-code. Si pensi alle possibilità di personalizzazione delle dashboard, per esempio, così come all’integrazione di campi di indagini nuove, oltre la disponibilità dei playbook standard forniti e, soprattutto, alla possibilità di personalizzare in modo rigoroso gli accessi, attraverso una “segregation of duty”, possibile addirittura a livello di singolo campo.
Il miglioramento dei processi, l’automazione della threat intelligence, la piena visibilità su infrastrutture e processi sono i principali punti di forza riconosciuti all’offering ServiceNow di security operations insieme all’individuazione in modo granulare delle criticità fino alla prioritizzazione ed alla messa in opera degli interventi di remediation, in funzione dell’impatto sul business. Elementi fondamentali in un contesto come quello attuale in cui la sicurezza è, di fatto, questione di business.
Non perdere tutti gli approfondimenti della room Digital Workflow by ServiceNow
© RIPRODUZIONE RISERVATA
