Solo con un approccio organizzato e strutturato, a 360 gradi, le aziende possono pensare di sostenere le sfide legate alla sicurezza evidenziate nel Barometro Cybersecurity di NetConsulting cube. Allo stesso tempo la maggior parte delle realtà non dispone di competenze e risorse interne per sostenere end-to-end gli sforzi necessari a guadagnare la cyber-resilienza che rappresenta la chiave “tattica” per fare bene e fatica anche solo ad orientarsi. Ne parliamo con Dolman Aradori, Vice President, Head of Cybersecurity NTT DATA Italy, che evidenzia l’approccio di NTT DATA che si modella attorno alle esigenze nel tempo dei clienti.
Il Barometro Cybersecurity mette in evidenza come la cyber resiliency sia sempre più parte integrante dei piani industriali delle aziende. I nuovi modelli operativi e di business e l’utilizzo delle tecnologie nemmeno più tanto “di frontiera” come IoT, AI, blockchain ed ovviamente il cloud, hanno esteso il campo della sfida cybersec. Si parla per questo di cyber-resiliency. Qual è la prospettiva di NTT DATA?
E’ riconosciuto ormai da tempo come l’approccio alla cybersecurity non possa essere solo un problema di tecnologia. La cyber-resiliency, che come sottolineato è ormai costantemente tra le priorità delle agende dei CxO di ogni azienda, non può essere raggiunta se non attraverso un approccio strutturato che prenda in esame molteplici aspetti tra loro correlati. NTT DATA è una realtà che lavora in questo settore da più di vent’anni e il principale valore riconosciuto dai propri clienti risiede nella comprovata capacità di offrire un reale approccio end to end alla tematica. Abbiamo quindi provato a riassumere la nostra pluriennale esperienza in questo campo nella definizione di un’”agenda per la cyber-security” che cerca di guidare l’interlocutore nel disegno di un programma che ogni anno deve essere aggiornato e riallineato alle possibili nuove esigenze.
Questa agenda non è qualcosa di rigido che propone gli stessi passaggi sequenziali da seguire per ogni cliente ma è un approccio disegnato attorno al cliente stesso, tenendo conto di dove esso si trova in un determinato momento e quali sono le sue reali esigenze. Metaforicamente, consideriamo il business del cliente come una città e ci proponiamo come il partner che può aiutare il cliente nella progettazione dell’”infrastruttura” di cybersecurity che gli permetta di raggiungere ogni angolo della città stessa in tempo e in linea con i propri piani aziendali.
Questa agenda è pensata per identificare le azioni da mettere in campo per proteggere ogni area dell’ecosistema aziendale, considerando anche gli aspetti riguardanti la sostenibilità.
Nella fase di analisi il cliente lavora all’individuazione del proprio punto di partenza, valorizzando quanto già fatto, definendo la postura di rischio desiderata e capendo come far fronte a nuove necessità che possano derivare dall’introduzione di nuovi servizi o soluzioni.
La fase di preparazione è più legata all’implementazione di soluzioni non solo di natura tecnologica ma anche di tipo procedurale o rivolte alla realizzazione di programmi per la sensibilizzazione alla sicurezza informatica.
Nella fase dell’operatività è necessario lavorare per mettere in campo una sorta di “contromisura reattiva” in grado di proteggere dall’ignoto ma anche organizzarsi per effettuare efficacemente tutte le operazioni necessarie a “mantenere in salute” l’infrastruttura di sicurezza.
La capacità di influenzare è la fase focalizzata su ciò che un’azienda deve fare per spingere tutti i partner ad adottare un approccio strutturato alla sicurezza informatica in modo da garantire che la sicurezza dell’intera catena non venga inficiata dalla carenza di uno dei suoi anelli.
Un’altra area importante è quella dell’analisi previsionale, sottolineando l’importanza di avere la capacità di guardare al di là del proprio contesto, così da imparare da quanto può essere successo in altri Paesi, o settori, o infrastrutture tecnologiche, ecc., in modo da essere sempre opportunamente preparati al nuovo e garantire la necessaria velocità nella riduzione della finestra di esposizione alle nuove vulnerabilità o minacce.
In conclusione, l’area della sostenibilità è finalizzata all’individuazione di iniziative che possano dare ai clienti la possibilità di valutare costantemente la loro reale capacità nel fare ciò che è realmente necessario e nella ricerca di soluzioni e modelli operativi che aiutino a rendere sempre più efficienti le modalità con cui i processi di security vengono svolti.
Come detto questa agenda definisce un approccio che possiamo opportunamente rivedere ogni anno perché nel tempo possono sorgere nuove esigenze dall’azienda, che richiedono di rinnovare o aggiungere qualcosa in ognuna delle sei direttrici che proponiamo.
L’evoluzione verso il cloud con l’ampliamento del perimetro impone una crescente attenzione su protezione di dati, identità, infrastrutture e risorse. Tre asset critici al centro delle strategie di protezione zero trust. Quali sono le tecnologie e i modelli operativi abilitanti?
L’approccio zero-trust, che fondamentalmente si basa sull’idea secondo cui le organizzazioni non devono fidarsi di nessuna entità all’interno o all’esterno del proprio perimetro, richiede che vengano messi in campo approcci e relative soluzioni che garantiscano che nulla venga dato per scontato, che in ogni momento venga consentito il minimo privilegio necessario e che vengano effettuati controlli nell’ipotesi di aver subito una violazione alle proprie infrastrutture.
Dal punto di vista operativo, questo significa garantire una maggiore sicurezza di asset critici come dati, identità, infrastrutture e risorse identificando soluzioni che consentano di migliorare la propria capacità di agire lungo le tre seguenti direttrici: visibilità, rilevazione di nuove minacce e realizzazione di azioni di contenimento automatiche.
Visibilità significa da una parte avere piena conoscenza di quali sono gli asset che devono essere protetti e dall’altra di avere una misura del livello di conformità che tali asset devono avere in relazione all’implementazione delle necessarie misure di protezione. In questo senso, soluzioni che rientrano nelle famiglie di External Attack Surface Management e Cyber Asset Attack Surface Management possono aiutare ad incrementare la propria visibilità attraverso la rilevazione automatica di dispositivi associati a nuovi perimetri come sistemi IoT ed OT, infrastrutture cloud e accessi remoti.
La rilevazione di nuove minacce richiede la capacità di monitorare tutti i possibili parametri che consentano in tempi brevi di rilevare eventuali anomalie che possano ricondurre ad un tentativo di attacco informatico. Da questo punto di vista, a fianco di soluzioni oggi consolidate come EDR (Endpoint Detection & Response) ed NDR (Network Detection & Response), che consentono di monitorare ciò che accade a livello di dispositivi ed infrastrutture di rete, è importante valutare l’introduzione di soluzioni di ITDR (Identity Threat Detection & Response) dato che la sicurezza dei sistemi di protezione delle identità diventa un elemento chiave in quanto sempre più spesso l’obiettivo primario di un attacco informatico è di ottenere il controllo delle utenze privilegiate. Un altro valido aiuto può essere ottenuto mediante l’implementazione di soluzioni di Breach and Attack Simulation per verificare, mediante la simulazione di un attacco, il grado di esposizione delle proprie infrastrutture in un determinato momento.
Lavorare sull’incremento della propria capacità di implementare azioni di contenimento automatiche consente di ridurre i tempi di reazione nella gestione di problematiche più semplici ed ottimizzare la propria capacità operativa, riducendo il carico di lavoro delle strutture adibite alla gestione degli incidenti informatici. In questo senso, l’implementazione di soluzioni quali i SOAR (Security Orchestration, Automation and Response) forniscono un valido supporto per la gestione degli scenari e dei flussi di lavoro, l’automazione delle attività e consentono di avere un sistema centralizzato di accesso, interrogazione e condivisione dei dati di intelligence su minacce e casi gestiti.
Per garantire un totale approccio zero-trust, anche le soluzioni di controllo degli accessi ad infrastrutture e dati svolgono un ruolo critico, evolvendo verso l’implementazione di meccanismi di valutazione real-time delle richieste basate sull’implementazione di politiche “intelligenti” che tengano in considerazione un contenuto informativo maggiore del richiedente, come la tipologia di dati che devono essere accedute, i dispositivi in uso, la provenienza geografica, ecc., così da avere in ogni momento una chiara valutazione dei rischio associato alla richiesta di accesso ricevuta e garantendone una gestione diversa in funzione di tale misura.
Si parla dell’integrazione della sicurezza nelle strategie di business, anche in relazione alla complessità crescente data dalla continua evoluzione delle normative. E “tutta” l’azienda oggi deve essere responsabilizzata sulla cybersecurity, non solo i dipartimenti IT. In che modo è possibile farlo, qual è l’aiuto che NTT DATA può offrire?
Da anni come NTT DATA supportiamo le aziende nell’implementazione di approcci che tendano a garantire una “sicurezza nativa”, riconoscendo come l’attenzione alla sicurezza informatica sia da un lato più economica se indirizzata sin dall’inizio ma anche come questo approccio aiuti a capire quali possano essere i risvolti anche dal punto di vista normativo e legale da tenere in considerazione nel momento di ideare un nuovo servizio o di implementare una nuova soluzione. Questo significa lavorare alla ridefinizione di processi operativi interni che prevedano contributi di cybersecurity in ogni fase del ciclo di vita delle soluzioni Ict e consentono di analizzare e monitorare in ogni momento i livelli di rischio alle quali l’azienda è sottoposta. Ed ancora di più oggi questo tipo di approccio è fondamentale per indirizzare nuove esigenze che nascono dall’estensione del perimetro degli attori coinvolti in questo ciclo di vita, come le terze parti che possono influenzare in modo significativo il livello di sicurezza dell’intera catena. Il lavoro in questo ambito coinvolge nuove funzioni come l’ufficio acquisti di un’azienda che supportiamo nella revisione di accordi tra le parti che richiedono la esplicita conformità a requisiti minimi di sicurezza e nell’implementazione di meccanismi per la valutazione del livello di rischio dei fornitori. Oltre a ciò, supportiamo le funzioni IT nella predisposizione della reportistica necessaria a comunicare al top management lo stato di necessità e i risultati nella gestione della sicurezza informatica, proponendo approcci quantitativi nella valutazione del rischio informatico, che consentano un maggior controllo della spesa e del ritorno degli investimenti effettuati.
Un altro aspetto di fondamentale importanza è rappresentato dal supporto che come NTT DATA siamo in grado di fornire nella predisposizione di programmi di awareness interni volti ad incrementare il livello di sensibilizzazione verso la tematica da parte di tutti i dipendenti dell’azienda. A fianco di soluzioni tradizionali più divulgative, proponiamo l’implementazione di soluzioni di gamefication e situational awareness che favoriscono un maggior coinvolgimento dell’utente finale ed una maggiore efficacia dell’azione di formazione. Dato il sempre crescente numero di aziende colpite da attacchi informatici, offriamo ai clienti soluzioni di Crisis Management Simulation al fine di analizzare il grado di preparazione dell’azienda nella gestione di un possibile incidente, valutare l’efficacia nella implementazione delle procedure operative interne previste per il contenimento e preparare le gestione dei processi di escalation e di comunicazione verso l’esterno di quanto sta accadendo, collaborando quindi con il top management dell’azienda e le funzioni di public relation, così da garantire il completo coinvolgimento dell’azienda ed portare l’attenzione alla cybersecurity al giusto livello.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2022
© RIPRODUZIONE RISERVATA