Sicurezza informatica: cosa devono sapere i leader

La necessità di sicurezza informatica è esplosa negli ultimi anni, poiché l'improvvisa e diffusa adozione della cultura del lavoro da casa ha costretto le aziende di tutto il mondo a rivedere i propri sistemi, standard e strategie di sicurezza informatica per il futuro.

Ecco perché BrainStation ha riunito quattro esperti del settore che guidano la strategia di sicurezza informatica presso il colosso dei servizi finanziari Mastercard , la società di investimento Blackstone , il sito di networking professionale LinkedIn e lo sviluppatore di software Citrix per una discussione su ciò che i leader devono sapere sulla sicurezza informatica nell'ambito della serie di eventi sulla leadership digitale di BrainStation.

Puoi guardare la tavola rotonda completa qui:

Che cos'è la sicurezza informatica?

Prima di esplorare i modi in cui il panorama della sicurezza informatica sta cambiando, ai nostri relatori è stato chiesto di esprimere le loro idee su cosa comporta la sicurezza informatica.

Eugene Dvorochkin, membro senior del team di sicurezza delle informazioni di LinkedIn, riassume la sicurezza informatica come "l'utilizzo di tecnologia, processi e controlli per proteggere sistemi, rete e dati. Alla fine, tutto torna ai dati... Tutto quello che stiamo cercando di fare è proteggere quei dati, proteggerne l'integrità e assicurarci che [non ci sia] un uso non autorizzato".

Come spiega Kurt Roemer, Chief Security Strategist di Citrix, l'attenzione tradizionale della sicurezza informatica sul mantenimento della riservatezza, integrità e disponibilità dei dati dovrebbe espandersi per includere un quarto fattore: la sicurezza. "Mentre adottiamo l'IoT e altre applicazioni di intelligenza artificiale e [applicazioni di realtà aumentata], si sta integrando con il nostro mondo fisico in un modo in cui la sicurezza diventa di fondamentale importanza".

Puneet Bhatnagar, Senior Vice President / IAM Lead – Cybersecurity at Blackstone, adotta un approccio più filosofico: “Mi pongo la domanda fondamentale: 'Come posso contribuire a creare fiducia nella progettazione dei sistemi? Mi sento a mio agio nel sottoscrivere un'applicazione quando offro i miei dati personali? Mi fido del marchio a cui sto offrendo tali informazioni?' È importante che le aziende considerino la sicurezza informatica come tutto ciò che devono fare per creare fiducia all'interno delle loro applicazioni e dell'ecosistema".

Sukhmani Dev, Vice President of Digital & Security Solutions presso Mastercard, concorda. "Vogliamo assicurarci che la fiducia si rifletta in ogni singola transazione".

Il raggiungimento dell'obiettivo finale è un processo dinamico quanto la tecnologia stessa. Di seguito sono riportate solo alcune delle tendenze più ampie identificate dai nostri relatori.

La sicurezza informatica è più importante che mai

Il COVID-19 e la conseguente esplosione della cultura del lavoro da casa hanno compresso un'evoluzione che avrebbe dovuto richiedere un decennio in pochi mesi. Tale accelerazione significa più attività online, più nuovi utenti e più complessità nei singoli sistemi su cui fanno affidamento gli utenti, il che rappresenta un'opportunità per i cattivi attori. Il risultato è un bisogno improvviso e acuto di maggiore sicurezza digitale.

Gran parte di questa necessità si riduce a un semplice volume; durante il blocco, più persone hanno lavorato e fatto acquisti dai dispositivi nelle loro case. Dvorochkin spiega: "Quando utilizzi la tua rete domestica, stai potenzialmente utilizzando dispositivi personali come il tuo personal computer o iPhone per accedere agli ambienti e ai dati aziendali e dipendi anche maggiormente da sistemi di terze parti come Zoom o altri modalità di comunicazione. Stai entrando in ambienti più difficili da proteggere".

Per molte grandi aziende internazionali, accomodare il lavoro a distanza era relativamente semplice. Ma per molte piccole attività fisiche, ciò significava una prima incursione nel mondo digitale, e queste sono particolarmente vulnerabili agli hacker. "[È un'idea sbagliata] che solo le grandi aziende famose siano l'obiettivo degli attacchi", continua Dvorochkin. “Gli hacker sono diventati più avanzati, ma anche gli strumenti e le tecniche che utilizzano sono praticamente diventati pubblici. Chiunque può andare online e iniziare a hackerare qualsiasi azienda. Non sono solo le grandi e famose aziende a essere prese di mira da hacker sofisticati, ma può essere letteralmente qualsiasi negozio di mamma e papà".

Dev identifica la crescente complessità dei sistemi come un altro vettore. "Tutto è più interconnesso che mai", dice. “Se pensi a una banca, potrebbero avere i loro fornitori, ma poi i loro fornitori hanno fornitori, e queste sono enormi catene di approvvigionamento. I punti di connessione sono cresciuti in modo esponenziale negli ultimi anni”.

Ciò significa più collegamenti deboli da sfruttare per gli hacker e gli hacker se ne sono accorti.

Passare dai sistemi agli utenti

La crescita in scala e complessità significa anche che i team di sicurezza informatica stanno combattendo su più fronti che mai. Questo a sua volta sta portando a un cambiamento nel modo in cui gli esperti di sicurezza informatica concepiscono il loro compito. Se l'obiettivo è proteggere i dati all'interno di una fortezza digitale, il compito della sicurezza informatica è proteggere il perimetro, ma il perimetro e le modalità di attacco sono in continua evoluzione. Bloccare i dati non è la risposta: non ha senso avere un sistema se nessuno può accedervi. Invece, la priorità si sposta, in primo luogo, sulla conferma delle identità delle persone che vi accedono e, in secondo luogo, sulla concessione dell'accesso solo ai dati di cui hanno bisogno, piuttosto che all'intero sistema.

"Prima avresti potuto avere certe cose che potevano essere considerate sicure solo quando erano nelle quattro mura", dice Roemer. "E se lo voltassi e dicessi: 'Come li proteggiamo quando è fuori dalle quattro mura, nel cloud?' Quando guardi al modello di lavoro ibrido, hai persone che lavorano in situazioni diverse potenzialmente ogni settimana: in ufficio, a casa, forse di nuovo in un bar, magari in viaggio. Come ci si assicura di avere il giusto ambiente di sicurezza disponibile per queste persone?"

Per Bhatnagar, questo significa "l'unico vero perimetro che puoi veramente proteggere è il tuo perimetro di identità". Questo in genere richiede un'autenticazione a più fattori, che aiuta a verificare che le persone siano chi dicono di essere ("Ci sono alcune statistiche pazze là fuori", dice Bhatnagar, "come, oltre il 90% delle violazioni è originato da una sorta di compromissione della posta elettronica" ).

Di conseguenza, “Non basta avere un buon perimetro di rete o avere un buon set di firewall. Devi spostare il tuo pensiero dall'essere incentrato sui sistemi o sulla rete all'essere incentrato sull'identità o sull'utente. È allora che abbiamo iniziato a pensare a questi nuovi paradigmi di zero trust. Con il tipo di volume di informazioni a cui le persone accedono costantemente, giocherai sempre al recupero se stai solo cercando di patchare il sistema o proteggere la rete".

Spostare l'attenzione sull'identità dell'utente aiuta a eliminare l'accesso agli hacker esterni, ma aiuta anche a contenere i rischi dall'interno limitando anche l'accesso degli utenti legittimi ai dati di cui hanno bisogno. Questo, ovviamente, dipende dalla capacità di analizzare i dati a tua disposizione. Dvorochkin spiega: "In passato, le aziende privilegiavano eccessivamente le persone e potevano accedere a tutto carta bianca , il che ovviamente porta a molti più rischi. [Devi essere] molto specifico su tutti i dati che hai. Non sai cosa non sai, quindi una buona etichettatura di identificazione è molto importante: per sapere esattamente dove si trovano i tuoi dati, quanti ce ne sono e le transazioni che hai con essi, specialmente con fornitori di terze parti . Perché, ancora una volta, stiamo diventando sempre più dipendenti dalle applicazioni di terze parti e ovviamente non hanno lo stesso livello di fiducia dei nostri dipendenti interni. Tutto torna all'identificazione, all'avere un buon inventario delle risorse e alla possibilità di limitarlo".

Cultura e istruzione sono fondamentali

Non puoi implementare alcun tipo di strategia di sicurezza informatica a meno che i tuoi compagni di squadra non siano a bordo. E gli esseri umani sono sempre l'anello più debole nella catena della sicurezza informatica: la maggior parte degli hacker non avviene scrivendo codice ma fingendosi un'autorità e inducendo qualcuno a rinunciare a una password. La soluzione qui è tanto sociale quanto tecnologica.

"La sicurezza informatica non è responsabilità di una sola persona o di una squadra", afferma Bhatnagar. “Ognuno deve rimboccarsi le maniche e possederlo. Poniamo molta enfasi sulla formazione per la consapevolezza degli utenti finali, aiutandoli a identificare le e-mail di phishing, facendo simulazioni di phishing e avanzando in modo incrementale la complessità di queste simulazioni, solo per educare costantemente il nostro personale".

Ciò può ridurre direttamente le singole istanze di violazione dei dati, ma aiuta anche a coltivare una cultura a livello aziendale che valorizza la sicurezza informatica. “Una volta che l'hai messo in evidenza, è un linguaggio che tutti capiscono: non sono solo i tuoi professionisti della sicurezza informatica che devono essere super tecnici, ma che c'è un quadro generale che altri leader aziendali possono capire. Puoi usarlo per aumentare la consapevolezza e per ottenere il budget, i finanziamenti e le risorse di cui hai bisogno per continuare a fare miglioramenti strategici".

Dev asseconda l'importanza della cultura aziendale. “E insieme alla cultura,” dice, “direi anche formazione... È un modo molto diverso di pensare e operare, rispetto ai sistemi legacy. Il resto della tecnologia, del design e così via andrà a posto se hai l'atteggiamento giusto nei confronti della cultura".

Per Roemer, questo inizia dall'alto. “La sicurezza è una responsabilità condivisa e tutti dobbiamo essere professionisti della sicurezza. La leadership deve rivolgersi alle risorse umane e far loro sapere che le capacità di sicurezza sono necessarie in tutta l'organizzazione e parlare di come possono fornire opportunità di riqualificazione e avanzamento per coloro che ritengono che la sicurezza sia una carriera avvincente ed essere in grado di attirare quelle persone, non solo dall'organizzazione IT ma dall'altra parte dell'organizzazione, come ha senso, quindi contatta il resto dell'organizzazione [e comunica che] abbiamo un disperato bisogno di ulteriori professionisti della sicurezza e tutti dobbiamo essere considerati professionisti".

Passaggio dalle tattiche alle piattaforme

In qualche modo paradossalmente, dato lo spostamento dell'attenzione dalla sicurezza totale del sistema al perimetro dell'identità dell'utente, stiamo anche assistendo a un passaggio dalle tattiche alle piattaforme, ovvero all'organizzazione degli sforzi di sicurezza informatica in una strategia olistica, piuttosto che in una serie di cerotti.

Roemer spiega: “Il motivo è che è diventato molto difficile gestire [una raccolta di] prodotti puntuali. Non si integrano bene e non abbiamo le risorse per utilizzarli per la loro efficacia. Quindi, più possiamo costruire e consolidare in una piattaforma, più possiamo amplificare le capacità di sicurezza".

Dvorochkin aggiunge che questo significa coordinare non solo le tattiche ma anche intere squadre. “Spesso, i domini o le funzioni della tecnologia sono isolati. Ovviamente stiamo tutti cercando di raggiungere lo stesso obiettivo, ovvero il successo dell'azienda".

Per Bhatnagar, un approccio più strategico include un centro operativo di sicurezza ben attrezzato e finanziato. Sebbene sia sempre positivo essere proattivi, ciò non significa che una violazione alla fine non si verificherà e, quando accadrà, è fondamentale che un'organizzazione sia pronta a entrare in azione. "Ci sono sempre cose che verranno fuori dal campo sinistro, perché gli hacker continuano a diventare più avanzati e le loro tecniche continuano a diventare più persistenti".

La sicurezza informatica è sempre dinamica

Dvorochkin fa eco al sentimento di Bhatnagar: la reattività è fondamentale. La strategia di sicurezza informatica deve essere dinamica per contrastare gli attacchi sia in modo proattivo che reattivo. Sul lato reattivo, dice: “Non è una questione di se , è una questione di quando verrai violato; è quasi impossibile essere completamente protetti su base continuativa. Qualcosa alla fine passerà. Proteggere il perimetro è importante, avere buoni controlli investigativi è importante, ma devi anche avere una buona risposta, una buona valutazione ed essere in grado di metterti alla prova".

Dal lato proattivo, questo significa valutare costantemente la tua strategia; non puoi semplicemente impostarlo e dimenticarlo. "[C'è] un malinteso sul fatto che, 'Ok, beh, abbiamo investito in tecnologia, abbiamo fatto questa configurazione una tantum, abbiamo un programma di sicurezza informatica, siamo a posto", continua Dvorochkin. “Una configurazione una tantum per l'implementazione di alcuni strumenti: non ti proteggerà. La tecnologia cambia quasi quotidianamente a causa del rapporto sinergico tra tecnologia e cyber, e la sicurezza informatica sta cambiando altrettanto velocemente. Quindi devi essere dinamico, devi essere sempre aggiornato e devi avere un buon investimento dalla tua azienda, perché la sicurezza informatica non è economica".

"Considera il tuo portafoglio di tecnologie dell'informazione un insieme di investimenti", aggiunge Roemer. “Come per i tuoi investimenti personali, passa di tanto in tanto e rivaluta ciò che funziona bene, cosa non funziona e dove devi scaricare i cani e passare a qualcosa che ti darà un ritorno migliore. La sicurezza è proprio così. Abbiamo bisogno di agilità e se consideri il tuo portafoglio di tecnologie dell'informazione non come un insieme di decisioni irrecuperabili ma come un insieme di investimenti che vengono costantemente valutati, puoi aiutare ad andare avanti e soddisfare le esigenze di sicurezza di oggi e di domani".

( Questo articolo è stato aggiornato l'ultima volta a gennaio 2022. )