Replay – Cyber sicurezza oltre il perimetro aziendale, dalla gestione degli accessi alla protezione degli endpoint
Il 26 maggio si è tenuta la tavola rotonda dal titolo “Cyber sicurezza oltre il perimetro aziendale, dalla gestione degli accessi alla protezione degli endpoint” durante la Cyber Security Virtual Conference 2021.
- Moderatore: Antonio Sagliocca, Cyber Security Specialist certificato “Ethical Hacker Master” e “Penetration Tester Professional”, DASTech
- Vincenzo Calabrò, Referente Informatico e Funzionario alla Sicurezza CIS, Ministero dell’Interno
- Lisa Da Re, IT Risk & Business Continuity Specialist in BNP Paribas
- Luca Manidi, Channel Account Manager Italy – WatchGuard Technologies
Antonio Sagliocca, Cyber Security Specialist certificato “Ethical Hacker Master” e “Penetration Tester Professional”, DASTech
“Alcuni trend sulla cyber security che esistono da anni sono indipendenti dalla pandemia, e non è un caso se il 12 maggio il presidente degli USA Biden ha firmato un ordine esecutivo sulla cyber sicurezza, e nemmeno se la Polizia Postale, come evidenziato nell’abstract, ha riportato un aumento del 246% degli attacchi informatici avvenuti durante il periodo del Covid. O ancora, il Ministro degli Interni Lamorgese pochi giorni fa ha gridato all’allarme cyber sicurezza ad un incontro promosso proprio sul tema della sicurezza informatica dal parlamento europeo. Del resto clamorosi sono gli incidenti di SolarWings, di Microsoft Exchange, o il recentissimo oleodotto Colonial Parkway Line, che dopo essere stato bloccato per diversi giorni provocando un aumento dei prezzi del petrolio, sembra abbia pagato un riscatto di 5 milioni di euro per poter riprendere le attività. Gli stessi criminali hanno poi colpito la Toshiba mentre altri attaccavano il servizio sanitario irlandese, che è stato costretto a disattivare il sistema informativo delle prenotazioni.”
Vincenzo Calabrò, Referente Informatico e Funzionario alla Sicurezza CIS, Ministero dell’Interno
“Il modello di sicurezza basato sulla metodologia Zero Trust è quello che più si adatta ai nuovi modelli organizzativi che richiedono dinamicità e mobilità.
Il modello si basa su un concetto semplice: tutti gli utenti, interni ed esterni, per poter accedere alle risorse aziendale devono essere continuamente autenticati, autorizzati e convalidati. In altre parole, scompare il modello basato sulla fiducia. Il modello Zero Trust non è nuovo, ma è diventato di uso comune perché è quello che più si adatta alle situazioni di lavoro che abbiamo conosciuto durante il lockdown. In quel contesto non è possibile delineare il perimetro aziendale, perché non si sa dove sono collegati gli utenti, cosa utilizzano per connettersi e quale dispositivo utilizzano. La soluzione Zero Trust, basata sulla sfiducia, rappresenta la soluzione più semplice, e in realtà medio-grandi anche più economica, per risolvere queste criticità.
L’attuazione del modello Zero Trust richiede l’utilizzo combinato di più tecnologie avanzate come: l’autenticazione a più fattori, l’identità e la gestione degli accessi (IAM), la protezione dell’identità e gli strumenti di sicurezza degli endpoint di nuova generazione, al fine di verificare e validare l’identità dell’utente e garantire la sicurezza degli asset digitali.
Trovandoci in ambienti aperti, quindi non avendo la possibilità di monitorare tutte le connessioni e tutte le operazioni, ogni transazione deve essere costantemente re-autenticata per validare i privilegi e le autorizzazioni concesse all’utente. Lo Zero Trust esteso richiede anche l’utilizzo della crittografia dei dati, la protezione della posta elettronica e la verifica degli endpoint prima che si connettano alle applicazioni aziendali.”
Lisa Da Re, IT Risk & Business Continuity Specialist in BNP Paribas
“Spesso si pensa che la sicurezza sia una responsabilità dei soli dipartimenti IT, ma in realtà non c’è nulla di più sbagliato. La sicurezza oggi è responsabilità dell’intera organizzazione, compresi i dipendenti e collaboratori esterni. Con lo smart-working aumentano sicuramente i rischi e gli attacchi perciò le aziende devono definire sempre maggiori strategie ed investimenti di awareness, di formazione. Gli strumenti a disposizione delle aziende sono diversi: dal classico corso di formazione, che oggi è disponibile soltanto on-line a causa della pandemia, a proposte più innovative. Mi viene in mente la gamification, in cui i dipendenti sono suddivisi in squadre che si sfidano sotto forma di gioco in un ambiente informale che favorisce il team building. Una formula molto usata negli ultimi anni è l’Escape Room. Un’altra iniziativa che è semplice ma molto efficace e che è mirata in particolare a fronteggiare il rischio di attacchi phishing – prima menzionati da Vincenzo – è la definizione di campagna di ethical fishing, in cui l’azienda invia ai propri collaboratori finte mail di phishing e se un collaboratore clicca sul finto link malevolo o apre l’allegato malevolo compare un messaggio che segnala l’esercitazione e vengono condivise una serie di pillole formative. Lo scopo ovviamente è che il collaboratore possa attraverso le pillole formative non ripetere lo stesso comportamento in futuro. La parola chiave è prevenire. Nello sport si dice che la difesa sia il miglior attacco, nel nostro caso è la prevenzione.
Quando si parla prevenire ciò significa anche investire, non soltanto in formazione e in awareness, ma a 360° nella security. Gli investimenti devono essere annuali e non, come spesso succede nelle aziende, solo a seguito di una crisi, di un attacco di sicurezza. In futuro le aziende dovranno destinare sempre più budget alla sicurezza sia perché è un modo per diminuire il rischio di attacchi ma anche, come anticipato prima, perché la sicurezza avrà un ruolo sempre maggiore nel business e nel vantaggio competitivo.”
Luca Manidi, Channel Account Manager Italy – WatchGuard Technologies
“La gestione da parte degli MSSP è per noi molto importante, soprattutto in Italia. Per Watchguard gli MSSP sono così importanti da strutturare un programma apposito per questi professionisti del settore. Sono così importanti a mio parere perché il 95% delle imprese in Italia è sotto i 30 dipendenti e un fenomeno comune in questo tipo di piccole o piccolissime aziende è che non ci siano delle persone skillate, con il necessario know-how. Ciò è comprensibile: non ci si può aspettare che un IT manager si occupi dalla digitalizzazione alla sicurezza passando dal networking arrivando a tutti gli altri aspetti che esistono nelle aziende. Abbiamo un ampissimo tessuto di aziende che normalmente non hanno un budget per la sicurezza informatica, anzi lo ritengono un costo, una spesa inutile. È un pò come dire: “Ho un dolore, vado su Google o vado dal dottore?”. Vado dal dottore ovviamente, e anche dopo aver fatto una radiografia non la interpreto io, ma vado da uno specialista. Allo stesso modo penso che la sicurezza sia uno di quei fattori importantissimi. Il fatto che ci sia un monitoring costante è ancora più importante, perciò questo deve essere fatto da chi è in grado di capire che cosa sta accadendo per poter prendere delle azioni veloci. Quindi ben vengano gli MSSP nella gestione dei nostri utenti finali.”