Perché serve un approccio olistico alla cybersecurity in tempi di smart working

Il ricorso al telelavoro continua, imponendo scelte più ragionate in materia di sicurezza informatica. Ne parliamo con Pietro Marrazzo, Country Manager per l’Italia di Insight

Autore: Redazione ImpresaCity

Non sono poche le indagini, anche autorevoli, che indicano come il telelavoro, al quale moltissime aziende hanno fatto ricorso durante l’emergenza Covid-19, è ormai diventato la nuova normalità. Un dato riportato di recente è che  più della metà di chi attualmente lavora da remoto preferirà continuare a lavorare in smart working anche nel prossimo futuro. Ma la massiccia e repentina transizione verso modalità di lavoro prevalentemente a distanza ha fornito nuovi obiettivi agli hacker e ha delineato un nuovo panorama dei rischi per le aziende.

Quali sono quindi le implicazioni sulla sicurezza di questa nuova normalità che pare destinata a rimanere con noi per molto tempo ancora? Ne abbiamo parlato con Pietro Marrazzo, Country Manager per l’Italia di Insight, noto system integrator che punta da sempre sulle capacità consulenziali.  

Inquadrare il contesto

Come noto, durante l’emergenza sanitaria per molte aziende il lavoro agile è diventato uno strumento essenziale per assicurare la continuità operativa. Ma, sfortunatamente, è un dato di fatto che ovunque le aziende si spostino le minacce informatiche le seguiranno”, esordisce Pietro Marrazzo, sottolineando che “la repentina transizione verso modalità di lavoro prevalentemente a distanza ha fornito nuovi obiettivi agli hacker e ha delineato un nuovo panorama di rischi per la maggior parte delle aziende. Il rafforzamento delle procedure di sicurezza finalizzate a mitigare queste minacce richiederà un approccio olistico alla cybersecurity all'interno delle tre aree chiave della tecnologia, dei processi e delle persone”.
pietro marrazzo gennaio 2020Pietro Marrazzo, Country Manager per l'Italia di Insight
Va poi evidenziato che l’attuale contesto rappresenta un terreno fertile per gli aggressori informatici, in quanto “i tradizionali punti di accesso ai sistemi aziendali, che in precedenza erano ben protetti, si sono evoluti quasi da un giorno all'altro”, prosegue Marrazzo, facendo notare che “a questo elemento favorevole agli attacchi informatici si è anche aggiunta l’opportunità per gli hacker di sfruttare i timori dell’opinione pubblica e la necessità degli utenti di cercare una quantità sempre maggiore di informazioni”.

Non solo: “da un lato, molte aziende hanno anche dovuto adottare nuovi prodotti e servizi senza il tempo di testare appieno le proprie capacità e i propri limiti o di adottare best practice, e questo comportamento potrebbe lasciare scoperti una serie di punti deboli e non consentire di rilevare potenziali pericoli, e dall'altro lato, i dipendenti che lavorano da casa stanno ora operando come prima linea di sicurezza dell'organizzazione, in un contesto nel quale lo stress della situazione li rendono potenziali vittime di operazioni di phishing, intercettazione di dispositivi mobili e altre forme di social engineering”, spiega Marrazzo.

Il problema diventa maggiore se si pensa che la transizione al lavoro a distanza e la necessità di condividere i dati online determina anche un potenziale indebolimento o in alcuni casi anche una totale compromissione delle configurazioni di sicurezza ritenute tradizionalmente affidabili: in sintesi, prosegue Marrazzo, “oggi chi porta avanti l’attacco ha un potere sempre maggiore, e spesso non esiste più quello che nel mondo anglosassone viene indicato come un ‘silver bullet’, ovvero la risposta unica che protegga l'azienda da tutte le minacce. La sicurezza richiede oggi un approccio dall'alto verso il basso, che coinvolga l'intera organizzazione”.  
telelavoro 1

Oltre la tecnologia

Per la maggior parte delle aziende, selezionare e implementare tecnologie e controlli di sicurezza rappresenta un’assoluta priorità, “tuttavia, un investimento in tecnologia significa anche investire nelle policy, nei processi e nelle competenze necessarie per rafforzare le procedure di sicurezza”, avverte Marrazzo, spiegando che “per esempio, i cruscotti delle soluzioni di Security Incident e Event Management (SIEM) identificano e interrogano le potenziali minacce attraverso fonti esterne e nell’intera organizzazione, in modo che i team di sicurezza possano contenere e mitigare le minacce o le azioni già in corso con interventi tempestivi. Però, senza l’attivazione di processi finalizzati a identificare gli scenari perseguibili e valutare quali azioni intraprendere, e senza il supporto di analisti esperti, i team di sicurezza non riusciranno a individuare le potenziali minacce o si troveranno sopraffatti dagli alert”.

C’è anche da dire che l'implementazione di tecnologie di sicurezza richiede comunque tempo, anche in una situazione in cui le aziende sono sottoposte a una forte pressione per agire rapidamente. Gli errori più comuni sono molteplici, fa notare Marrazzo; “per esempio, abbiamo visto alcune aziende implementare firewall virtuali per facilitare l'accesso remoto sicuro e indirizzare una nuova ondata di traffico di comunicazione legata allo smart working, ma la pressione a concentrarsi sulle esigenze immediate di continuità del business impedisce che le soluzioni di sicurezza esistenti affrontino il profilo operativo della nuova infrastruttura o che siano configurate e applicate correttamente. Allo stesso modo, l'implementazione di una tecnologia senza averne prima valutato e testato le conseguenze sull’intera infrastruttura IT può portare a un indebolimento complessivo delle procedure di sicurezza”.

Gli esempi non mancano: “l'implementazione di soluzioni SIEM per migliorare le procedure di sicurezza ha perfettamente senso”, sottolinea Marrazzo, spiegando però che “questo deve essere bilanciato con l’esigenza di dotarsi di managed services che garantiscano che queste soluzioni forniscano valore senza la necessità di investimenti significativi in termini di risorse. Senza selezionare gli strumenti e i servizi di supporto corretti, aziende inesperte potrebbero essere soggette a grandi fluttuazioni del loro budget per mantenere la sicurezza all'interno di uno scenario critico. Questo, a sua volta, può portare a un'incapacità di aumentare le risorse per gestire il cosiddetto ‘alert fatigue’ e a una riduzione complessiva delle prestazioni degli investimenti in sicurezza, dato che le opzioni di riduzione del budget si concentrano sulla quantità di dati analizzati. In definitiva, tutto questo si ripercuote negativamente sui livelli di sicurezza”. 
telelavoro 2

Attenzione alle procedure

Molte aziende sono state colte alla sprovvista dall’emergenza sanitaria perché i piani e i processi di business continuity e di disaster recovery non hanno considerato l’impennata improvvisa della richiesta di lavoro in remoto. Di conseguenza, le procedure sono stati spesso aggiornate ex post, invece di essere già operative. Ma oggi, “una volta superata l'onda d'urto iniziale e una volta completata l’azione di recupero dall’emergenza, dovrebbe esserci il tempo per una revisione più approfondita dei processi per garantire che le politiche di sicurezza siano allineate alle esigenze del lavoro agile”, fa notare Marrazzo, spiegando che “per esempio, se le policy organizzative non prevedono l'accesso a Internet da connessioni non sicure, le procedure devono rispecchiare questo divieto, in caso stabilendo l'obbligo per i dipendenti di connettersi sempre a una VPN sicura prima di accedere a Internet”.

People power

Infine, le aziende hanno bisogno delle competenze e delle conoscenze necessarie per riconoscere e contrastare le nuove minacce che il lavoro a distanza ha introdotto: “questo non vale solo per i team di sicurezza, ma anche per ogni dipendente che deve adesso affrontare la pressione di essere un potenziale punto di attacco”, ammonisce Marrazzo, evidenziando che “educare i dipendenti sul pericolo di attacchi di phishing e ransomware e su come identificare un messaggio potenzialmente pericoloso deve diventare una priorità. Allo stesso modo, se le soluzioni SIEM identificano e segnalano diverse minacce a causa dell'incremento dello smart working, i team di sicurezza devono sapere come identificare e mettere in ordine di priorità queste minacce”.

Allo stesso tempo, “anche i dipendenti più attenti alla sicurezza devono capire come sono cambiati i rischi che devono affrontare e le procedure che devono seguire”, prosegue Marrazzo, spiegando che “se il personale più senior non ha più la possibilità di condividere facilmente documenti riservati su una rete sicura, deve esserne messo al corrente e deve avere rapidamente a disposizione altri modi per condividere le informazioni in modo che l'azienda possa ancora operare”.
telelavoro 6

Un solido ecosistema

Qual è dunque la sintesi? “La tecnologia non può funzionare senza le giuste procedure e le giuste competenze: seguire le procedure richiede le giuste competenze e la giusta tecnologia”, sottolinea Marrazzo, spiegando che “le competenze devono operare all’interno di un contesto di riferimento fatto di tecnologia e procedure”. Agire per mantenere l'equilibrio tra tutti e tre gli elementi non è essenziale solo nell'immediato, ma aiuterà le aziende anche a prepararsi per eventi altrettanto gravi in futuro.

Le aziende dovrebbero quindi considerare ogni mezzo, compresi i managed services o l'outsourcing, per mantenere questo equilibrio, e assicurarsi che qualsiasi partner venga scelto abbia l'esperienza e le certificazioni di cui l’azienda ha bisogno. In caso contrario, “vi è il rischio reale di non essere in grado di mantenere un livello di sicurezza accettabile perfino in una fase di business as usual, per non parlare di eventi estremi o scenari critici di risposta agli incidenti”, conclude Pietro Marrazzo.