Molto spesso si ricorda che l'anello debole della cyber security è l'elemento umano. Di solito con questo si intende che i dipendenti sono di frequente, se non quasi sempre, il canale involontario e inconsapevole attraverso cui si penetra la rete d'impresa. Il ruolo chiave delle persone - nel bene e nel male - può essere però considerato in una accezione anche più ampia. La cyber security infatti non è fatta solo di tecnologie e piattaforme, ma anche di persone che le utilizzano e le gestiscono.

In quest'ottica, la cultura e le competenze dello staff aziendale dedicato alla sicurezza diventano un elemento chiave nel garantire l'efficacia della difesa contro le minacce in rete. Oppure, all'opposto, nel rendere questa difesa efficace solo in apparenza. La questione però non è solamente interna allo staff di cyber security: riguarda il rapporto e le relazioni che questo ha definito nel tempo con gli altri dipartimenti dell'impresa. E, analogamente, riguarda il ruolo e il raggio d'azione che l'impresa stessa ha formalmente assegnato al team di sicurezza.

La sicurezza tocca tutti

Può accadere che ci siano disallineamenti pericolosi tra come il security team aziendale "vede" sé stesso e la visione che invece ne hanno il management aziendale e gli altri business manager. Un malinteso frequente riguarda ad esempio le metriche di valutazione e le aree di competenza della cyber security. Non è raro che lo staff cerchi di operare per raggiungere determinati obiettivi, ad esempio certi livelli di operatività dei sistemi, mentre il management reputa fondamentali altri indicatori, come il rapporto prestazioni/costi. Lo stesso vale, anche se in modi diversi, per quanto riguarda il modo in cui il lavoro del team di sicurezza viene valutato dalle altre business unit.

Questi problemi sono oggi più evidenti di quanto non lo fossero qualche anno fa, perché la sicurezza IT ha progressivamente toccato tutti i processi d'impresa. Non è più una questione strettamente tecnica e legata all'implementazione di prodotti mirati. Riguarda aspetti come la compliance normativa, la gestione complessiva dei dati in azienda, il controllo degli accessi da parte di clienti e partner, il passaggio al cloud di applicazioni e dati critici. Pensiamo semplicemente a una normativa come il GDPR: per adeguarvisi un'azienda deve adottare certe tecnologie, ma anche ottimizzare i propri processi di gestione delle informazioni, modificare il rapporto con la clientela, acquisire una cultura diversa del dato.

Non è scontato che questa trasversalità della cyber security si traduca, in azienda, in una positiva relazione continua dello staff security con le altre parti dell'impresa. Se questa interazione manca, il processo di gestione della sicurezza IT prima o poi incontra qualche ostacolo. Prendiamo ad esempio il tema DevSecOps, che vuole la cyber security strettamente integrata con i processi di sviluppo software. In realtà il team di sviluppo e quello di security si pongono due obiettivi a priori contrastanti - rilasci frequenti il primo, software sempre ben testato il secondo - e possono raggiungerli solo attraverso una buona collaborazione. Se non hanno nemmeno la interazione regolare e stabile a cui si faceva cenno, DevSecOps resta a livello puramente teorico.

Visibilità e automazione

La creazione di una vera e propria cultura della cyber security aziendale non è un processo semplice, motivo per cui è utile adottare soluzioni di protezione che di per sé siano allineate con la "nuova" sicurezza, trasversale a tutta l'impresa e collegata a tutti i suoi processi e asset. E con un deciso orientamento al cloud, oggi immancabile per i vantaggi della "nuvola" ma soprattutto perché sono sempre più in cloud le risorse da proteggere.

L’utilizzo di tecnologie per un’analisi continua della sicurezza e assicurare rapidamente le risposte opportune sulla base delle corrette priorità, come Qualys Continuous Security, é di assoluta necessità su infrastrutture siano esse totalmente cloud o ibride che assicurano scalabilità, granularità, interoperabilità, assessment del livello di compliance, esposizione della postura di sicurezza verificata in modo che venga premiata l’efficienza operativa per ottenere efficacia e ridurre il tempo di rimedio.

Qualys VMDR nasce esattamente con una concezione di questo tipo. Facendo inoltre sua una delle principali connotazioni storiche di Qualys: l'attenzione alla "visibilità" che si deve avere sulle proprie risorse IT. Sembra scontato che non si possa proteggere ciò che non si sa di avere, tra applicazioni e processi, ma è proprio questo primo requisito che molte imprese non possono soddisfare. Così VMDR integra in primo luogo funzioni di asset discovery e management, per fornire allo staff di security - ma in realtà a tutta l'impresa - una base di conoscenza certificata su cosa ci sia da proteggere. E anche, grazie alle sue funzioni di vulnerability management e configuration assessment, indicazioni precise su quali punti deboli vadano affrontati.

Uno dei principali valori aggiunti di Qualys VMDR è che sua la parte di threat detection & prioritization indica in modo specifico su quali asset e vulnerabilità conviene intervenire prima, dando indirettamente una visione chiara degli obiettivi primari della cyber security. Eliminando i possibili equivoci che possono derivare da una concezione diversa, tra reparti aziendali, delle priorità della sicurezza IT. Queste priorità vengono soddisfatte direttamente da Qualys VMDR attraverso le sue funzioni di orchestration, automazione dei workflow e patch management. Evitando così pericolosi rallentamenti o colli di bottiglia nella gestione della sicurezza, che invece sono frequenti quando la cyber security è affidata a team diversi e molteplici prodotti. La suite VMDR prevede anche l'impiego di tecnologie di machine learning per mettere in relazione in tempo reale i problemi rilevati dalle apps di Qualys con metadati e filtri, per assegnare la priorità alle attività di risoluzione.