Gestire la sicurezza in tempi incerti
Quando Eraclito disse che “l’unica costante è il cambiamento”, non poteva certo immaginare che le sue parole sarebbero rimaste attuali anche 2.500 anni dopo. In effetti, i ritmi sono aumentati costantemente, sempre più velocemente nel tempo. Man mano che gli investimenti delle aziende in trasformazione digitale aumentano – circa 6.000 miliardi di dollari nei prossimi quattro anni, secondo Eileen Smith di IDC – cresce anche il ritmo del cambiamento cui devono allinearsi i team IT aziendali.
Per gli esperti di cybersecurity che lavorano in questi ambienti, stare al passo con i cambiamenti può rivelarsi complesso. Ci sono diverse tendenze in atto che possono influire sulla sicurezza, e tutte possono entrare in gioco in qualsiasi momento:
- Il business è più globale – le aziende guardano al di là dei propri mercati e dei confini nazionali per cercare opportunità di crescita non ancora sfruttate. Anziché impiegare anni per espandersi in tutto il mondo, le aziende oggi possono fare subito affari ovunque grazie a internet. Questo favorisce uno sviluppo più rapido delle sedi locali, che consentono una maggior vicinanza al cliente.
- Il business è più dinamico – la crescita organica, sostenuta anche da fusioni e acquisizioni ed unitamente all’espansione del mercato, può favorire l’ingresso in nuovi settori. Tutto questo implica cambiamenti fondamentali nell’IT, che influenzeranno anche la sicurezza.
- Anche l’IT è più dinamico – sostenere la trasformazione digitale comporta continui cambiamenti. I piani di trasformazione digitale si basano sull’adozione di paradigmi IT nuovi e più agili – come cloud computing e application container – che richiedono di essere mantenuti sicuri nel tempo.
Con un IT più frammentato e la costante evoluzione in atto, la sicurezza deve essere pianificata in anticipo per supportare tutti questi cambiamenti.
Affrontare le vulnerabilità
Per gestire tutto questo in modo più efficace, bisogna saper guardare lontano. Invece di limitarsi a essere i guardiani e i proprietari della gestione del rischio, i dipartimenti di sicurezza devono incorporare le loro migliori metodologie in tutte le fasi del ciclo di vita dello sviluppo del software. Questo può aiutare gli sviluppatori, i tester e i team operativi a garantire che qualsiasi modifica apportata possa essere monitorata e controllata per individuare potenziali vulnerabilità.
Il primo elemento da considerare in questo caso è di natura tecnica. Ogni volta che viene rilevata una qualsiasi vulnerabilità negli asset IT dell’organizzazione – sia che si tratti di asset hardware come PC e server che si trovano in cloud oppure si tratti di asset intangibili come container che possono essere lanciati e interrotti automaticamente in base alle necessità – tale vulnerabilità dovrà essere segnalata perché venga analizzata. Avere un inventario completo e continuamente aggiornato degli asset hardware e software è il punto di partenza più efficace per qualsiasi team di Operations, interne, esterne o distribuite in più Paesi.
L’enorme quantità di problemi che potrebbero emergere, rende la definizione delle priorità più importante che mai. Se da un lato può essere semplice dire che ogni asset ovunque esso sia debba essere tenuto aggiornato e con patch installate, dall’altro trattare tutte le vulnerabilità allo stesso modo potrebbe non essere efficace. Alcune problematiche sono incredibilmente rischiose e diffuse, quindi richiedono un’attenzione prioritaria; altre sono così di nicchia che possono essere lasciate ad un’azione secondaria. In mezzo, trovano spazio molte minacce che dovranno essere analizzate nel contesto, così come le configurazioni errate che possono portare a falle di sicurezza.
Per lavorare su queste vulnerabilità, i team di sicurezza e di sviluppo software devono esaminare i livelli di rischio associati ai problemi che vengono scoperti, capire quanto sono diffusi e quanto sono facili da sfruttare. Queste misure possono poi essere utilizzate per creare profili di rischio e approcci personalizzati per l’organizzazione, mostrando quali questioni debbano essere considerate prioritarie sulla base di requisiti specifici. Questo permette di creare un flusso di lavoro per i team, fornendo indicazioni alle persone in base alle proprie esigenze di efficienza operativa.
I dati raffinati possono anche essere utilizzati per informare i team di gestione sui livelli di rischio in un determinato punto dell’ambiente digitale, evidenziando dove possono essere necessarie risorse aggiuntive. Con queste informazioni è possibile concentrarsi sulle proprie priorità, al di là delle fasi di rilevamento delle vulnerabilità e della loro gestione, automatizzando alcune procedure man mano che le vulnerabilità vengono scoperte e migliorando ulteriormente l’efficacia operativa.
Per le aziende con servizi in rapida crescita o che dispongono di più unità di business in tutto il mondo, questa modalità operativa è particolarmente preziosa. Non tutte le sedi dispongono di specialisti tecnologici: alcune possono essere piccole sedi con un ridotto numero di dipendenti, mentre altre possono essere grandi uffici con centinaia o migliaia di persone. Ogni sede e business unit avrà però le proprie risorse e priorità IT – da tracciare in modo efficace e da mantenere in sicurezza affidandosi a dati validi e costantemente aggiornati.
Cambiare o essere costretti al cambiamento
Il secondo elemento da considerare è il processo. In genere, quello della sicurezza è un reparto all’interno dell’IT che ha i propri obiettivi da raggiungere in merito alla gestione del rischio e al mantenimento della sicurezza dei dati. Con un numero sempre maggiore di aziende che si spostano sull’online e che passano attraverso iniziative di trasformazione digitale, questo approccio a silos non è più praticabile. La sicurezza deve invece essere integrata in tutti i nuovi processi di ingegneria del software in modo che divenga uno standard de facto.
Per i team di sicurezza abituati ad agire come guardiani e arbitri di come le cose dovrebbero funzionare, questa è una mentalità molto diversa. Essa si basa sulla collaborazione e sulla comprensione di come raggiungere insieme gli obiettivi, in modo che tutti gli elementi del ciclo di vita dello sviluppo del software includano la sicurezza come standard. I team di sicurezza devono quindi lavorare affinché i loro strumenti e approcci vengano adottati nei flussi di lavoro e nei processi che gli sviluppatori, i tester e i team operativi utilizzano. Ciò permette alla sicurezza di migliorare i processi senza essere un freno.
Un simile approccio permette anche ai team di sicurezza di aiutare quelli operativi a risolvere i problemi. Spostando i controlli di sicurezza il più possibile vicini all’inizio del ciclo ed esponendo in modo chiaro le informazioni sulle vulnerabilità, qualsiasi malfunzionamento può essere rapidamente segnalato e la correzione pianificata. Gli sviluppatori ottengono così il controllo di qualsiasi bug o errore nella configurazione che potrebbe causare intoppi di sicurezza del software, situazioni di stallo o tempi più lunghi tra il tracciamento e la correzione. Per chiudere il cerchio, i team di sicurezza possono anche utilizzare strumenti come il Center for Internet Security (CIS) Benchmark raggiungendo un controllo costante della postura di sicurezza.
L’integrazione della sicurezza nel modo in cui il software viene prodotto implica un cambiamento nel modo in cui i team di sicurezza collaborano con gli altri reparti: un maggior dialogo nelle prime fasi del processo, una maggiore comprensione delle esigenze dei team coinvolti e un maggiore lavoro per integrare la sicurezza in questi processi nel modo più semplice possibile.
L’adozione consistente di queste tecniche rende più facile mantenere sicuro lo stack IT in evoluzione, qualunque siano le nuove esigenze. Diventa più facile tracciare e rispondere alle vulnerabilità in base alle scelte tecnologiche specifiche e al profilo di rischio. Diventa più facile per i team di sicurezza essere leader in questi tempi di cambiamento, piuttosto che lottare per tenere il passo con le decisioni prese da altri.
Anche se il cambiamento può essere costante, il nostro approccio al cambiamento è quello che decidiamo noi. Per quel che riguarda la sicurezza, guidare il cambiamento è sicuramente una strategia più efficace che essere costretti a seguirlo.
Per informazioni aggiuntive consultare www.qualys.com
Di Marco Rottigni, Chief Technical Security Officer EMEA, Qualys