Alcune delle modifiche agli ambienti IT resesi necessarie in seguito alla pandemia di COVID-19 (principalmente il lavoro da casa e l’adozione del cloud) sono qui per rimanere a lungo e richiederanno revisioni a lungo termine delle strategie di sicurezza informatica aziendale.

Le misure spesso affrettate che molte organizzazioni hanno implementato per garantire che i lavoratori remoti potessero accedere in modo sicuro ai dati aziendali dovranno essere sostituite o rafforzate con controlli in grado di soddisfare i requisiti di un mondo post-pandemia. Saranno necessarie funzionalità per consentire una migliore visibilità, controllo e gestione delle infrastrutture IT in cui i dati sono sparsi in ambienti on-premise e cloud e gli utenti vi accedono da reti e dispositivi gestiti e non gestiti.

La pandemia ha forzato un’accelerazione della digitalizzazione e un passaggio al cloud che molti CISO non erano preparati a supportare in modo così rapido, afferma Joseph Carson, consulente CISO presso ThycoticCentrify. “Il cambiamento ha costretto molte aziende a cercare soluzioni a breve termine che consentissero all’organizzazione di continuare a operare e ai dipendenti di essere produttivi da remoto”.

In molti casi, le organizzazioni hanno implementato tecnologie per supportare il nuovo ambiente di lavoro senza valutare le potenziali implicazioni sulla sicurezza. “Ora è un buon momento per i CISO per misurare come l’aumento del rischio e dell’esposizione influisce sul business”.

Ecco, secondo Carson e altri esperti di sicurezza, alcuni dei cambiamenti a lungo termine che le organizzazioni dovranno fare per garantire la sicurezza dei dati in un mondo post-pandemia.

Adozione più rapida di modelli di accesso zero-trust

Il passaggio a un ambiente lavorativo e aziendale più distribuito sulla scia della pandemia accelererà l’adozione di modelli di accesso zero-trust nei prossimi anni. I dati e i servizi aziendali sono ora permanentemente sparsi in ambienti on-premise, ibridi e cloud pubblici e gli utenti vi accedono da reti e dispositivi gestiti e non gestiti. I vecchi modelli in cui gli utenti che accedono ai dati e ai servizi aziendali dall’interno della rete sono implicitamente affidabili non funzioneranno in un ambiente di accesso post-pandemia ovunque e in qualsiasi momento. Per garantire un accesso sicuro ai dati aziendali, le organizzazioni dovranno sempre più adottare modelli zero-trust in cui ogni richiesta di accesso, dall’interno e dall’esterno della rete, viene autenticata e controllata.

Il tradizionale approccio da client IPSec a server VPN stava comunque morendo, afferma John Pescatore, direttore delle tendenze di sicurezza emergenti presso il SANS Institute. “Gli utenti devono connettersi da qualsiasi dispositivo ovunque e tornare al quartier generale solo per una piccola parte del traffico. Ciò significa che il controllo sicuro dell’accesso alla rete insieme all’autenticazione forte diventerà una necessità fondamentale. Devo essere davvero sicuro della persona che si sta connettendo e quindi devo giudicare quanto sia sicuro il suo dispositivo”.

L’analista di IDC Pete Lindstrom prevede che questa tendenza si svolgerà in diverse fasi. L’attenzione attuale è sul livello dell’infrastruttura e su questioni come il controllo granulare degli accessi e le comunicazioni crittografate per reti e host. Nei prossimi anni, aspettatevi di vedere le organizzazioni aziendali spostare l’approccio zero-trust più in alto nello stack per incorporare dati e carichi di lavoro. “È qui che cose come le reti software-defined e i livelli di astrazione delle policy cominceranno a far sentire la loro importanza. L’obiettivo sarà quello di raggiungere un punto in cui l’accesso sia onnipresente e sicuro e non vi sia alcuna distinzione tra accesso cloud e on-premise. La protezione rimarrà persistente e seguirà i dati ovunque questi si spostino”, afferma Lindstrom.

Controlli per proteggere una superficie di attacco più ampia

La pandemia ha cambiato radicalmente il modo in cui lavorano le organizzazioni, afferma Rick Holland, CISO e vicepresidente della strategia di Digital Shadows. Alcune opereranno permanentemente in un modello completamente remoto, mentre altre manterranno un modello ibrido per un futuro indefinito.

Dal punto di vista della sicurezza, le nuove tendenza in atto creeranno una nuova superficie di attacco molto più ampia da proteggere per le organizzazioni, afferma Holland. L’accesso dei dipendenti, ad esempio, dovrà essere protetto indipendentemente da dove lavorano. Allo stesso modo, la necessità di distanziamento sociale e la carenza di forza lavoro hanno accelerato l’automazione e l’uso dell’intelligenza artificiale in molti settori, tra cui retail, ospitalità e produzione.

Questa continua adozione di nuove tecnologie creerà nuove superfici di attacco che i CISO dovranno affrontare. “Ci sarà più proprietà intellettuale da proteggere e anche le nuove tecnologie come robot e terminali devono essere rafforzate, monitorate e corrette”.

I requisiti normativi cambieranno per affrontare nuovi rischi

Aspettatevi inoltre modifiche ai requisiti normativi, di conformità e contrattuali, afferma Holland, secondo cui le autorità di regolamentazione modificheranno o amplieranno i requisiti esistenti per adattarsi al modello di lavoro ibrido post-pandemia. Regolamenti come il PCI DSS (Payment Card Industry Data Security Standard) e lo standard ISO/IEC 27001:2013 per la sicurezza delle informazioni dovrebbero essere aggiornati e potrebbero essere tra i primi a introdurre nuovi requisiti per affrontare i rischi post-pandemia. Le modifiche normative saranno probabilmente attuate in fasi e nel corso di diversi anni.

Dove il cambiamento avverrà molto più velocemente è invece nei contratti B2C e negli addendum di sicurezza, osserva Holland. “Le aziende tecnologiche stanno già vedendo cambiare i requisiti di sicurezza nei contratti dei loro clienti poiché queste organizzazioni vogliono garantire che siano in atto controlli di sicurezza fisica e di lavoro a distanza adeguati. I CISO devono garantire che i loro controlli di sicurezza affrontino adeguatamente queste aree di rischio per aiutare le loro aziende ad avere successo”.

Autenticazione più forte e crittografia persistente

Il crescente utilizzo di SaaS e di altri sistemi basati su cloud come Zoom, Microsoft Teams e Dropbox per supportare la collaborazione distribuita ha portato molte informazioni aziendali a finire in molti luoghi diversi, afferma Pescatore. Molte organizzazioni avranno bisogno di una crittografia persistente e di metodi di autenticazione utente più efficaci per supportare questo tipo di ambiente di lavoro a lungo termine. Dal punto di vista delle priorità, sarà necessario implementare un’autenticazione forte prima che la crittografia dei dati possa funzionare. “Se gli aggressori possono ancora facilmente eseguire il phishing delle credenziali, la crittografia dei dati non aiuta”.

Uno studio basato su un sondaggio condotto da Yubico in collaborazione con la società di analisi 451 Research all’inizio di quest’anno ha mostrato che la maggior parte delle organizzazioni (75%) prevede di aumentare la spesa per l’autenticazione a più fattori (MFA) per affrontare i nuovi rischi a lungo termine in un’emergenza post-pandemia mondo. Il 49% dei 200 leader della sicurezza coinvolti nella ricerca ha descritto l’MFA come la migliore tecnologia di sicurezza adottata per affrontare la migrazione a un modello WFH.

Migliore visibilità e monitoraggio della rete

Il rapido passaggio a un ambiente di lavoro più distribuito e cloud-first a causa della pandemia ha portato le organizzazioni a perdere visibilità, in varia misura, sui dispositivi che si collegano alle loro reti e ai dati. In molti casi, le organizzazioni hanno sacrificato la sicurezza nell’interesse di garantire la continuità e la disponibilità del business. Hanno adottato approcci a breve termine che hanno consentito ai dipendenti remoti di rimanere produttivi e all’azienda di operare senza interruzioni.

“Purtroppo, si tratta di soluzioni che l’azienda ha adottato senza valutare i rischi o consentire la sicurezza per impedire agli aggressori di abusarne”, afferma Carson di ThycoticCentrify. In futuro, i CISO dovranno valutare e trovare modi per affrontare i nuovi rischi che sono stati introdotti nell’ambiente a causa della rapida adozione del cloud e dei modelli di lavoro da casa. “Nell’anno a venire, i CISO dovranno misurare i rischi dell’accesso remoto e accelerare l’implementazione di soluzioni di sicurezza aggiuntive come la sicurezza dell’accesso privilegiato, MFA e Single Sign-On”, afferma Carson.

Anche una migliore visibilità sarà fondamentale per le organizzazioni negli anni a venire, afferma Chris Morales, CISO di Netenrich. Consentendo agli utenti di accedere ai dati aziendali da reti domestiche non gestite utilizzando una combinazione di dispositivi gestiti e non gestiti, i gruppi di sicurezza aziendale hanno perso la visibilità e il controllo necessari per gestire l’accesso sicuro. “L’IT e la sicurezza hanno perso visibilità su quali dispositivi hanno accesso a dati di alto valore, le applicazioni su quei dispositivi e lo stato di salute dei dispositivi connessi”, afferma Morales.

Richard Stiennon, capo analista di ricerca presso IT-Harvest, prevede che quando le aziende trasferiranno la propria infrastruttura al cloud, dovranno cercare tecnologie di sicurezza che rispecchino alcune delle loro capacità on-premise in determinate aree. Queste includono il rilevamento delle risorse, la gestione della configurazione, il monitoraggio e la registrazione degli eventi. “Tutti questi spazi sono quelli in più rapida crescita nella sicurezza informatica e le startup specializzate in tale ambito stanno ottenendo valutazioni straordinarie”, osserva Stiennon.

Evoluzione delle pratiche di gestione del rischio informatico

Molte organizzazioni dovranno anche rivedere le proprie pratiche di gestione del rischio e continuità operativa per affrontare i rischi in un ambiente IT post-pandemia. Le aree di miglioramento includono la pianificazione e la preparazione per le avversità, che consentono una migliore visibilità delle interdipendenze operative a livello aziendale per i team operativi isolati e la trasformazione della gestione del rischio in un’attività operativa, afferma Morales.

“La resilienza richiede di riunire le aree di gestione del rischio, continuità aziendale e IT, sviluppo e operazioni di sicurezza per produrre un processo operativo sicuro fin dalla progettazione a supporto delle funzioni mission-critical. L’obiettivo a lungo termine dovrebbe essere quello di migliorare la consapevolezza della situazione in un mondo in cui le applicazioni aziendali, i dati e le persone che vi accedono sono sparpagliati ben oltre la rete aziendale tradizionale”.

Pescatore afferma che il caos derivante dalla pandemia ha insegnato alle organizzazioni una lezione duratura sull’importanza di disporre e testare procedure per rispondere meglio agli eventi che potrebbero richiedere un rapido passaggio a infrastrutture alternative. “Proprio come quando bisogna testare il passaggio a una connessione Internet di backup, penso che i team IT e di sicurezza effettueranno test di lavoro da casa con breve preavviso, con l’obiettivo di assicurarsi che possano effettuare la transizione a infrastrutture alternative in modo rapido, sicuro e affidabile”.