WithSecure Sphere 23: alla ricerca di una cybersecurity che favorisca il business
Con l’edizione 2023 dell’evento Sphere, WithSecure ha chiamato a raccolta partner e clienti a Helsinki, città natale sua e di F-Secure, azienda di cui è lo spin-off focalizzato nel servire le aziende medio-grandi. Nei due giorni della “unconference”, come la chiama WithSecure, keynote e presentazioni si alternano a momenti con demo pratiche e networking.
Quel che segue è solo un distillato dei tanti argomenti toccati dal management e dagli speaker, alcuni dei quali hanno affrontato il tema della sicurezza da punti di vista molto diversi. Non dobbiamo dimenticare che, nel nuovo assetto mondiale, la Finlandia rappresenta il confine più lungo con il nuovo blocco, e il peso dell’ingombrante vicino è sentito, da quelle parti, in modo molto concreto. Molto sentito è stato per esempio l’intervento di Victor Zhora, Deputy Chairman and Chief Digital Transformation Officer del servizio di protezione delle comunicazioni e dell’informazione dell’Ucraina, in collegamento da una Kiev sotto attacco.
Quella del cybercrimine è diventata un’industria florida. Le organizzazioni non devono più difendersi da una gang di criminali col cappuccio della felpa calato sulla testa, ma da un ecosistema economico formato da organizzazioni specializzate con funzioni specifiche. Come nel resto del mercato, il malware si trasforma da prodotto in servizio: Ransomware as-a-Service. Queste organizzazioni si preoccupano persino di avere strutture di customer care, o “victim care”, che assistono le aziende che hanno difficoltà nel recuperare i dati dopo aver pagato il riscatto. Perché, come ogni azienda, anche i criminali vogliono proteggere la propria reputazione online.
Le infrastrutture ibride sono sempre più complesse, e la loro protezione richiede competenze specializzate sempre più difficili da reperire sul mercato del lavoro, e la crescente divisione del mondo in blocchi contrapposti eleva il livello delle minacce, con attacchi che non prendono più di mira solo i computer, ma anche le infrastrutture critiche, i mercati e la società stessa.
Su tutto, incombe la consapevolezza che l’intelligenza artificiale non sarà usata solo per fare del bene, ma anche per realizzare attacchi basati su deep fake e phising altamente personalizzati su scala industriale e planetaria.
Cybersecurity: un valore difficile da percepire
Nonostante questi presupposti, e anche per via della difficile situazione economica, aziende e governi non stanno facendo per la cybersecurity investimenti adeguati alla scala e all’intensità delle minacce. Con lo sguardo fisso all’orizzonte del risultato di business o al budget di spesa da rispettare, non riescono a percepire le minacce che – ai margini del campo di visione – rischiano di compromettere non solo il risultato economico, ma l’esistenza stessa dell’organizzazione.
Da un approccio più primitivo, in cui la cybersecurity era una reazione a una minaccia chiaramente percepita, si è passati a un modello proattivo basato sulla valutazione del rischio, ma troppe figure nel management continuano ad applicare un metodo di valutazione che si basa sulla probabilità degli eventi avversi. La spesa in cybersecurity sembra quasi una polizza assicurativa, una tributo da pagare ai signori della compliance, e la sua percezione soffre di un paradosso di fondo: se la cybersecurity ha funzionato bene, allora non ci sono stati incidenti e quindi i soldi spesi sono stati sprecati. I Kpi sui tempi di uptime o il numero di attacchi respinti non entrano nei bilanci.
Verso la Outcome Based Security
Per offrire ai CISO uno strumento in più per dimostrare ai vertici aziendali il valore della cybersecurity, WithSecure ha commissionato a Forrester Research una ricerca incentrata sull’impatto della cybersecurity sui risultati di business, che ha portato poi allo sviluppo di un canvas in cui – oltre agli asset da difendere, alle risorse e ai rischi collegati – compaiono termini di solito compaiono nei piani per lo sviluppo del business, e non in quelli per la sua difesa. Termini come iniziative, opportunità, risultati di business.
Nel modello proposto da WithSecure e Forrester, la security va oltre la difesa dello status-quo, e punta invece al suo miglioramento. Per esempio, rendendo più snella ed efficiente l’autenticazione degli utenti di un ecommerce – che è un tema di cybersecurity – è possibile aumentare le conversioni; attivare iniziative per la protezione degli utenti può conferire loro un senso di fiducia che diminuisce il churn rate verso la concorrenza. O ancora, le misure di protezione da attacchi alla supply chain possono diventare un servizio offerto ai partner della filiera.
Nell’impostazione del canvas, ogni iniziativa di questo tipo dovrebbe poter dare risultati misurabili in relazione agli obiettivi di business definiti.
WithSecure Elements: una soluzione integrata
Dal punto di vista delle soluzioni tecnologiche, l’offerta di WithSecure ruota attorno a Elements, piattaforma di sicurezza unificata in cui convergono dati ed eventi da differenti funzionalità: Endpoint protection, Endpoint Detection and Response, Vulnerability Management e Cloud Protection.
La Cloud Protection è gestita da due moduli, specializzati uno nella difesa da minacce che possono provenire da file e account compromessi su Microsoft 365, e l’altro invece nella protezione dei servizi della piattaforma Salesforce.
A questi, si aggiungerà in ottobre il nuovo modulo Cloud Security Posture Management, che effettua un assessment delle configurazioni di sicurezza delle infrastrutture cloud su AWS o Microsoft Azure.
Sempre in autunno, arriveranno nel nostro paese anche nuovi servizi per la preparazione e risposta agli incidenti, più un supporto di emergenza in caso di violazione, che si affianca al cliente non solo nella fase di difesa dall’attacco, ma anche in quella di indagine e comunicazione alle autorità, in ottemperanza al GDPR e altre normative.
L’offerta di WithSecure è anche disponibile in modalità gestita (MSSP) direttamente dalla casa madre, ma al momento il servizio è disponibile solo in lingua inglese.