Security Trends & Predictions 2018: “Serve cultura della sicurezza”. Intervista a Dolman Aradori

È uscito ad inizio marzo il nuovo report annuale NTT DATA sulle prossime tendenze per la cybersecurity dal titolo “Security Trends & Predictions 2018”. Fra i ventidue highlights citati nel documento, due elementi inducono alla riflessione: è necessario circa un milione di dollari per risanare la situazione dopo un attacco informatico e un lasso medio temporale non inferiore ad almeno 74 giorni, senza considerare i costi di immagine, fiducia e reputazione del brand nei confronti di clienti attuali e potenziali.

Ne parliamo con Dolman Aradori, VP responsabile Security di NTT DATA Italia, che ha chiarito alcuni dei temi più discussi dalla cronaca perchè oggetto di attacco, commentato alcune evidenze e fornito il parere tecnico che viene dalle “attività di campo” e dall’esperienza del gruppo NTT presso le grandi aziende ed alcune delle PMI italiane. Ne risulta una fotografia esaustiva dello scenario Cyber che si accompagna alla consapevolezza che non ci si può fermare alle sole soluzioni tecnologiche.

L’intervista

Fra le predictions del report ci sono ventidue issue e punti di attenzione, una panoramica ampia che abbraccia tecnologie, processi di sviluppo, skill, normative. Si riuscirà davvero a far guardare alla cybersecurity in un approccio olistico e non più solo tecnologico?

Già dal 2003 si è assistito a un grosso cambiamento di approccio alla tematica in ottica più manageriale al tema. Si sono diffuse nel tempo figure quali CISO (Chief Information Security Officer n.d.r.) e CSO (Chief Security Officer n.d.r.) che hanno contribuito a parlarne in ottica costi/benefici predisponendo metriche diverse per monitorare gli avanzamenti della tenuta sotto controllo delle misure di sicurezza. Certo per rispondere alla domanda se questo livello culturale sia veramente diffuso, ecco, la risposta è “non ancora, ci si deve lavorare”. Allo stesso tempo si assiste oggi a quella propensione verso la “tecnologia come panacea di tutti i mali”, tanto che sono ancora molti gli attori che si fanno guidare dall’ultimo ritrovato tecnologico piuttosto che dalle esigenze e requisiti interni e dalle performance; c’è da lavorare, ma io sono confidente che un risultato positivo si possa raggiungere, perché le aziende con cui trattiamo hanno un grado di maturità appropriato, tanto da chiamarci oggi sapendo quali siano le necessità da indirizzare.

La business driven security sarebbe davvero desiderabile allineata alle strategie aziendali, ma i manager stessi, che dovrebbero prevederla come un obiettivo di business, sono sufficientemente formati per trattarla appropriatamente?

Mediamente il problema non è nell’interlocuzione con i manager di sicurezza (CISO, CSO) o dei sistemi informativi CIO (Chief Information Officer n.d.r.), la difficoltà maggiore è supportare e far capire all’alto management che la sicurezza informatica comporta degli impatti correlati per la vita stessa dell’azienda. Il supporto maggiore che forniamo è la comunicazione su cosa fare e che rischi comporti in un’ottica di ottimizzazione e miglioramento. Questo vale per le aziende strutturate che hanno le figure di CISO e CIO. Per quelle più contenute in dimensioni e struttura, l’intervento consulenziale è ancora maggiore, con la predisposizione di piani pluriennali e definizione dei ruoli sulla sicurezza con una impostazione a 360° su tutta l’azienda. Chi ci chiama poi ci ascolta. In passato le PMI puntavano solo ad avere una soluzione tecnologica ma non guardavano alla tematica generale, oggi soprattutto grazie al GDPR l’esigenza di “mettersi in regola” traina gli interventi.

Come si supporta un’azienda i cui manager non sono formati sulla sicurezza?

Ci sostituiamo a loro nel ruolo e poi costruiamo con loro le soluzioni, corredandole con tutti i “come” e soprattutto con i “perché” per far capire i benefici da produrre. Portiamo la sicurezza informatica non solo ad un livello gestibile per i tecnici, ma ad un livello misurabile e comprensibile per i livelli di governo dell’azienda.

Al di là dell’uso di strumenti specifici e tecnologici come il CASB, basterà adottare il “modello di responsabilità condivisa” nel cloud per iniziare a risolvere il problema ancora molto sentito della “security on cloud”?

In ambito cloud non è semplicemente sufficiente il modello di responsabilità condivisa, ma è assolutamente necessario. Si deve lavorare in ambito contrattuale per fissare adeguati livelli di servizio e per concordare le autorizzazioni e le modalità per il controllo di auditing dei servizi richiesti. Il modello di governance deve essere corredato tanto sul piano formale, quanto su quello pratico delle verifiche, per avere un ritorno pratico e pragmatico. I modelli di governance ancora non sono stati completamente definiti se non a livello contrattuale ma poi le verifiche e gli strumenti di analisi sono poco adottati anche se sono disponibili anche soluzioni di auditing continuo con aziende specializzate in questi servizi. E’ vera comunque l’esistenza di uno scetticismo di base sulla cloud security, ma la sicurezza per un Cloud Provider (CP) rappresenta un “elemento core”, tanto che i CP investono molto in tecnologie e competenze; sicuramente ad un livello superiore rispetto alle PMI ed ai modesti budget che queste realtà spesso hanno a disposizione.

IoT, un disastro continuo fatto di violazioni e inclusione in reti di Botnet. Come se ne esce?

Credo sia una questione di tempo. L’accelerazione verso queste tecnologie è stata forte ed il loro livello di sicurezza è spesso ancora non adeguato ma non per poca attenzione, ma perché prima questi dispositivi operavano in contesti e mondi chiusi e poi sono stati di colpo interconnessi, rivelandosi impreparati. Dal mio punto di vista, si dovrebbe lavorare a diversi livelli partendo da una valutazione delle vulnerabilità intrinseche dell’IoT, per concretizzare soluzioni che possano rendere sicuri i device, le loro comunicazioni, l’accesso e l’autorizzazione sui sistemi fino ad arrivare alla ottimizzazione dei processi che possano contribuire ad elevare la sicurezza in ottica più ampia ma intrinseca e mirata. Certo i costi salgono proprio perché i contesti sono diversi da quelli originari. Un tema di iniziale approccio al problema è cercare di lavorare con i sistemi di tenuta sotto controllo di quanto accade nel contesto operativo ovvero di rapida detection di un possibile incidente di sicurezza. A questo scopo i sistemi “behavioural” (sistemi basati sull’apprendimento e sul comportamento atteso di un determinato sistema software n.d.r.)  sono tipicamente suggeriti per identificare subito un problema. Naturalmente tutto ciò in attesa dei device IoT di seconda generazione, che avranno dotazioni native di sicurezza on board.

I problemi di skill shortage secondo lei, sono davvero solo dipendenti da mancate competenze specifiche o si potrebbe forse pensare anche a una mancata preparazione dei selezionatori che chiedono tutto lo scibile e spesso a fronte spesso in salari non adeguati?

Per esperienza personale in NTT DATA, rilevo un reale skill shortage di competenze perché mancano talenti e preparazione. Anche i numerosi corsi di laurea che stanno nascendo, cercano di colmare questo gap così come iniziative quali il cyberchallenge.it cercano di favorire competenza e preparazione sull’argomento. Oggettivamente il numero di professionisti “che ne sanno” di sicurezza informatica è carente rispetto alle necessità effettive. Aggiungerei che ci sono anche molti soggetti che dicono di sapere, ma poi allo stato dei fatti, non è così; magari indicano delle soluzioni ma non sanno spiegare come implementarle praticamente e operativamente e soprattutto non sanno il perché di certi interventi.  Scarseggiano competenze sostanziali, a fronte di un incremento anche ingiustificato dei salari per questa corsa alla cybersecurity. Condivido però la sua provocazione sul tema della preparazione dei selezionatori, tanto che si verificano casistiche di figure professionali che ricoprono ruoli inadatti tanto per overskilling rispetto alle mansioni minori ad essi assegnate, oppure per impreparazione di figure junior in posizioni dove sarebbe necessaria maggiore esperienza e seniority. Per questo motivo e per sopperire allo skill shortage, si potrebbero adottare collaborazioni e partnership con aziende esterne come approccio risolutivo: la qualità media degli interventi si alzerebbe e si potrebbe ridurre il numero di risorse medie da utilizzare con un risparmio nel costo del lavoro.

Come possono fare le aziende e a sviluppare nuove metriche di calcolo dei rischi?

Mi collego alla risposta iniziale: nonostante tutte le metodologie di analisi si rivolgano alla gestione corretta della sicurezza, è necessario capire e legare queste metriche alla strategia di business di una azienda. È importante e necessario lavorare con professionisti che sappiano fare questo collegamento. Piuttosto che guardare solo al numero delle vulnerabilità rilevate e gestite, è cruciale far capire quale sarebbe l’impatto per la perdita di informazioni critiche qualora quelle vulnerabilità fossero sfruttate. Troppo spesso i passaggi sulle entità potenziali del danno non vengono fatte, e quindi non risulta sufficientemente chiaro che proprio un determinato intervento possa contribuire a salvare il business. Insomma, si deve lavorare sul perché certi interventi siano necessari, non solo come beneficio locale, ma con la rilevanza e il vantaggio a 360 gradi che viene indotto.

Inoltre si dovrebbe lavorare in un approccio non solo qualitativo di analisi di rischio, che in passato ha sicuramente favorito la sensibilizzazione verso il tema, ma si dovrebbe puntare all’adozione di un approccio quantitativo che in qualche modo “riporta sulla terra”.  Ovvero grazie ai dati di misura e quantità o anche di tipo statistico si capiscono anche gli impatti pratici cosicché il rischio non risulti più un’entità astratta, ma assuma carattere di materialità.

Il GDPR traina la security, ma le aziende hanno ancora tanti dubbi e molte di loro non sono pronte. Cosa vedete dalla vostra attività sul campo?

Sicuramente il tema è ancora molto confuso. Molte realtà che sono in fase di chiusura degli assessment oppure gestiscono il GDPR con una assegnazione ad una sola area dell’impresa, invece di occuparsene in modo trasversale a tutta l’organizzazione aziendale. La sicurezza non dovrebbe più essere interpretata solo in versione reattiva come intervento di rimedio a seguito di un incidente, ma si dovrebbe generare un cambio anche nei processi di sviluppo ed evoluzione delle infrastrutture ICT di un’azienda e questo richiede una cambio culturale a livello aziendale. Si nota anche un forte gap fra aziende di settori diverso. In ambiti telco e finance per esempio c’è sempre stata una pressione normativa di riferimento e quindi in questi settori le aziende sono generalmente più pronte, mentre altre realtà come ad esempio le PMI manifatturiere il clima è quello della rincorsa, perché per loro, il gap da colmare è ampio.

Cosa vi aspettate sulla cybersecurity dalle istituzioni a livello centrale, dopo il libro bianco, la nomina del vice direttore cyber, il decreto Gentiloni…?

Manca un passaggio di tipo operativo e pratico; indubbiamente c’è stato un forte lavoro di  predisposizione di linee guida e di sensibilizzazione e formazione e legislativamente parlando abbiamo fatto molto, ma in un mondo ideale il tema della awareness di massa è a mio avviso centrale e un po’ manca, tanto che NTT ne parlato con le istituzioni. Una proposta in favore di un intervento pratico potrebbe essere la realizzazione di un organo centrale capace di valutare una sorta di cybersecurity risk rating index, capace di misurare la maturità cyber delle imprese, al pari degli indici di affidabilità finanziaria che sono attualmente propedeutici alle concessioni di prestiti e mutui in campo finanziario.   L’organo centrale potrebbe effettuare un primo screening, sia sulle aziende che lavorano in ambito sicurezza come fornitori, sia su quelle che sono invece di tipo cliente. La classificazione darebbe una misura di affidabilità in termini di sicurezza informatica dandole il giusto accento. Naturalmente dal livello di baseline iniziale valutato da questo organo, ogni azienda potrebbe dimostrare di avere un livello superiore, ma intanto si avrebbe una prima stima di baseline rispetto agli interlocutori affidabili; questo potrebbe diventare un processo continuativo che progressivamente poggi su dati reali e non più su stime.

Nel bilanciamento fra esigenza di privacy e necessità security, esiste davvero un equilibrio?

La risposta non è semplice e univoca, ma dipende dai livelli di sicurezza in gioco. Sulla sicurezza nazionale è necessario intercettare anche i segnali deboli e qui la privacy va ragionata molto attentamente. Anche nel report si parla di evoluzione di soluzioni nell’ambito della crittografia e del data masking che oggi consentono di fornire accesso alle informazioni a chi ne ha strettamente l’esigenza e per la porzione che ne necessità, limitando moltissimo la diffusione di dati verso interlocutori che a quei dati non dovrebbero avere accesso. Inoltre oggi possiamo contare su strumenti di AI che modellizzano fenomeni anche critici, senza usare dati personali degli utenti, ovvero la tecnologia ci garantisce una certa resilienza rispetto a minacce particolarmente critiche senza intaccare troppo il livello di privacy degli utenti.