La Fase 2 della gestione della pandemia sta tenendo banco. Lo smart working, che sembrava una situazione circoscritta a un tempo limitato, è destinata a protrarsi per un periodo indefinito. Alla riapertura delle aziende, lo smart working è fortemente caldeggiato e tante imprese hanno già annunciato che si lavorerà da casa fino a settembre.

Questo significa che quello che si è fatto di fretta nella Fase 1 per tamponare l'emergenza dev'essere rivisto, stabilizzato e perfezionato. Valutazione e mitigazione del rischio, messa in sicurezza delle reti domestiche, eccetera. Abbiamo chiesto a Fabio Sammartino, Head of Pre-Sales Kaspersky, che cosa c'è effettivamente da fare in Italia.
Fabio Sammartino, Head of Pre-Sales di Kaspersky Lab - © Getty Images 2018 for Kaspersky Lab

Uno smart working poco smart

Al momento manca il concetto di estensione dell'ufficio in maniera consolidata e sicura, con tutti gli strumenti di collaborazione. Smart working significa fornire le stesse risorse, le stesse disponibilità di accesso, lo stesso livello di sicurezza, a tutti i dipendenti, ovunque si trovino. La maggior parte delle aziende era già dotata di VPN prima dell'emergenza sanitaria, è stato necessario farne un'estensione. Ma da sola non basta. La VPN è uno strumento, è il punto di partenza, poi sono necessari anche i tool di comunicazione per lavorare da casa come dall'ufficio.

Inoltre, il personale va educato all'uso di questi strumenti, allo scambio di file in maniera sicura e con strumenti aziendali appropriati. Una delle minacce più esacerbate da questa situazione è la gestione dell'operatività lavorativa tramite strumenti di collaborazione esterni non approvati dall'azienda. Pensiamo ad esempio a Dropbox, WeTransfer e affini. Non sono controllati, le misure d'accesso non sono ben definite, quindi comportano dei rischi.

Ci troviamo in una situazione in cui bisogna ripartire dalla formazione e trasferire ai dipendenti la consapevolezza del rischio informatico. Negli ultimi anni abbiamo lavorato parecchio su questo tema con la Automated Security Awareness Platform (ASAP) sull'utilizzo degli strumenti aziendali. Però ci si è concentrati su due o tre domini della sicurezza: posta elettronica, navigazione web, encryption.
Ora lo scenario è cambiato. Ad esempio, l'uso di dispositivi privati per l'accesso alle risorse aziendali è diventato un tema. Il BYOD era diffuso solo per i dispositivi mobili, adesso in alcuni casi si sta diffondendo anche con i computer.

Si sono aperti degli scenari nuovi, per cui è necessario trasferire consapevolezza ai dipendenti. Probabilmente bisognerà anche rivedere le politiche di cyber security delle aziende. Bisognerà che le aziende prevedano l'uso di nuovi strumenti, che ne estendano la funzionalità e che si garantiscano un minimo di controllo.

Mi metto nei panni del Cyber Security Officer che deve gestire flussi di dati fuori perimetro e quasi completamente fuori controllo, garantire una visibilità e la sicurezza ai dipendenti quando sono a casa. Non è banale, tanto che nelle ultime due settimane ci sono pervenute una serie di richieste per strumenti di data loss prevention. Fa intuire che prima non c'erano, o che comunque il tema non era così caldo, mentre adesso lo è diventato.

Più in generale, le metodologie che esistevano già prima di questa crisi solo per alcune aree delle aziende (commerciali o chi lavora sul territorio) adesso vanno estese a tutti coloro i quali erano abituati a lavorare all'interno del perimetro aziendale. Questo mette sotto stress le infrastrutture e le politiche di sicurezza.

Ha parlato di perimetro. Alcuni sostengono che con COVID-19 il perimetro si sia polverizzato. Non conviene di più puntare sulla protezione del dato e su nuove modalità di accesso ai dati?

La tutela del dato e il perimetro aziendale sono due temi che vanno avanti in parallelo. Il perimetro era già dissolto prima della pandemia, perché con l'avvento dei dispositivi mobili ha iniziato a disgregarsi. Negli ultimi 4-5 anni c'è stata una crescita esponenziale dell'uso di infrastrutture IaaS e dei software SaaS, non è stato il COVID-19 a portarli in auge.
Fortunatamente sotto questo aspetto si era già a buon punto. Detto questo, da qui in poi le aziende privilegeranno questo tipo di approccio. Del resto, per accedere a un livello sempre maggiore di tecnologia, l'unica risposta possibile sono i servizi esterni in cloud. Il costo della manutenzione e della gestione di un datacenter interno è talmente salito (anche dal punto di vista della problematica della cyber security) da rendere inevitabile il ricorso al cloud. Soprattutto i piccoli dovranno adottare questo approccio, non vedo altre strade possibili.

Investimenti fatti adesso: quali torneranno utili anche dopo l'emergenza sanitaria? Vale la pena buttarsi sul SaaS?

Dal mio punto di vista la vera svolta avverrà nei sistemi di produzione industriale. Il mondo "office" è facile da adattare, ed è soggetto a un processo già iniziato, che ha solo subito una forte accelerazione. Quello che dovranno fare le aziende sarà modificare la propria infrastruttura. Il perimetro è dissolto, ma la spina dorsale del perimento, o quanto meno quello che lo sostiene (l'infrastruttura di gestione del dato) rimane lì. Ed è importante che sia così. Le aziende devono essere pronte a gestire più utenti in mobilità. E in questo, aziende e infrastrutture non si sono dimostrate pronte. È necessario un adattamento in quella direzione.

Dal punto di vista della security, questo cambiamento è importante perché improvvisamente quello che era un piccolo sottoinsieme di dipendenti che aveva esigenza di mobilità, diventa la totalità. Quindi è cambiata la scala, la capacità di risposta e anche l'analisi dei rischi legati al mondo della cyber security. Gli strumenti probabilmente cambieranno.

Ancora una volta, questo era un processo già in corso. Abbiamo visto uno spostamento negli ultimi due anni verso soluzioni di protezione degli endpoint più automatiche, in grado di gestire una quantità di attacchi più alta o un livello di attacchi più elevato in termini di complessità.

La visibilità da parte degli uffici di sicurezza delle aziende dev'essere maggiore, il che coinvolge la capacità di raggiungere l'endpoint anche da remoto. La gestione andrà maggiormente verso il cloud. Se ci spostiamo verso la parte più alta del mercato (medium business o enterprise) che ha qualche accortezza in più, diventeranno sempre più importanti anche le telemetrie e soluzioni cloud automatiche. Perché la quantità di dati da gestire è talmente maggiore che farlo nel proprio data center è un problema.
Così come si afferma e si continuerà ad affermare il tema dei servizi gestiti. Nel momento in cui i client sono raggiungibili ovunque, e la capacità di risposta del team di sicurezza all'interno dell'azienda è contenuta in termini di numero di persone e di competenze, ci si affida sempre di più ai servizi gestiti. Era già una direzione intrapresa, accelererà.

L'unico rischio è non fare errori nell'accelerazione. Bisogna fare le scelte giuste, studiare la strategia nella maniera opportuna – che significa spendere soldi – e fare gli investimenti corretti (critici) in quel momento. Per farlo bisogna porsi le domande giuste: che cosa mi serve? Che cosa non vedo e dovrei invece vedere? Che cosa non possono fare e dovrei essere in grado di fare?

Inoltre, gli strumenti che si adotteranno devono essere adatti alla business logic e alla nuova modalità operativa, oltre che coerenti con l'infrastruttura.

Infine, non facciamo l'errore di dimenticarci delle persone che usano questi strumenti. Si torna al tema della formazione: si devono spiegare le politiche di sicurezza, cosa non si deve fare, cos'è permesso fare e come gestire le varie situazioni. E ricordare a tutti che quando lavorano da casa i rischi aziendali sono gli stessi di quando lavorano dall'ufficio, o addirittura maggiori, cosa che tendenzialmente viene dimenticata.

Qualcuno sostiene che la cyber security in questo momento sia un importante fattore di differenziazione competitiva. Come le aziende devono sostenere i CISO?

È un problema di responsabilità e di funzione aziendale. In Italia i CISO si collocano generalmente sotto al CIO (e quindi in subordine), o in alcuni casi rispondono all'ufficio IT. Il loro inquadramento è un problema strutturale di cui si discute da tempo. In un mondo perfetto il CISO si occupa della sicurezza dell'azienda a 360 gradi e deve risponde direttamente all'Amministratore Delegato o al top management. Inoltre, deve influenzare con la sua politica di governance tutti gli altri dirigenti.
L'amara realtà è che la figura del CISO è cresciuta negli anni, ma non c'è stato un adeguamento delle strutture aziendali. Il cambiamento è avvenuto principalmente nelle aziende più grandi, nelle banche e dove l'aspetto security viene percepito come punto chiave nella logica del business. Nelle altre aziende non viene riconosciuto il ruolo critico che dovrebbe avere questa figura. Oggi non esiste un'azienda senza strumenti IT, ma la gestione della sicurezza e del rischio non è percepita allo stesso livello ovunque.

Quali sono le soluzioni Kaspersky più adatte per supportare le aziende nella fase 2?

Per la parte di formazione dei dipendenti Kaspersky ha la Automated Security Awareness Platform (ASAP), la piattaforma di formazione dei dipendenti. È uno strumento valido a qualsiasi livello perché permette di innalzare la capacità di prevenzione del rischio. È in grado di coprire i principali domini di cyber security.
Kaspersky Endpoint Security for Business riesce a fare il "lavoro sporco" sulle macchine di produzione con un comprovato livello di cyber sicurezza. Inoltre, in questo momento la mia attenzione si rivolge ai servizi gestiti, quindi alla Kaspersky Managed Protection. Aiuta le aziende a gestire il loro parco software, quindi anche l'aspetto di difesa dagli attacchi più complessi. Garantisce quel discorso di visibilità sulle telemetrie e raccolta dati di cui si parlava sopra, e fornisce un alert sugli incidenti di sicurezza in maniera molto rapida e con una buona capacità di reazione. In questo modo aiutiamo il team di security nella gestione avanzata degli incidenti.