Conformità a General Data Protection Regulation e ISO. Il 25 maggio è arrivato, ma il grosso del lavoro è ancora da fare. Mettetevi comodi, sentiremo parlare di GDPR ancora per molto. È l’anno della cybersecurity.

Se non ve ne foste accorti dalle centinaia di e-mail e notifiche, il 25 maggio è entrato in vigore il General Data Protection Regulation. Ma questo è solo l’inizio, i grandi cambiamenti in materia di protezione dei dati personali si vedranno nel tempo.

ISO e GDPR, dicevamo. Con il 25 maggio è arrivato il General Data Protection Regulation, il regolamento generale per il trattamento dei dati personali dei cittadini e residenti in Unione Europea, sia all’interno sia al di fuori dei confini UE. Ma vogliamo parlarvi anche di difesa da malware, DDoS, access management, antifrode. Prevenzione e protezione perimetrale, applicativa e infrastrutturale. L’occasione è propizia per fare il punto sulle sfide della sicurezza ICT con Claudio de Rossi, responsabile della service line Cybersecurity di Spindox.

Dall’azienda alla casa, dallo smartphone all’automobile: tutto intorno a noi è cyber. E, allo stesso tempo, esposto ad attacchi informatici. Per questo, la sicurezza è oggi un tema trasversale che non possiamo più evitare di affrontare. Nella vita privata e in ambito professionale.

In Spindox ci occupiamo di cybersecurity da tempo, attraversando tutta la gestione aziendale end-to-end: da un lato la compliance, quindi la conformità alle normative e ai processi; dall’altro la tecnologia. «Due mondi nell’offerta di Spindox che si uniscono in una proposta consulenziale olistica per il cliente». Stiamo parlando di una linea di servizi interamente dedicata alla Cyber security. E le parole riportate sono quelle di Claudio de Rossi: un background da sviluppatore di applicazioni web ed ethical hacker, Project Manager, consulente ed esperto di cybersecurity. Oggi a capo della nuova proposta di Spindox.

Vi presentiamo la Cybersecurity

Produrre software significa confrontarsi con vulnerabilità potenziali. Per questo diventa fondamentale la fornitura di servizi di application security. Ovvero un’efficace consulenza nell’introduzione di pratiche eccellenti SSDLC (Secure Software Development LifeCycle) all’interno del ciclo di vita dello sviluppo software. «Ci sono metodologie nate appositamente per gestire e monitorare il ciclo di vita applicativo con “un occhio” alla security, tra queste la OWASP (Open Web Application Security Project), un’associazione senza fini di lucro nella quale operano esperti a livello mondiale che hanno codificato, definito e mantengono aggiornate le linee guida per sviluppare software in maniera sicura» precisa de Rossi.

GDPR, gestione del rischio, regolamenti, sicurezza, metodologie. L’idea di base dell’offerta di Spindox è presidiare i due poli opposti della cybersecurity, per attraversare la gestione aziendale end-to-end: da un lato la compliance, quindi conformità alle norme, normative, processi; dall’altro la tecnologia. Tra questi due poli c’è tutto quello che può aiutarci a migliorare e aumentare i livelli di sicurezza. «Questi due mondi nell’offerta di Spindox si uniscono in una proposta consulenziale olistica per il cliente» osserva sempre de Rossi.

Nell’ambito degli adeguamenti tecnici richiesti da normative europee e linee guida internazionali, Spindox fornisce una serie di servizi consulenziali in ambito di data governance, identity & access management, industrial IoT e ICS security, network security, security analytics, cloud security.

Il 25 maggio è passato ma il bisogno di sicurezza è appena cominciato

La Data Governance è la gestione del ciclo di vita del dato, da quando entra in azienda a quando diventa obsoleto. Dall’archiviazione alla prevenzione della perdita di dati di valore. Le aziende stanno investendo ingenti somme in questo campo poiché, se non fosse ancora chiaro, non è più possibile temporeggiare. «Abbiate cura dei dati che trattate, classificateli per proteggerli adeguatamente. Come dice il GDPR». Sottolinea Claudio de Rossi in materia di classificazione documentale.

A questo proposito, occorre dare un contributo alle aziende a livello di policy e processi: non basta implementare gli strumenti software, bisogna educare le persone e instaurare all’interno dell’azienda una politica, ma soprattutto un’armoniasui temi della security. Solo in questo modo si riesce a trasmetterne l’importanza, senza che venga percepita come un peso. Il consiglio è quello di sviluppare un solido sistema di Data Loss Prevention interposto tra l’azienda e l’esterno, allo scopo di prevenire che determinati documenti di importanza strategica o dati sensibili possano fuoriuscire dall’organizzazione.

Consapevolezza, prevenzione, formazione

In tema di sicurezza informatica, il livello di consapevolezza delle imprese italiane è ancora basso. Il Rapporto Clusit 2018 parla chiaro: in Italia solo l’1,5% del budget IT è speso per la prevenzione, contro il 6% della media mondiale. Eppure, nel 2017 il numero di attacchi gravi registrati nel nostro paese è stato pari a 1.100.

Per quanto riguarda i costi, a livello globale quelli generati dalle sole attività cybercriminali sono quintuplicati. Passando da poco più di 100 miliardi di dollari nel 2011 a oltre 500 miliardi nel 2017. Secondo il World Economic Forum la pirateria informatica rappresenta uno dei cinque grandi rischi globali dell’economia.

Il raggiungimento e il mantenimento di adeguati livelli di sicurezza dipendono in gran parte dalla consapevolezza delle persone. Per questo il lavoro che Spindox sta svolgendo è prima di tutto culturale. E lo strumento fondamentale per aumentare la consapevolezza rimane in ogni caso la formazione. Le aziende devono continuare a investire in formazione in quest’ambito.

Claudio de Rossi, Head of  Service Line Cybersecurity in Spindox

Claudio de Rossi, Head of  Service Line Cybersecurity in Spindox.

Il regolamento europeo GDPR, la conformità normativa, i sistemi embedded, il Data Protection Officer

Quello della cybersecurity è un ambito vastissimo, ma sono alcuni fronti a essere oggi particolarmente caldi. Il più imminente è di certo la conformità normativa, vista l’entrata in vigore del GDPR; poi la sicurezza dei sistemi embedded, specie in ambito automobilistico (con le connected car, di cui abbiamo raccontato una piccola parte del nostro impegno, qui), e la progettazione di SOC (security operation center, per il monitoraggio di tutti gli eventi che possono costituire fonte di minaccia).

Il GDPR è l’evoluzione di una serie di normative ed esperienze europee di gestione dei dati personali da parte delle aziende. «Nel 2003 in Italia esisteva già una legge che richiedeva l’applicazione e la mappatura dei dati: era richiesto di individuare chi li utilizzava, dove, perché e per quanto tempo li avrebbe conservati. Il regolamento europeo viene oggi percepito da molti come un investimento ingente, ma in realtà già nel 2003 il documento programmatico sulla sicurezza (DPS) era obbligatorio. Successivamente così non è stato (a seguito del Decreto Legge n. 5 del 9 febbraio 2012, convertito dalla legge n. 35 del 4 aprile 2012, ndr)» spiega de Rossi.

Chi è stato lungimirante, ha mantenuto aggiornato il DPS e oggi si trova molto più avanti nell’attività di adeguamento al GDPR. Chi invece non si è preoccupato di portare avanti questa attività, sta facendo il lavoro dal principio. Ma è bene sottolineare che non basta il DPS per essere conforme al GDPR. L’ambito principale di intervento del GDPR è poi similare all’attività che si porta avanti in materia di Data Governance: è necessario sapere quando il dato entra, quanto tempo viene tenuto, chi lo custodisce, chi accede e per quanto tempo. I principi di Accountability, Privacy By Design e Privacy By Default devono permeare la gestione aziendale dei dati personali.

Per diverse aziende sarà obbligatoria la figura del Data Protection Officer (DPO), figura di consulenza al Titolare del Trattamento. «Nella mia esperienza ho visto che un cliente medio-piccolo ha interesse ad avere una persona esterna che sia in grado di coprire tanto la gestione legale e di governance (processi, compliance), quanto la gestione della sicurezza dal punto di vista tecnologico.» specifica Claudio. Dal punto di vista tecnologico, l’implementazione di sistemi di sicurezza per limitare l’esposizione a cyberminacce è fondamentale per aumentare la sicurezza interna aziendale. In quest’ottica, Spindox personalizza il servizio in base alle esigenze del cliente costruendo l’offerta che più gli si adatta. Il 25 maggio è passato, ma il bisogno di sicurezza resta.

Gestire l’identità digitale

Sono ben noti i problemi generati dai rootkit, software malevoli che si infriltrano in aree non autorizzate all’interno di computer o parti di esso, nascondendo la propria identità. Dopo aver scoperto le credenziali di un utente e ottenuto i permessi di root o di Amministratore, avvalendosi per esempio di tecniche di social engineering, è possibile controllare al 100% il sistema infettato modificando quei software che avrebbero dovuto individuare il root e segnalarne la presenza.

Un altro tipo di attacco informatico che mira a falsificare l’identità e le informazioni è il cosiddetto spoofing (di cui esistono diverse tipologie, che agiscono a diversi livelli: network access layer, internet layer, transport layer, application layer, ecc.), di cui si avvalgono i “phishers” o social media scammers. Il fenomeno del phishing si aggiunge alla lunga coda di tipologie di truffe online, il cui scopo rimane come sempre il fingersi ciò che non si è allo scopo di rubare informazioni riservate, dati, codici di accesso.

Per la gestione delle identità digitali degli utenti, esistono soluzioni tecniche e organizzative finalizzate alla razionalizzazione delle risorse impiegate e all’ottimizzazione del risultato. L’attività consiste nell’implementazione di soluzioni IAM (Identity & Access Management) e sistemi PAM (Privileged Access Management). A questo proposito Claudio de Rossi esemplifica così: «ci sono aziende che devono gestire 40mila utenze di dominio che accedono a tutte le applicazioni aziendali. Immaginate quando una persona si licenzia, va in pensione o, al contrario, entra per la prima volta in azienda: chi se ne occupa deve poter creare un’utenza, deve poterla profilare in tutti i sistemi e gestirla. I sistemi IAM permettono di amministrare centralmente queste attività».

Uno strumento di grande utilità nella governance IT aziendale è il PAM: utenze amministrative sui sistemi più importanti possono essere gestite tramite un sistema che si interpone tra me, utente amministratore, e un server al quale possono accedere solo determinate persone con determinati privilegi di accesso. «Il PAM mi dà la profilazione senza che debba usare le mie credenziali: accedo al PAM e il sistema mi indica dove posso andare. Un sistema complesso, che insieme allo Identity Access Management, permette di avere la gestione dell’ID utente e la gestione degli accessi amministrativi in un tool centralizzato» racconta ancora de Rossi.

IoT e sicurezza

Le aziende oggi sono chiamate a ridefinire i paradigmi delle proprie attività di analisi e a monitorare in maniera continuativa l’intera infrastruttura. La protezione antimalware basata su signature (pattern conosciuti) non è più sufficiente. Oggi una strategia di protezione efficace si basa su tool di analisi del comportamento (sistemi di behaviour analytics), che permettono di valutare se quello che sta succedendo su un endpoint o all’interno della rete possa essere un attacco.

Esistono molti vendor di software e molte aziende che rivendono licenze, ma sono poche quelle che gestiscono una progettualità end-to-end in piena compatibilità con il proprio ecosistema aziendale e business. In questo senso Spindox si occupa di security assessment e adeguamento infrastrutturale; implementazione di sistemi di monitoraggio e prevenzione di attachi evoluti come malware, ransomware e APT (advanced persistent threat).

«La cybersecurity è trasversale»

Nel 2009 un malware penetrato all’interno della centrale nucleare iraniana di Natanz attraverso una chiavetta usb infetta, è riuscito ad arrivare ai sistemi di controllo industriale delle centrifughe del sistema, mettendo a repentaglio la sicurezza dell’intero impianto nucleare. Questo malware, Stuxnet, ha segnato una svolta epocale nel modo in cui la cybersecurity è entrata nelle nostre vite. Racconta de Rossi: «Tutti noi, quotidianamente, gestiamo asset digitali e a loro deleghiamo parte delle nostre informazioni e delle nostre vite. In un contesto globale all’interno del quale siamo tutti sovraesposti alle cyber minacce che provengono da qualunque parte del mondo, Spindox si propone come partner consulenziale per aumentare la consapevolezza e la protezione delle aziende nel loro business».

Poi conclude: «Spindox, nell’ambito della service line Cybersecurity, ha deciso di adottare un approccio olistico all’offerta: partendo dai processi, arrivando alle tecnologie. Coprendo tutti i livelli aziendali dei propri clienti.»