Il modo in cui facciamo business sta cambiando, ma questo che impatto ha sulla sicurezza IT? Alcuni Partner VMware come IBM, Computacenter, Softcat e OVH raccontano il proprio punto di vista su un settore che ha bisogno di un ripensamento
Con più cloud, più dispositivi e più applicazioni che cambiano continuamente il nostro modo di lavorare, possiamo affermare con sicurezza che il business sta cambiando radicalmente. I rischi per la sicurezza derivanti da questo cambiamento sono elevati per le aziende di ogni settore, quindi la protezione delle applicazioni e dei dati sta diventando sempre più importante. Ciò solleva la questione se i tradizionali approcci di sicurezza che implicano il tentativo di proteggere il perimetro della rete e il monitoraggio di malware noti siano ancora adatti.
La crescente frequenza e il costo degli incidenti di sicurezza – nonostante l’aumento di budget IT generalmente spesi per la sicurezza – indicano un difetto fondamentale nei modelli di sicurezza esistenti che si concentrano esclusivamente sulla gestione delle minacce note.
I team IT necessitano di nuove tecnologie e soluzioni che consentano loro di proteggere le interazioni tra utenti, applicazioni e dati in un ambiente molto più dinamico, complesso ed esteso. Per realizzare questo cambiamento, i partner di Canale – di tutte le forme e dimensioni – devono dare il proprio contributo. Ma quali sono le loro prospettive sui modelli di sicurezza passati e presenti? Volevamo sentirlo direttamente dalle persone che hanno a che fare con i clienti giorno dopo giorno. Per questo, VMware ha posto alcune domande ad Adam Louca, Chief Technologist – Security, Softcat; Helen Kelisky, VP, Cloud, IBM UK & Ireland, Francois Loiseau, Private Cloud Technical Director, OVH e Colin Williams, Chief Technologist – Networking, Security & Unified Communications, Computacenter per avere un’idea del loro approccio alla sicurezza IT e cosa secondo loro deve cambiare per garantire una protezione veramente efficace da violazioni e attacchi in atto.
1. Dalla micro-segmentazione per limitare la capacità di un hacker di muoversi all’interno della rete, alla crittografia a livello di dati e alla sicurezza focalizzata strettamente sulle applicazioni stesse, per far rispettare il “bene conosciuto” piuttosto che tentare inutilmente di rilevare il “male sconosciuto” la sicurezza viene radicalmente ridefinita. Qual è la tua risposta a questa fotografia dello stato attuale della sicurezza IT?
Softcat: Abbiamo bisogno di più fornitori che ritengano la costruzione di un’infrastruttura sicura come una necessità e non una possibilità . I principi di sicurezza di privilegi minimi, segmentazione della rete e whitelist esistono da tempo come best practice accademiche, ma sono sempre stati troppo difficili da implementare per la maggior parte delle organizzazioni. Il problema per i clienti è operativo e il “carico” di sicurezza può essere ridotto integrando la sicurezza nelle piattaforme che già utilizzano. Ciò significa che i clienti non devono scegliere tra le migliori pratiche di sicurezza o l’efficienza operativa; possono avere entrambi.
IBM: Abbiamo bisogno di evolvere il modo in cui affrontiamo la sicurezza tradizionalmente per un futuro basato sul cloud, cercando di ottenere gli stessi risultati per diversi ambienti. Poiché i dati riguardano ogni aspetto del business, è necessario un approccio omogeneo per garantire la sicurezza in tutte le aree. La sicurezza del cloud non è solo realizzabile, ma è ora un’opportunità per guidare il business, migliorare le difese e ridurre i rischi. Trasformando le pratiche di sicurezza che sono manuali, statiche e reattive in un approccio più standardizzato, automatizzato ed elastico, si può stare al passo con le minacce in un ambiente cloud.
Computacenter: Attualmente esiste uno stato di confusione nello spazio di sicurezza IT aziendale e il tradizionale approccio “perimetro fisico” è certamente in discussione. Ma qualsiasi soluzione completa deve risolvere tutti gli aspetti legati alla salvaguardia di un ambiente – prevenzione, rilevamento, riparazione e risposta post-violazione – con le diverse tecnologie per gestire queste cose tutte strettamente integrate.
OVH: La sicurezza è il nostro primo pensiero in ogni nuova soluzione sviluppata. La nostra progettazione delle infrastrutture inizia con la sicurezza e poi continuiamo a guardare come possiamo rendere l’intero patrimonio sempre più sicuro ogni giorno. In effetti, le normative di settore come ISO, SOC e PCIDSS erano fondamentali per garantire che tutte le aziende rispettassero gli standard di sicurezza globali. Ma, mentre costruivamo le soluzioni per soddisfarle, abbiamo imparato molto sulla creazione di soluzioni innovative il più possibile sicure mentre i clienti costruiscono i loro cloud on-premise. Alcuni anni fa, i vantaggi del cloud, (OpEx, time to market, scalabilità) sono stati fondamentali per le aziende che si sono allontanate dal proprio set-up legacy. Oggi vendiamo effettivamente soluzioni cloud ai clienti in base al livello di sicurezza che porteranno alla loro organizzazione.
2. Le conversazioni che si stanno avendo con i clienti sulla loro sicurezza IT stanno cambiando? Se si, come?
Softcat: Negli ultimi dodici mesi abbiamo visto clienti dividersi in due categorie differenti; il primo gruppo si sta davvero rendendo conto che è necessario fare un serio investimento nei loro programmi di sicurezza informatica per raggiungere un livello base di resilienza – e abbiamo riscontrato un maggiore interesse da parte dei team dirigenziali all’interno di queste organizzazioni; Questa è una fantastica notizia. Il secondo gruppo è leggermente diverso. Hanno effettuato investimenti significativi in una vasta gamma di strumenti, ma stanno ancora vivendo incidenti di sicurezza. Il risultato è un livello di malessere all’interno di queste organizzazioni, che percepiscono la sicurezza informatica come un investimento infruttuoso. Questi sono i team su cui siamo particolarmente concentrati, assicurandoci che semplifichino il proprio approccio, gettando le basi corrette e costruendo la complessità solo quando richiesto.
IBM: I nostri clienti vogliono approfittare dei vantaggi aziendali derivanti dalla transizione al cloud, ma sono ben consapevoli di dover fare i conti con l’impatto sulla loro sicurezza. Gli approcci si stanno spostando dal mero obiettivo perimetrale, per esaminare i prodotti che possono sostituire gli aspetti della sicurezza forniti da router, firewall e altri dispositivi di confine a favore di servizi basati sul cloud come Cloud Access Security Brokers e Cloud Identity Services.
Computacenter: Le conversazioni sulla sicurezza stanno cambiando. Stiamo assistendo a un passaggio da una discussione storica sull’implementazione dei “prodotti point” per risolvere problemi discreti e ci stiamo spostando verso business allineati, impegni di consulenza architettonica. Le organizzazioni si stanno rendendo conto che hanno bisogno di una maggiore visibilità delle potenziali minacce o delle violazioni effettive, ma che ciò comporterà una semplificazione e un’integrazione più stretta delle soluzioni, se vogliono raggiungere questo obiettivo.
OVH: Considerando che un paio di anni fa avremmo venduto una soluzione di backup come opzione, il disaster recovery è oggi considerato intrinseco in qualsiasi soluzione. Anche l’ecosistema della sicurezza sta cambiando. In questo nuovo mondo, in cui tutto è proposto come servizio o qualsiasi cosa può essere installata con un click, i clienti non vogliono passare settimane o mesi per domare un firewall complesso o configurare un Load Balancer. Vogliono creare trigger o intelligenza nei sistemi che mantengano lo stesso livello di sicurezza su un’infrastruttura dinamica.
3. Sei d’accordo sul fatto che la sicurezza IT debba subire un ripensamento radicale?
Softcat: Credo che si tratti di un ritorno alle radici della sicurezza IT. Quello che penso stia cambiando è che stiamo vedendo gli strumenti rimettersi al passo con i modelli di sicurezza che sono esistiti sin dai primi anni ’90.
IBM: La sicurezza deve essere considerata insieme allo sviluppo e alle operations ed essere parte dei processi di Agile DevOps che stanno diventando sempre più popolari. Trattare la sicurezza allo stesso modo e definire la sicurezza come codice, riunisce i team, porta la sicurezza in primo piano per garantire che sia fondamentale quanto il Development e le Operation.
Computacenter: Il ripensamento radicale è già in corso, ma non è ancora abbastanza. L’incessante rilascio di nuovi prodotti da parte di vendor emergenti continua a indicare nuovi approcci alla sicurezza. Tuttavia, comprendere le basi correttamente e influenzare i giusti controlli di sicurezza prima di intraprendere un’altra ondata di acquisti deve essere una priorità per le organizzazioni.
OVH: L’esternalizzazione del carico di lavoro, la progettazione ibrida e il Cloud in generale hanno cambiato le regole del gioco. Parliamo spesso dell’implementazione “Cloud Native” e la sicurezza deve passare dall’essere, diciamo così, un mattone aggiuntivo all’ambiente per diventare “Cloud Native”. Ma, per essere Cloud Native, la sicurezza deve essere adattiva, conforme, evolutiva, semplice e (molto presto) senza soluzione di continuità quando implementata sotto un approccio multi-cloud.
4. In che modo portare la sicurezza IT nella rete o a livello di applicazione aiuta i tuoi clienti a raggiungere i propri obiettivi digitali?
Softcat: La digital transformation può avvenire solo in un ambiente sicuro. La trasformazione richiede investimenti dall’organizzazione e questo avverrà solo se saremo in grado di gestire il rischio. Una grande parte di questo è il rischio di breach. Integrare la sicurezza nella piattaforma di un’organizzazione aiuta a personalizzare i requisiti di sicurezza di ciascuna applicazione e servizio, in base al rischio e all’impatto della violazione. Ciò consente un deployment più rapido e più sicuro in quanto la sicurezza è integrata nel processo, piuttosto che inserita in un secondo momento.
IBM: È importante considerare il contesto e il valore dei controlli di sicurezza che sono in atto. Le organizzazioni trarranno vantaggio da un maggiore controllo, una granularità dell’accesso alla rete e una sicurezza integrata come la crittografia.
Computacenter: La rete nell’era digitale “vede tutto” e, legandosi strettamente con il layer applicativo, può essere raggiunto un grado di comprensione contestuale. La sicurezza IT a livello di rete da sola non risolve tutto, deve esistere in modo guidato dalle policy / integrato per tutto lo stack architettonico.
OVH: Il time-to-market è intrinsecamente legato all’IT aziendale. Ciò significa che spetta ai reparti IT creare una struttura che acceleri il time to market dell’organizzazione, anziché agire da collo di bottiglia. A tal fine, abbiamo visto molti clienti scegliere di divenire software-defined, con NSX a livello di rete, creando un approccio sicuro e automatizzato che consente ai dipartimenti IT di risparmiare tempo nei loro diversi lanci di piattaforme.
5. Puoi fare un esempio di un cliente che ha trasformato la propria sicurezza IT? Cosa ha fatto diversamente?
Softcat: Abbiamo lavorato con una grande organizzazione per aiutarla a trasformare il suo ambiente di sicurezza IT da un modello legacy di sicurezza aggiuntiva a un approccio zero-trust. L’azienda è passata da un’organizzazione che in passato avrebbe inseguito le minacce a una che comprendesse il rischio, l’esposizione e le mitigazioni della propria organizzazione. Li abbiamo aiutati a creare una strategia di architettura che fornisse protezioni stratificate a prescindere dal tipo di minaccia. Il tutto senza investire nella complessità degli strumenti. È incredibile quello che puoi fare quando ti fermi e torni alle origini.
IBM: La maggior parte dei clienti che trasformano con successo la propria sicurezza IT lo fa trasformando la cultura della propria attività. È necessario che entri nella mentalità che la sicurezza è lì per abilitare il business. Se l’azienda prende sul serio la sicurezza nel suo complesso, questa diventa molto più facile da preparare, implementare e gestire.
Riflessioni finali
Queste osservazioni puntano tutte verso una convinzione: la necessità di stabilire una fonte comune di verità tra le soluzioni di sicurezza odierne e l’ambiente aziendale in evoluzione che deve essere protetto. I modelli di business continueranno a trasformarsi e le persone e i dispositivi continueranno a diventare più connessi, poiché le organizzazioni si trovano a cavallo tra il mondo fisico e quello digitale. Ora stiamo vedendo le aziende superare davvero i limiti verso le nuove tecnologie, dall’IoT all’apprendimento automatico fino all’intelligenza artificiale vera e propria, per rimanere competitivi.
Questo presenta interessanti opportunità, ma anche un ambiente più complesso ed esteso che mai, con più potenziali vulnerabilità, che necessitano di protezione. Tuttavia, stabilendo una “verità” maggiore – attraverso nuovi livelli di visibilità e una maggiore comprensione del contesto – le aziende saranno maggiormente in grado di dare un senso al loro sempre più frammentato e complesso footprint IT per offrire protezione alla velocità richiesta – per garantire, abilitare, innovare e, in ultima analisi, guidare le prestazioni aziendali.