Temi quali l’automatizzazione industriale, l’intelligenza artificiale, il deep learning, il machine learning, la manutenzione predittiva, sembrerebbero porre le basi per un contesto lavorativo e produttivo in cui l’intervento dell’uomo andrebbe a esaurirsi nelle fasi progettuali e di prototipazione, limitandone l’intervento fino alla messa a terra del sistema IT/OT.
La realtà, invece, è ben diversa, ed evidenzia come il fattore umano abbia un peso sempre più rilevante non solo nella progettazione, ma anche nell’analisi, implementazione e manutenzione nel tempo di soluzioni infrastrutturali su cui si innestano sistemi autonomi ad elevato contenuto innovativo.
Vulnerabilità: conosci i tuoi limiti
È chiaro che il contesto di cyber security non possa prescindere dal prendere atto che, ancora oggi, vulnerabilità gravi dei sistemi informatici (IT) e operazionali (OT) costituiscano i principali target degli “hackers”, in grado di intercettare anelli deboli dell’ecosistema aziendale attraverso strumenti più o meno subdoli, anche attraverso piattaforme social, mailing e persino di messaggistica istantanea. Le potenzialità di tali attacchi è di fatto direttamente proporzionale al grado di esposizione WAN dell’infrastruttura utilizzata. Ragionare di architetture cloud e cyber security è, dunque, oggi assolutamente necessario.
Cloud e Saas: non si torna indietro
Tecnologie e soluzioni come Cloud, EDGE e altre tecnologie infrastrutturali correlate a tipologie di software perlopiù SaaS (Software as a Service), sono ormai imprescindibili per le aziende che vogliano realizzare logiche di interconnessione e condivisione informativa su più livelli, estrapolando valore dai dati. Facili e superficiali pregiudizi nei confronti di queste tecnologie, basati su analisi non circostanziate delle varie realtà, sono assolutamente controproducenti per qualunque azienda, data la competitività dell’attuale mercato, non solo per chi faccia dell’innovazione tecnologica il proprio grido di battaglia.
Eppure, se guardiamo alla necessità di acquisire competenze specialistiche per realizzare architetture robuste e solide, recenti studi – come quello di Sophos “The state of Cloud Security 2020” – vanno ad attestare, purtroppo, scenari inquietanti anche su aspetti basilari della cybersecurity, come errate configurazioni dell’infrastruttura Cloud.
Gestione del rischio (risk management) e consapevolezza (“awareness”)
Per garantire un ambiente di condivisione digitale adeguato, è anzitutto necessario mappare le entità che hanno accesso ai contenuti attraverso una fase analitica preliminare, attraverso la quale si effettua un accurato censimento di casi d’uso operativi e rischi correlati al grado di esposizione che si vuole raggiungere. Ricordiamo che la gestione del rischio è ormai alla base anche della nuova normativa europea a protezione dei dati personali (GDPR).
Per poter utilizzare efficacemente gli strumenti messi a disposizione dall’infrastruttura cloud-like prescelta ed estenderli con ulteriori servizi accessori (in logica SaaS) è richiesto un grado di expertise necessariamente specialistico e multi-approccio. Nel report di Sophos sopra citato si afferma, tuttavia, che a fronte di violazioni dei dati e della sicurezza che nell’ultimo anno hanno colpito il 70% delle organizzazioni, solo un quarto delle aziende considera le competenze del proprio personale come un fattore strategico per la sicurezza degli assets.
L’indagine condotta dagli esperti Sophos, su un elevato numero di account attestati su tecnologie Cloud, ha rivelato che l’esposizione accidentale dei dati attraverso servizi di posizionamento documentale, con errata o incompleta configurazione, continua ad essere una delle principali cause dei danni cagionati alle realtà aziendali. Ben il 60% delle realtà archivia – su infrastrutture di storage services – dati, anche rilevanti e confidenziali, in modalità non criptata. Ciò, di fatto, pone a disposizione degli attaccanti l’intero bagaglio informativo dell’azienda senza alcun tipo di ulteriore effort richiesto.
Resilienza agli attacchi informatici
Se da un lato, dunque, la mancanza di competenze porta a commettere errori anche su aspetti basilari come la cifratura dei dati strategici, dall’altro la tipologia di attacchi “brute force” – attuati ad esempio veicolando ransomware verso il public cloud – mette a dura prova le policies di cyber security dei service provider stessi, chiamati a fornire alla propria clientela non soltanto evidenze tecnologiche sulle misure intraprese (preventive), ma anche una knowledge base che attesti la capacità di reagire adeguatamente all’evento di intrusione, una volta verificatosi.
Ricordiamo che da maggio 2018 tutte le imprese hanno l’obbligo di notificare al Garante per la protezione dei dati personali – senza ingiustificato ritardo e, ove possibile, entro 72 ore dal momento in cui ne è venuto a conoscenza – ogni violazione di dati personali subìta. A tal fine, i service provider – responsabili del trattamento ex art. 28 GDPR – sono tenuti a collaborare con le aziende clienti (titolari del trattamento) affinché queste possano rispettare quanto previsto dalla nuova normativa europea.
In questo contesto, è buona norma che titolare e responsabile prevedano una procedura specifica sulle azioni da intraprendere in caso di violazione dei dati, individuando – grazie a una matrice RACI – ruoli, risorse e attività del team preposto a dare una rapida ed efficace risposta in caso di data breach.
