Arbor: quanto conta il fattore umano nella protezione dagli attacchi informatici?

redazione

A cura di Ivan Straniero, Regional Manager, Southern & Eastern Europe di Arbor Networks

 

Le reti aziendali più complesse, come servizi e infrastrutture cloud, applicazioni mobili, desktop virtuali, SDN/NFV e sistemi IoT, mettono a dura prova i team addetti alle operazioni di rete e alla sicurezza. Come se non bastasse, attacchi sempre più sofisticati e insistenti mettono in discussione le strutture e le funzioni organizzative tradizionali.

 

La tecnologia in evoluzione può svolgere e svolgerà senz’altro un ruolo di rilievo: flussi di lavoro integrati e maggiormente automatizzati, intelligenza artificiale per operazioni di gestione e analisi dei messaggi di allerta più rapide, oltre a informazioni sulle minacce più utili e meglio integrate. Tuttavia, da sola una tecnologia migliorata non è affatto sufficiente per proteggersi dagli attacchi odierni. Infatti, proprio come occorre che la tecnologia si evolva, lo stesso vale per i rapporti di lavoro tra i team che si occupano di operazioni di rete e quelli che si occupano di sicurezza.

 

Il punto di convergenza naturale. La rete è costantemente attraversata da attacchi avanzati, che vanno dal Command & Controller esterni, passando per i movimenti laterali volti a sfruttare le vulnerabilità, fino all’effettiva estrapolazione di dati preziosi. La visibilità della sicurezza della rete è un punto di convergenza naturale tra i team addetti alla sicurezza e quelli addetti alle operazioni di rete. Security Architect, tecnici e analisti dei SOC assumono un ruolo guida in ambito di cyber sicurezza; tuttavia, i team di rete sono essenziali per la mitigazione e il ripristino dei sistemi a un corretto funzionamento. Per riuscire ad arginare e ovviare ai problemi, spesso gli analisti della sicurezza si trovano a lavorare a stretto contatto con gli amministratori di endpoint e di rete (e in alcuni casi ad affidare loro dei compiti).

 

La collaborazione oggi. Come viene percepita l’attuale collaborazione dai team addetti alla sicurezza e dai team IT? Ogni anno, ESG Research e ISSA svolgono congiuntamente il report su scala globale “The State of Cyber Security Professional Careers”; dalle risposte di 437 professionisti che operano in questi due ambiti è emerso che la percezione del rapporto è migliore tra gli intervistati con una posizione lavorativa di livello più alto: il 48% dei manager ha valutato molto positivo il rapporto. Ma quando la domanda è stata posta a coloro che operano in prima linea in ambito di cyber sicurezza i risultati non si sono rivelati altrettanto incoraggianti. Soltanto il 32% dei professionisti di livello base intervistati, infatti, ha valutato il rapporto di lavoro molto positivamente.

 

Le tre difficoltà principali tra i team IT e quelli di sicurezza sono:

  • Assegnazione delle priorità tra i due gruppi
  • Coordinamento dei processi
  • Allineamento degli obiettivi

 

Certo, la tecnologia può promuovere la collaborazione mediante una migliore condivisione dei dati e flussi di lavoro automatizzati e comuni tra i team addetti alla rete e alla sicurezza. Possono essere costituiti dashboard e interfacce utente adattabili in base alle specifiche competenze dell’utente, ma sempre operando sulla base di dati e definizioni condivisi e convenuti. Tuttavia, per una migliore collaborazione non si può prescindere da nuovi processi e dalla trasformazione dei rapporti di lavoro tra i team addetti alla rete e quelli che si occupano di sicurezza.

Collaborazione più efficace. Per favorire un migliore coordinamento tra i team è essenziale accordarsi sulle definizioni di alcuni aspetti basilari: cos’è un incidente di sicurezza e come vengono assegnati i livelli o le priorità di sicurezza?

 

Un altro ingrediente imprescindibile è dato da comunicazioni costanti e iterative che permettono di stabilire le priorità relativamente agli incidenti e concentrare gli sforzi, in particolare durante la risposta agli incidenti stessi, ma non solo.

Tra gli interventi a livello strutturale e organizzativo in fase di adozione volti a promuovere un migliore coordinamento tra i team si annoverano:

  • Maggiore partecipazione del team sicurezza nella pianificazione IT
  • Adozione di processi o strutture IT nuovi quali COBIT, ITIL, NIST-800, ecc.
  • Trasferimento di mansioni specifiche dal team IT a quello della sicurezza

 

L’abituale partecipazione degli addetti alla sicurezza alla pianificazione IT è un passo notevole verso un livello superiore di trasparenza e di fiducia tra i team e permette loro di essere coinvolti sin dagli esordi nelle nuove iniziative IT legate a pianificazione, test e attuazione. Allo stesso modo, strutture come COBIT e ITIL hanno la capacità di formalizzare i flussi di lavoro e favorire comunicazioni costanti. Il tutto allo scopo di sviluppare la fiducia tra le organizzazioni e tra i componenti dei team.

 

Lavori in corso. Una sicurezza efficace non è mai la responsabilità di un singolo. Le crescenti complessità delle reti più grandi e le capacità dei criminali informatici avanzati mettono in discussione le strutture e le funzioni esistenti nelle organizzazioni. Per una cyber sicurezza affidabile è dunque necessario un lavoro collettivo costante volto a migliorare la convergenza dei team di operazioni di rete e sicurezza. Infatti, proprio come tecnologia e strumenti si evolvono, anche i team addetti alle operazioni di rete e alla sicurezza sono costretti a mutare costantemente il proprio rapporto di lavoro.