Quando si tratta di ottimizzare e razionalizzare i propri sistemi di sicurezza informatica, i manager dei team di cyber security degli enti governativi, tendono a seguire due diverse scuole di pensiero:
1. Alcuni sostengono: “Stiamo utilizzando decine di strumenti diversi di sicurezza informatica e non siamo sempre certi di quelli che possiamo sostituire senza causare un problema di sicurezza”. Spesso quindi chi si trova in questa situazione evita o minimizza le modifiche apportate alla propria infrastruttura per paura di introdurre ulteriori rischi.
2. Altri dichiarano: “Stiamo misurando attivamente le prestazioni e l’efficacia dei nostri strumenti e processi di sicurezza”. Coloro che seguono questa linea è perché riescono ad identificare ed eliminare quelli che sono ridondanti o che non offrono più valore aggiunto.
“La prima opzione è sicuramente inefficace nell’affrontare una vera razionalizzazione degli strumenti di sicurezza informatica, soprattutto in quanto non aiuta a migliorare la “security posture” aziendale”, dichiara Gabriele Zanoni, EMEA Solutions Architect di FireEye. “La seconda opzione, invece, è l’approccio migliore, in quanto ci si fa carico di implementare in modo pragmatico la soluzione migliore per la propria sicurezza, permettendo al contempo l’organizzazione di “scaricare a terra” il valore di quanto comprato e quindi ottenere un incremento misurabile in termini di ritorno sull’investimento”.
La problematica
Gli strumenti e i processi di sicurezza informatica sono migliorati negli ultimi 20 anni, i mezzi per testare, misurare e tracciare automaticamente l’efficacia della sicurezza non sono invece riusciti a stare al passo. Di conseguenza, i manager dei team di cyber security in ambito governativo, sono costretti a fare affidamento su promesse, supposizioni e a volte speranze.
“Tutti i fornitori promettono che i propri prodotti funzioneranno esattamente come sono stati da loro descritti, al contempo i clienti presupporranno che tali prodotti verranno poi distribuiti e configurati in modo ottimale”, aggiunge Zanoni. “Molto spesso però questo ricalca solamente il desiderio che i nuovi strumenti acquistati siano implementati correttamente e che, grazie alla loro aggiunta, si possa ottenere un miglioramento della propria “security posture”.
L’assioma che afferma che se non si può misurare qualcosa non lo si può migliorare è assolutamente vero. Un’efficace razionalizzazione della sicurezza dipende infatti dalla capacità di misurare con precisione e ripetutamente molti aspetti della propria infrastruttura, del team e dei relativi processi di sicurezza informatica. I CISO sanno riconoscere se possiedono strumenti ridondanti e che adempiono allo stesso scopo, ma sanno anche esattamente quali siano e dove si trovino?
La probabilità che i dipendenti, anche al di fuori del lavoro, abbiano più di un sistema antivirus (AV) attivo sui propri pc è molto alta e a dire il vero succede la stessa cosa anche in azienda dove ci sono numerosi livelli ridondanti di controlli. Tutti questi strumenti sono stati inseriti nel corso del tempo nelle reti aziendali per aumentarne la sicurezza, tuttavia non viene usato un metodo efficace per prendere decisioni (basandosi su evidenze certe) quando è necessario capire se la rimozione di una soluzione possa causare un rischio inaccettabile a livello di sicurezza.
La mancanza di visibilità sull’efficacia degli strumenti di sicurezza informatica costringe gli enti governativi ad adottare uno dei due approcci descritti all’inizio, ovvero o essere conservativi o essere eccessivamente tattici nella misurazione del rischio inerente la sicurezza informatica. L’arte della riduzione dei rischi non è solo un problema degli enti governativi; infatti, se prendessimo un’azienda qualsiasi, presente nelle Fortune 500, scopriremmo che in media impiega più di 100 differenti prodotti di sicurezza informatica. A complicare ulteriormente le cose c’è il fatto che una significativa quantità di questi strumenti si sovrappone in termini di caratteristiche/funzionalità con altri sistemi già presenti.
“La maggior parte dei professionisti nella cyber security che ci capita di incontrare, ammette di non essere riuscito ad utilizzare il pieno potenziale del proprio portfolio di sicurezza”, afferma Zanoni. “Questo è il motivo che ha portato a quello che potremmo chiamare – un sovraccarico di strumenti – e spesso anche di frustrazione sia per i team di cyber security che per il management quando si prova a misurare il reale valore della spesa per la sicurezza informatica”.
FireEye Verodin Security Instrumentation Platform (SIP) agendo super partes offre la possibilità di misurare, gestire e migliorare l’efficacia degli strumenti di sicurezza in uso.
Queste fasi sono basilari per identificare in modo chiaro, automatico e continuo ciò che funzioni e cosa invece no, inoltre vengono fornite indicazioni su come risolvere gli eventuali problemi. Le attività di remediation suggerite sono state pensate per essere facilmente comprensibili per decisori tecnici e non, con misurazioni oggettive che mostrino dove l’efficacia della sicurezza stia migliorando o peggiorando con il passare del tempo.
La soluzione FireEye Verodin SIP permette di inserire all’interno dell’ambiente di produzione dei sensori (endpoint, network, cloud) che eseguono tra di loro in modo sicuro degli attacchi reali– senza esporre a rischi l’ambiente di produzione. La piattaforma monitora e convalida continuamente le difese aziendali, contribuendo a garantire che anche le ultime tipologie di minacce siano individuate, bloccate e segnalate e che i cambiamenti nei diversi ambienti o nelle reti siano sempre compresi e che di conseguenza la sicurezza possa davvero migliorare.
La soluzione Verodin SIP aiuta gli enti governativi nell’esecuzione le loro attività di modernizzazione IT, prestando sempre attenzione all’impatto che l’adozione di nuovi strumenti ha sulla sicurezza informatica.