TEISS London 2020: lo stato della sicurezza tra formazione e tecnologia

di pubblicata il , alle 18:41 nel canale Security TEISS London 2020: lo stato della sicurezza tra formazione e tecnologia

The European Information Security Summit, o TEISS, è una delle principali conferenze in Europa sulla sicurezza. Si è parlato di come affrontare le sfide cui vanno incontro le aziende, tra problemi tecnologici e di formazione

 

La sicurezza deve partire dall'educazione delle persone e dal rendere gli strumenti quanto più possibile facili da usare. Questi i due temi principali di cui si è parlato al TEISS London 2020, la conferenza europea sulla sicurezza delle informazioni. Presenti tutti i principali vendor di sicurezza e moltissime aziende dei settori più disparati, che ci hanno raccontato lo scenario della sicurezza attuale.

Quale approccio alla sicurezza tenere? Cosa vuol dire "sicurezza"?

Cosa vuol dire "security by design"? La protezione non deve concentrarsi solo sull'azienda, ma anche sui suoi utenti e su tutte le persone che possono essere coinvolte. L'approccio alla sicurezza deve cambiare: deve esserci la garanzia non solo che i dati siano protetti e che le aziende non subiscano danni, ma anche che tutte le altre parti in gioco (gli stakeholder) abbiano le stesse garanzie. Ciò significa proteggere tutte le persone potenzialmente coinvolte, inclusi i clienti, i fornitori e tutte le persone di cui si abbiano dati. I potenziali danni derivanti da falle nella sicurezza non coinvolgono solo le aziende, ma anche tutte le persone di cui le aziende abbiano dati.

Qui entra in gioco un'ulteriore questione. Il problema dell'uso della tecnologia nella società è: come cambia il tessuto sociale? Un esempio è quello del riconoscimento facciale in pubblico: come influenza la società? Quanto l'attuale situazione di "Far West" normativo, in cui la regolamentazione del fenomeno è lasciata addirittura alle singole città, può andare avanti? Secondo Stephanie Hare, ricercatrice e divulgatrice, la tecnologia non è neutrale: non si tratta solo di un semplice strumento che può essere utilizzato in maniera positiva o negativa - ad esempio un coltello, che può essere utilizzato tanto per preparare del cibo come per fare del male. Alcune tecnologie devono essere strettamente controllate perché il rischio è quello di un uso scorretto dei dati da parte dei criminali, ma anche delle aziende stesse o dei governi. Un esempio è l'intelligenza artificiale e il suo uso in campi come il riconoscimento facciale.

Bisogna ripensare l'approccio alla sicurezza in senso globale e a livello di società: deve dunque instaurarsi un nuovo paradigma che veda la sicurezza del dato - a chiunque questo appartenga e comunque sia stato acquisito - come centrale e fondamentale non solo per tutelare l'azienda, ma anche per tutelare il dato stesso e i potenziali usi scorretti che è possibile farne. In ultima analisi bisogna proteggere le persone.

TEISS London 2020: gli strumenti devono adattarsi all'uomo, non viceversa

Può sembrare scontato dire che sono gli strumenti a doversi adattare all'uomo anziché il contrario, ma finora il mantra nel mondo della sicurezza è stato "il principale problema sta tra la sedia e il monitor". È ancora vero: il 90% dei problemi di sicurezza nasce da errori umani, secondo CybelAngel. Eppure questo deriva dalla sempre maggiore complessità degli strumenti e degli attacchi, dunque la risposta non può essere soltanto che sono le persone a doversi far carico di affrontare questa complessità.

Non bisogna infatti attendersi che le persone siano attivamente interessate alla sicurezza quando il loro lavoro riguarda altri ambiti. Per questo bisogna utilizzare messaggi efficaci che facciano capire alle persone perché la sicurezza e la protezione delle proprie password siano importanti. Ma bisogna anche utilizzare strumenti che rendano loro più semplice il rispetto delle misure e delle normative. Un esempio pratico raccolto da un'azienda presente alla conferenza è quello dell'imposizione dell'uso di password lunghe circa 20 caratteri, più difficili da ricordare, controbilanciato però dall'uso di gestori di password (software come KeePass, ad esempio) e dalla promessa che tali password più lunghe non sarebbero più state cambiate.

Il punto è che non si può chiedere a persone il cui lavoro si concentra su altri settori e altre problematiche di farsi carico di formarsi da sé e di rispettare i dettami degli esperti di sicurezza in azienda. La risposta agli approcci tipici verso la sicurezza è stata semplice: le persone non solo non rispondono alla formazione, ma fanno di tutto per scavalcare quelle che vedono come misure draconiane che gli impediscono di lavorare correttamente.

La soluzione è quella di adottare strumenti che semplificano la vita dei lavoratori: lettori di impronte (o altri metodi di autenticazione biometrica) anziché password, gestori di password con inserimento automatico delle credenziali, accompagnamento delle persone nella formazione e ascolto delle loro esigenze per trovare soluzioni di sicurezza anziché imposizione dall'alto. Sembra tutto davvero ovvio, ma le aziende che implementano queste (apparentemente) semplici direttive sono una stretta minoranza e il risultato è una generale situazione che va da una sicurezza traballante a una disastrosa.

Soluzioni come quelle proposte da BlackBerry, che semplifica l'accesso alle informazioni riservate con sistemi di autenticazione trasparenti (ovvero invisibili all'utente), o da Yubi, che sostituisce le password con gettoni di autenticazione via hardware, sono esempi di applicazioni reali di questi concetti di semplificazione. Per mutuare un'espressione sentita durante la conferenza, la sicurezza deve diventare ergonomica.

La formazione come chiave per sconfiggere il phishing

State of the phish: lo stato delle tecniche di phishing. Proofpoint ha condotto una ricerca tra gli utenti riguardo il phishing e lo stato di questa tecnica di truffa, che rimane la più utilizzata e la più pericolosa per le aziende e per i privati. Solo il 61% di circa 3.500 intervistati ha risposto correttamente alla domanda "cos'è il phishing?": questo significa che il restante 39% non è in grado di capire quali email possono costituire un pericolo. Ben il 35% degli utenti aziendali apre allegati malevoli.

Storicamente la difesa si è concentrata sui sistemi, ma quello che emerge chiaramente da questi dati è che il punto debole è effettivamente quello umano. Gli attaccanti si concentrano sempre più proprio sulle persone e la difesa deve concentrarsi su queste per risultare davvero efficace.

Per questo le aziende devono farsi carico di formare le persone in maniera continua e attenta affinché queste possano evitare le minacce, aiutandole con strumenti in grado di semplificare il loro lavoro e creando procedure semplici per riportare eventuali problemi.

Cloud: una nuova sfida o vecchi problemi in una nuova forma?

Il cloud mette le aziende di fronte a nuove sfide: si tratta di un nuovo panorama che cela sfide apparentemente nuove, ma in realtà spesso già viste con gli ambienti tradizionali.

Molte aziende che prima davano in outsourcing la gestione del proprio data center si rivolgono ora al cloud, senza però capire realmente la portata di questa scelta: ciò comporta infatti il fatto di doversi fare carico di molti aspetti che prima erano in outsourcing. Ciò implica che sia necessario avere le competenze internamente per gestire il tutto. Le aziende devono fare "design for resilience" per assicurarsi di poter rispettare i SLA e questo significa che non si può più fare semplicemente "lift and shift" (ovvero una copia delle macchine virtuali sul cloud), bisogna riprogettare la propria infrastruttura come cloud native.

Secondo Francesco Cipolloni, presidente del capitool londinese della Cloud Security Alliance, "il cloud richiede formazione: degli sviluppatori, dei sistemisti e di tutte le altre persone coinvolte. Bisogna comprendere il modello di responsabilità condivisa per poter sfruttare il cloud."

È responsabilità anche (e forse soprattutto) dei cloud provider fornire informazioni corrette su come rendere sicuri gli ambienti, nonché su come operare nella maniera migliore. Il modello cloud è sempre a responsabilità condivisa: i provider devono quindi essere più attivi nel far presente questo fatto e nel rimarcare la responsabilità di sviluppatori e amministratori nel configurare correttamente le proprie istanze. Come ha affermato Thom Langford, fondatore di (TL)2 Security, "il problema è che i fornitori di servizi cloud si comportano come spacciatori che forniscono dosi ai propri clienti". È certamente una visione estremizzata ed eccessiva, che però rende l'idea di come i provider di servizi cloud spesso non comunichino correttamente i rischi e le problematiche del cloud.

Un ulteriore argomento di discussione che è emerso parlando con le varie persone presenti all'evento è quello della direzione che prenderà la tecnologia: quale sarà la prossima evoluzione? Quali punti deboli avrà? Quali attacchi saranno possibili e, quindi, quali difese dovranno essere messe in piedi? Al momento non è possibile saperlo: nessuno ha un'idea chiara di quale possa essere l'evoluzione futura delle tecnologie aziendali, almeno non su larga scala.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
^