L’evoluzione delle soluzioni Axis viaggia di pari passo con l’integrazione tra le diverse soluzioni che concorrono ad un sistema complesso, per garantire oggi la sicurezza di domani.

 

A cosa ci riferiamo quando parliamo di sistemi complessi?

Solitamente, si parla di una soluzione composta da diverse componenti o sottosistemi che possono interagire tra loro.

La norma è poi di riferirsi a questi sistemi definendoli:

• Sicuri;
• Scalabili;
• Sostenibili;
• Integrabili;

Il fatto è che la realtà è diventata molto più complessa e questi termini, apparentemente banali, assumono un’accezione completamente diversa se calati nel mondo di oggi, dove concetti come Cloud to Cloud, Centralizzazione, IoT, Intelligenza artificiale hanno iniziato a diventare di uso comune e si riferiscono a tecnologie sempre più diffuse, pervasive e presenti rispetto a quanto siamo in grado di cogliere.

Si tratta di tecnologie e di innovazioni per lo più invisibili, nascoste all’interno di strumenti che quotidianamente utilizziamo ma di cui forse non comprendiamo la portata.

Questo, alla luce dell’attuale contesto normativo, è un tema che tocca particolarmente da vicino anche noi professionisti della sicurezza, impegnati nel creare soluzioni che siano veramente sicure. In questo scenario, quindi, le domande che dobbiamo porci sono: cosa dobbiamo proteggere? E da cosa dobbiamo proteggerci?

E’ evidente che la protezione del solo asset fisico, alla quale siamo storicamente legati, non è più l’unica variabile e, probabilmente, nemmeno quella centrale: è una parte del ventaglio possibile di target, e nemmeno il più appetibile.

Nell’attività di gestione della sicurezza, vanno in realtà considerati diversi elementi chiave:

• la continuità dei servizi erogati;
• i dati di un’azienda, il nuovo «oro nero» di ogni tipo di business;
• la fiducia che la clientela, affidandoci i suoi dati, ci ha concesso.

Tutto questo perché, nell’odierno orizzonte disintermediato, è mutato completamente il paradigma di riferimento.

 

Difendere aziende e sistemi complessi

Partiamo da questo assunto: l’obiettivo di chi attacca è fare soldi, tanti e in fretta.

Fino a qualche anno fa, c’era la tendenza ad attaccare strutture governative o enti particolari per carpire chissà quali segreti o per fare il defacement di un sito, vale a dire la pratica di modificare il contenuto di una pagina mediante l’introduzione illecita di testi critici o sarcastici.

Una pratica che portava più problemi allo stesso attaccante piuttosto che all’azienda o all’organizzazione presa di mira.

L’ultimo rapporto Clusit mostra un contesto completamente diverso, dove risulta chiaramente che:

• Non si attaccano più target specifici, ma si fanno attacchi massivi e indiscriminati;
• Si cercano le vulnerabilità non per sfruttarle direttamente ma indirettamente, per essere ancora più pesanti in termini di danni causati.

E per fare questo, si sfrutta l’anello più debole, quello più facilmente bypassabile.

Ovviamente, l’uomo.

 

Educare alla protezione

Come se non bastasse, il numero degli attori coinvolti nella gestione – e nello sfruttamento – dei  sistemi complessi è sempre più grande, così come sempre diversi sono i background educativi e lavorativi da cui provengono.

In un’azienda o in un’organizzazione, siamo tutti chiamati, per scelta o necessità, a doverci interfacciare con esigenze diverse e spesso concorrenti, aggiungendo complessità alla complessità: è chiaro come nessuno possa avere tutte le competenze necessarie per poter governare al livello di dettaglio richiesto tutte le variabili in gioco.

La gestione del team, la capacità di fare networking – tra persone oltre a quello infrastrutturale – e la capacità di interagire a tutti i livelli sono le armi più forti che si possano mettere in campo.

Quando si parla di interazione, tra persone o sistemi, la situazione tende a diventare particolarmente articolata, dovendo considerare al contempo:

• la quantità di informazioni scambiate;
• il numero dei nodi, o persone, coinvolte;
• Il numero di dispositivi connessi.

E i numeri che descrivono questa complessità sono impressionanti.

Fortunatamente la scienza ci viene in aiuto anche in questo caso, fornendo strumenti, paradigmi e protocolli che permettano di governare sistemi dalle dimensioni potenzialmente incalcolabili.

Credo che sia ormai chiaro a tutti come la necessità di spingersi oltre nel modo in sui si prendono decisioni strategiche, su sistemi complessi in ambito security e non solo, sia un tema al quale non ci si possa sottrarre. Bisogna creare oggi basi solide per ciò che dovremo gestire domani in un contesto di resilienza diffusa.

 

Le idee in gioco nella gestione dei sistemi complessi

Ma quindi di cosa dobbiamo essere consapevoli, nel cominciare questo lavoro?

In primo luogo, credo siano da superare definitivamente concetti come quello dell’«isolamento dall’esterno», perché il concetto di «perimetro», che tanto è stato centrale nella precedente epoca della sicurezza, è ora completamente da reinterpretare.

È necessario che si adottino dei processi e si prendano delle decisioni ben più lungimiranti, per evitare di rimanere intrappolati in sistemi legacy che non ci garantiscano le giusta scalabilità e flessibilità in futuro.

Se vogliamo evolvere, dobbiamo imparare a uscire dal recinto, intensificando lo scambio di esperienze e know-how tra tutti noi;

In secondo luogo, una condizione necessaria ma non sufficiente: formarci e formare.

Formarci perché, alla luce delle recenti disposizioni normative, lo svolgere il «compitino» dei requisiti minimi non è più sufficiente. Tutti siamo coinvolti nella definizione delle soluzioni da adottare e tutti siamo coinvolti laddove ci siano delle conseguenze a valle del lavoro fatto da ciascuno di noi operatori del mercato.

E formare perché l’anello più debole della catena – per utilizzare ancora questa metafora – rimane pur sempre l’utente dei nostri sistemi, che deve essere aiutato e accompagnato alla scoperta dei nuovi strumenti, delle loro funzioni e della loro importanza.

 

Un ecosistema di protezione

A fare davvero la differenza, però, è un altro tipo di attività: la creazione del giusto ambiente tecnologico – del nostro ecosistema – facendo della scelte che ci garantiscano che nulla venga lasciato al caso. Si tratta di pretendere che siano in primis Vendor e fornitori a spendersi per creare soluzioni sicure «by design», per utilizzare un termine ormai comune nel nostro ambiente.

Mi riferisco al concetto che prevede di applicare metodi e strategie per minimizzare i rischi di sicurezza già in una fase iniziale di stesura di un progetto.

Una circostanza che sottolinea ulteriormente l’importanza di un allineamento sempre maggiore tra vendor che sarà la chiave per mantenere sempre aggiornati tutti i componenti dei vari sistemi.

Ci stiamo tutti abituando a destreggiarci tra queste problematiche, e spesso siamo costretti a fare scelte di compromesso piuttosto che diventare schiavi di un qualcosa che non è più scalabile o non più supportato, ritrovandoci con una tecnologia obsoleta, datata e superata.

Tutto questo è parte del lavoro quotidiano di Axis e dei suoi Partner e parte integrante delle nostre riflessioni sulle soluzioni da proporre ai nostri clienti.

Perché la sicurezza di domani comincia con le decisioni che prenderemo oggi.