digital relax: si parte con I servizi gestiti per la sicurezza

il gruppo E torna CON una nuova serie podcast in 6 episodi, digital relax, da ascoltare per scoprire, senza fretta, le novità dell’it: tecnologie, trend e atteggiamenti ricorrenti da parte delle aziende. il primo episodio è dedicato ai servizi gestiti e tenuto da giovanni stilli, direttore della business unit infosec del gruppo e. Il podcast è prodotto in collaborazione con radioit.

Quando un'azienda opta per l'outsourcing di questo tipo di servizi, significa che decide di far gestire la sua infrastruttura e struttura informatica da un team esperto esterno. Questa collaborazione prevede la definizione di accordi contrattuali chiamati Service Level Agreement, o più semplicemente SLA, nei quali vengono stabiliti in modo chiaro i criteri e gli standard di servizio. Ma perché ultimamente si parla tanto di servizi gestiti?

GIOVANNI STILLI Parto subito facendo un esempio. Se tu fossi il CIO di un’azienda con poche persone a disposizione nel reparto IT, magari per questioni di budget, queste avrebbero come priorità la gestione degli applicativi di business, che molto difficilmente potrebbero essere esternalizzate a livello di gestione. Ma le tecnologie legate all’infrastruttura e alla sicurezza evolvono in modo rapido, e la formazione delle persone è complessa, costosa e richiede moltissimo tempo. Quindi delegare all’esterno questa gestione è la soluzione migliore. Se le aziende enterprise possono optare, per disponibilità di risorse, per la gestione interna, per le aziende medie e le PMI la scelta di rivolgersi a professionisti esterni è praticamente obbligata. Tra l’altro la sicurezza ha un’aggravante, che è il talent shortage, quindi il servizio gestito è ancora di più una buona idea.

Ecco già un punto molto caldo. Quando si parla di talent shortange ci si riferisce alla difficoltà nel reperire professionisti con competenze tecniche specifiche, anche a causa del rapido sviluppo che il settore della sicureza sta affrontando. Ma cosa è cambiato rispetto al passato?

GIOVANNI STILLI In passato la cybersecurity non era come oggi, si riduceva a pochi elementi. C’erano i firewall (di fatto delle scatole magiche) e l’antivirus (un antidoto contro i virus). Oggi, invece, c’è Internet del tutto, c’è l’IoT, c’è la governance, ci sono soluzioni proattive. Ci sono molti più strati, molti più approcci, molte più competenze e più tecnologie. Le infrastrutture hanno aperto il perimetro completamente: una volta era quello aziendale, oggi il perimetro non esiste perché si lavora ovunque e in qualsiasi momento, si lavora con supply chain infinite. Una volta il personale interno non doveva acquisire tante competenze, oggi la security è quasi verticale. Ci sono figure aziendali specializzate, ma che non possono in nessun caso coprire l’interezza della materia. È qui che entrano in campo gli specialisti.

Sembra tutto molto semplice: si chiamano degli esterni e si affida a loro la gestione della sicurezza. 

GIOVANNI STILLI Ovviamente no, non è semplice. Nulla in sicurezza informatica è semplice. Innanzitutto, sicurezza significa informazioni sensibili e quindi la delicatezza della materia è estrema. In secondo luogo, c’è il tema della fiducia: il player che si occupa della gestione dei tuoi dati deve essere degno della tua fiducia. Deve essere competente, deve avere personale con casellario giudiziario verificato, deve dare garanzia di qualità. Non ci si improvvisa. Capisci bene che le cose sono molto complesse ed è difficile gestire internamente la sicurezza.

Facciamo qualche esempio? Qual è il tipico servizio gestito?

GIOVANNI STILLI Sicuramente il Security Operation Center, che è il presidio che intercetta l’anomalia che fa sospettare una minaccia nella tua azienda. Sono poche le aziende che hanno lo hanno interno e anche chi lo ha, spesso si appoggia all’esterno per elementi specifici. Ma è solo il primo che mi viene in mente. Oggi è il momento dell’AI, sono veicolate non solo con la vendita di un prodotto, ma esistono sempre di più prodotti che vengono confezionati come servizi e che sono erogabili sostanzialmente come tali.

Per esempio, gli strumenti di Surface Attack Management si pongono esternamente al tuo perimetro per individuare le vulnerabilità. Nei casi di aziende enterprise, questo è interno, ma come concetto di servizio gestito sta crescendo molto: avere una visibilità dell’infrastruttura dal punto di vista dell’attaccante, aiuta il contenimento degli attacchi.

Oppure anche il Cloud Posture Management, servizio sempre più rilevante perché il cloud o meglio il multicloud è una realtà per molte aziende e quindi il perimetro cloud è ormai distribuito, con applicazioni ovunque e di tutti i tipi, ormai riferite ai nuovi paradigmi del devsecops.

 Come si misura l’efficacia dei servizi gestiti? Quali sono i KPI?

 GIOVANNI STILLI Eccone alcuni:

• Tempo di risoluzione degli incidenti: che misura il tempo medio necessario per risolvere un problema o un incidente. Quando è ridotto indica una risposta rapida e efficiente del team di supporto.

• Disponibilità del servizio: indica la percentuale di tempo in cui i servizi sono disponibili e accessibili agli utenti finali. Se è alta suggerisce una buona gestione e manutenzione dei servizi.

• Conformità ai livelli di servizio: valuta il grado di aderenza ai livelli di servizio concordati tra il fornitore di servizi gestiti e il cliente. Se elevata indica una fornitura affidabile e coerente dei servizi.

• Efficienza delle risorse: misura l'efficienza nell'utilizzo delle risorse, come il tempo dedicato dai dipendenti alla gestione degli incidenti o il consumo di risorse di calcolo e di archiviazione.

• Risoluzione al primo contatto: indica la percentuale di problemi risolti con successo al primo contatto con il supporto tecnico. Se elevato suggerisce una risoluzione efficiente dei problemi.

• Risparmio di costi: misura i risparmi di costo derivanti dall'outsourcing dei servizi IT rispetto alla gestione interna. Questo può includere riduzioni dei costi operativi, miglioramenti dell'efficienza e ottimizzazione delle risorse.

• Aggiornamenti e patch applicati: monitora la tempestività nell'applicare aggiornamenti software e patch di sicurezza per mitigare i rischi di vulnerabilità e violazioni dei dati.

Quali cambiamenti ha portato l’AI nei servizi gestiti di sicurezza?

GIOVANNI STILLI L’intelligenza artificiale è uno degli elementi che rende oggi i servizi gestiti così importanti: abbiamo visto subito i vantaggi enormi che porta. Pensiamo a Internet. Quando è arrivato Internet potevamo scambiare informazioni in modo immediato, senza infrastrutture mastodontiche. Internet ha liberato il potenziale della comunicazione informatica dalla pesantezza delle infrastrutture e messo in condizione tutte le aziende di comunicare e scambiare dati. Poi abbiamo capito che questa tecnologia poteva essere utilizzata altrettanto bene da chi aveva intenzioni malevole. Tutti potevano raggiungere tutti, anche i cybercriminali potevano. Oggi con l’AI sta succedendo esattamente la stessa cosa. Lo sappiamo per certo perché abbiamo studi condotti da vari enti nel mondo che lo confermano. Ormai le AI sono patrimonio dei cybercriminali. La usano per accelerare e rendere più efficace l’attacco. Una ricerca dice che prima per costruire un attacco si usavano strumenti automatici piuttosto lenti e ci volevano giorni. Oggi, invece, ci vogliono pochi minuti per fare la stessa cosa. L’AI entra in gioco anche nel rendere l’attacco più sofisticato, quindi si assiste a un incremento esponenziale del numero e dell’efficacia degli attacchi. Un servizio di sicurezza gestito è uno dei modi per contrastare questa nuova potenza d’attacco.

E per quanto riguarda, invece, la difesa? Che ruolo svolge l’AI?

GIOVANNI STILLI Assolutamente sì. Oggi l’AI è lo strumento che ti permette di analizzare in tempi estremamente ristretti enormi quantità di dati, con correlazione rapidissima. Identifica subito il target e ne discerne subito la veridicità e la pericolosità. L’AI si sta prestando a mille ipotesi diverse su nuovi servizi o prodotti. È in molti casi la tecnologia che si adatta a esigenze molto diverse che nascono da bisogni concreti. Grandi passi in avanti si stanno facendo sul fronte dell’interazione e nella consultazione dei dati.

Un esempio è l’interazione in linguaggio naturale del SOC. Noi ad esempio lavoriamo per implementare l’AI generativa conversazionale un gemello digitale o digital twin che sostituisce le classiche dashboard di controllo riguardanti tutto ciò che fa il SOC. Chi lo interroga può utilizzare il linguaggio naturale per capire come stanno le cose in quel preciso momento della sua posture di sicurezza. Quindi non deve leggere un report complesso, ma chiedere semplicemente a un avatar “come sono messo?” o “quanti attacchi critici abbiamo subito a oggi” o “come abbiamo reagito”. È un importante passo avanti nell’interazione e quindi nell’efficacia del lavoro sulla sicurezza.