Come cambia il ruolo del CISO con l’#IoT? Dalla tecnica alla strategia

L’Internet of Things si sta gradualmente diffondendo e molte aziende e organizzazioni ne sfruttano quotidianamente i vantaggi: secondo McKinsey, entro il 2025 l’IoT raggiungerà un valore complessivo di 6.200 miliardi di dollari all’interno dello scenario economico globale mentre, secondo TEKsystem, la maggior parte delle aziende si aspetta che l’Internet of Things migliorerà profondamente la customer experience, favorirà i processi di innovazione in tutti i reparti, sarà in grado di abilitare nuovi e più efficienti metodi di lavoro e, soprattutto, riuscirà a generare nuovi flussi di ricavi. Le previsioni e i numeri sono diversi tra loro ma la potenzialità dell’IoT non è materia di discussione, piuttosto il problema che viene sempre citato e che genera preoccupazione è quello relativo alla cyber security: come proteggere l’ecosistema IoT e quali sfide bisogna affrontare? E soprattutto, come le imprese possono gestire il cambiamento e a chi affidare il timone della digitalizzazione IoE?

Le sfide per la sicurezza dell’IoT

IotLa cyber security è un aspetto fondamentale per le aziende e oggi acquista sempre più importanza: in generale, secondo l’Annual Security Report di Cisco, tra il 2014 e il 2015 il numero di organizzazioni che dichiarano di avere infrastrutture di sicurezza aggiornate per affrontare le sfide della cyber security è sceso del 10%; i ricercatori Cisco hanno scoperto, inoltre, che sul 92% dei dispositivi Internet sono in esecuzione vulnerabilità note e che il 31% di tutti i dispositivi analizzati non è più supportato o gestito dal vendor.

In questo contesto, l’ecosistema dell’Internet of Everything arriverà a comprendere 50 miliardi di device connessi entro il 2020, tuttavia bisogna tener presente che secondo un sondaggio di Forrester condotto in tutto il mondo, il 47% delle organizzazioni industriali che utilizzano o intendono utilizzare la tecnologia dell’Internet delle cose ha già subito violazioni di sicurezza, spesso accorgendosene anche dopo molto tempo.

La protezione della IoT pone nuovi tipi di ostacoli che andranno studiati e superati; secondo Cisco le tre principali sfide per chi crea soluzioni per la sicurezza dell’Internet delle cose sono:

  • Scalabilità: la soluzione di sicurezza non deve essere pensata per poche applicazioni o per sistemi specifici, ma deve e essere potenzialmente scalabile a centinaia di migliaia (o addirittura) milioni di endpoint;
  • Protezione in luoghi remoti: è molto facile veder installati end-point e periferiche come sensori in luoghi poco accessibili, difficili da raggiungere senza un gruppo di persone o comunque una preparazione adeguata, come alcuni punti ferroviari, i bordi delle autostrade o altre zone remote dove i sensori possono comodamente sostituire la rilevazione umana; il problema, però, è che i cyber criminali possono manomettere questi dispositivi senza essere visti; a questo proposito le aziende di security devono creare sensori e device in grado di resistere alle intemperie ed essere aggiornati e protetti a distanza;
  • Affidabilità nella rilevazione: molti uffici tecnici esitano nell’utilizzare tecnologie di rilevazione ne timore di compromettere sistemi critici; anche una semplice scansione delle porte di accesso può provocare, in alcuni dispositivi IoT, l’arresto delle operazioni ordinarie e il costo dei tempi di inattività può addirittura superare (nei casi più eclatanti) il costo per la protezione dei dispositivi; per questo motivo molte aziende preferiscono non ricorrere alle protezioni piuttosto che rischiare un’interruzione a causa di un falso positivo; questo atteggiamento è molto pericoloso e rende le aziende sostanzialmente “cieche” nei confronti delle minacce.

Come cambia il ruolo del CISO con l’IoT

Come affrontare tutto questo? Nelle imprese il ruolo chiave chiamato a gestire il cambiamento è quello del Chief information security officer (CISO) che, di concerto con i vertici aziendali e con le altre funzioni d’impresa, sta assumendo un ruolo di primo piano nella costante sfida che attaccanti e minacce sempre più sofisticate portano a infrastrutture, servizi e dati.  Tuttavia, anche se le organizzazioni si stanno attrezzando, secondo una ricerca del Politecnico di Milano, oggi solo il 42% delle grandi aziende può dire di aver formalizzato al proprio interno una figura di Chief Information Security Officer. Eppure si tratta di un ruolo che, anche per effetto dell’IoT, muove verso una completa ridefinizione.

  1. Il CISO non si occupa più solo della sicurezza del “perimetro aziendale”: come spiegato sulle pagine di TechEconomy da Ettore Guarnaccia, Responsabile ICT e Sicurezza Logica del Gruppo Banca Popolare di Vicenza, i nuovi device hanno letteralmente dissolto il concetto di perimetro aziendale e di orario lavorativo, si lavora ovunque e in qualsiasi momento; i dati, che una volta erano conservati nel data center, oggi sono distribuiti su cloud, servizi di messaggistica e dispositivi mobili e l’enorme volume di informazioni digitali che viene oggi generato e utilizzato dalle aziende crea, di fatto, immense sfide per chi ha il compito di proteggerne il valore;
  2. Il CISO deve cominciare a considerare i rischi fisici: l’Internet of Things presenta rischi fisici e fisiologici che chi si occupa di sicurezza deve tener conto; tradizionalmente i CISO sono responsabili per la protezione delle risorse IT e dei dati, ma l’IoT introduce ulteriori rischi che possono essere preoccupanti; ad esempio, un cyber criminale potrebbe utilizzare i dispositivi dell’Internet delle cose per compromettere automobili, manomettere sistemi di trasporto, minacciare componenti industriali o modificare i dispositivi medici; queste minacce non sono teoriche, basta pensare all’ormai famoso caso della Jeep in autostrada manomessa a distanza da un hacker;
  3.  Il CISO non è più solo un ruolo tecnico, ma assume connotazioni strategiche: con il proliferare delle nuove minacce, tra cui quelle della IoT, il ruolo dei CISO è passato dall’essere un ruolo tecnico ad uno con responsabilità di carattere strategico; secondo Troels Oerting, Group Chief Information Security Officer della banca Barclays, intervistato recentemente su TechEconomy, “la sicurezza informatica non è un problema “tech” che può essere risolto con più firewall o con l’uso di più anti-virus. Contrariamente a un’interruzione tecnica che può essere risolta passando a un nuovo dispositivo in sostituzione di quello non più funzionante, gli incidenti informatici sono creati dall’uomo”. Inoltre, spiega Oerting, “la sicurezza informatica è un problema di fiducia, e la fiducia è quello che i clienti, i regolatori e i cittadini, vogliono”.

Il futuro del CISO  con l’IoT è fatto di diverse sfide: “tra le varie responsabilità di un CISO vi è la conoscenza della superficie di attacco della propria organizzazione” ci spiega Pierluigi Paganini, Chief Information Security Officer presso Bit4Id e Responsabile del canale Security di TechEconomy “L’adozione di sistemi appartenenti alla famiglia dell’IoT influisce in maniera determinante sull’esposizione di un’organizzazione alle minacce informatiche. E’ necessario, quindi, adottare un approccio strutturato e multi livello che identifichi rischi e promuova azioni per la loro mitigazione. Il CISO è quindi responsabile dell’accettazione del rischio derivante dall’adozione delle misure atte a contenere eventuali minacce che possono sfruttare le tecnologie IoT. Tuttavia proprio il paradigma dell’IoT potrebbe venire in supporto delle moderne organizzazioni: l’attenta gestione di questi dispositivi, combinata con l’adozione di sistemi di sicurezza specificamente disegnati per sfruttarne le capacità elaborative dei sistemi IoT. potrebbero concorrere al raggiungimento di una adeguata postura dell’impresa in materia cyber security.”

Nel complesso l’Internet of Things presenta strutturalmente delle sfide nuove per le aziende e le organizzazioni in termini di Cyber Security: dalla necessità di rendere scalabili i sistemi di sicurezza fino alla necessità di rendere molto più affidabili le rilevazioni delle minacce. Anche per questi motivi, il ruolo dei CISO cambia radicalmente, evolvendo da una zona strettamente “tecnica” ad un’area più strategica in cui è tenuto a considerare fattori diversi rispetto a quelli tradizionali, come la “fiducia” e i rischi fisici.

Facebook Comments

LEAVE A REPLY

Please enter your comment!
Please enter your name here