Tra ransomware dilaganti e oggetti intelligenti connessi alla rete aziendale, i responsabili della sicurezza devono affrontare inedite responsabilità

Non è un caso, e in un certo senso non è un buon segnale, che la figura dello Chief Information Security Officer cresca costantemente di importanza nelle grandi aziende e nella pubblica amministrazione. Ruolo fino a pochi anni fa subordinato alla gestione IT, oggi dovrebbe avallare ogni nuova soluzione, applicando regole di sicurezza che rappresentano esse stesse un fattore abilitante, necessario non solo per le attività critiche del core business

Ovviamente questa è teoria. Nella pratica ci sono ancora realtà dove le sue prerogative vengono disattese. Altrimenti non si spiegherebbe la facilità con cui un’infezione come WannaCry ha potuto dilagare in 150 paesi, in parte sfruttando l’eccessiva dimestichezza con gli strumenti tecnologici acquisita da settori aziendali, come Operations o Marketing, che talvolta agiscono in autonomia da IT e sicurezza. Una familiarità che porta alla proliferazione incontrollata di soluzioni IT non verificate nelle grandi organizzazioni, a cui il responsabile della sicurezza dovrebbe potersi opporre, pur senza far apparire il suo intervento come un ostacolo all’efficienza del lavoro.

È la sfida di sempre, che è però destinata a esacerbarsi per la straordinaria portata delle minacce attuali e per la particolare natura, sottilmente insidiosa, di alcune soluzioni fondamentali per la trasformazione del business. Tra queste c’è sicuramente l’Internet of Things. La discussione sulla sicurezza di ogni singolo sensore collegato alla rete aziendale è tuttora in atto, ma basta guardare le statistiche dei dispositivi coinvolti in attacchi DDoS per capire come questi diffusissimi device possano facilmente ingrossare le fila di sterminate botnet. I responsabili della sicurezza possono fare ben poco per difendersi da massicci attacchi esterni di eserciti di dispositivi-zombie teleguidati. Però possono, e devono, mettersi al centro di interventi strutturali che impediscano ai sensori, alle telecamere, alle serrature delle porte comandate da device IoT, e perfino alle lampadine intelligenti, di attraccare l’azienda stessa dall’interno. Sono stati segnalati casi o proof-of-concept in cui un attacco mirato ha consentito a malintenzionati di sbloccare le porte per consentire furti o di usare l’accensione ritmica di una lampadina, visibile dall’esterno della sede, per trafugare dati sensibili.

In questo scenario il ruolo del CISO deve estendersi alla formazione sui rischi specifici dei dispositivi IoT e deve raggiungere tutti i reparti dell’azienda, i quali devono essere ben consapevoli che ogni strumento capace di connettersi alla rete, specie quelli dotati di antenna e modulo di comunicazione autonomo, deve essere approvato e controllato. E questo vale anche per strumenti che prima era logico acquistare senza chiedere autorizzazioni, come lampadine o stampanti. In questo cambiamento delle procedure di approvvigionamento, il responsabile della sicurezza deve aspettarsi forti resistenze da reparti che che potrebbero sentire limitata la loro autonomia e ingiustamente complicate attività tradizionalmente semplici. Per questo l’aumento di responsabilità del CISO andrebbe ratificato dall’amministratore delegato e affiancato dal CFO.

Un passo necessario verso la sempre maggiore centralità della sicurezza, requisito indispensabile per aprire le porte dell’industria 4.0.