È uscito “Gartner: top trends in Cybersecurity 2023”. I punti salienti del report e il nesso con Oplium, la divisione per la cybersicurezza di Spindox.
E anche quest’anno “Gartner top trends in cybersecurity” ci porta dentro le ultime tendenze in ambito di sicurezza informatica. Il lavoro che attende i leader nel settore sarà complicato, “olistico” per citare il report. Ma basato su tre direttive:
- Ribilanciare le pratiche: La cybersecurity passa per un approccio equilibrato fra Persone, Processi e Tecnologia. Al momento, la tecnologia ha divorato il fattore umano, ma quest’ultimo è fondamentale per gestire i rischi con cui si ha a che fare nel quotidiano.
- Ecosistemi responsivi: Aumentano i rischi, ma la velocità del business non deve pagare dazio. Per questo, serve espandere le previsioni delle minacce oltre l’ambiente della propria azienda, in modo da avere controllo diretto sulla supply chain della security. Vanno anche fatti sforzi sulla protezione dell’identità, la cui gestione scaverà un solco fra aziende più e meno serie.
- Approcci rivisitati (restructuring approaches): Razionalizzare, razionalizzare, razionalizzare. Con una transizione digitale alle porte, un’organizzazione di successo deve ridurre la complessità e usare al meglio le sue risorse, per rispondere in modo più efficace a un contesto di minacce in aumento. Questo si fa creando un’integrazione fra le piattaforme usate e presidiando le aree attaccate con soluzioni mirate.
Ecco, dunque, alcuni spunti presi dal report “Gartner: top trends in cybersecurity”.
Gartner top trends in cybersecurity 2023: Responsive ecosystem
Threat exposure management
“Prevenire è meglio che curare”. Vale nella vita, ma ancora di più nell’impresa: entro il 2026 le organizzazioni che hanno basato il loro investimento in sicurezza sulla gestione continua dell’esposizione alle minacce soffriranno 2\3 dei breaches in meno.
Ma come ci si difende? Il gioco passa più che altro per la prevenzione. Il rischio zero non esiste, e non ci si può occupare di correzione di ogni errore senza perdere efficienza.
Una delle chiavi di volta è il CTEM (Continous Threat Exposure Management), un approccio olistico al problema: piuttosto che lavorare su un fattore con un singolo progetto, attivarne tanti in parallelo per aggredirlo da prospettive diverse. Ma bisogna anche lavorare per dare una risposta alla minaccia che non si basi su compartimenti stagni, ma su una collaborazione fra i gruppi di lavoro; raggruppare i problemi per vettori di pericolo e mettere in piedi metriche efficaci.
Un’altra cosa centrale è la prioritizzazione dei rischi: affidarsi alla tecnologia e agli strumenti di controllo per trattare gli errori di configurazione umani ha reso più difficile una gerarchizzazione delle minacce da parte delle aziende.
E gli obiettivi? È presto detto: le aziende leader dovranno sempre di più estendere il loro controllo a livello di security non solo su sé stesse, ma anche su app SaaS, dati su supply chain partners. In altre parole: il controllo di sicurezza sui dati non può esaurirsi nei sistemi interni, ma deve riguardare un ecostistema vasto, a cui numerosi partner hanno accesso.
Identity fabric Immunity
Per il 2027, i principi di identity fabric immunity prevederanno l’85% dei nuovi attacchi e ridurranno il loro impatto finanziario dell’80%. La stessa percentuale è quella delle organizzazioni che hanno subito un breach negli ultimi 12 mesi. Questi sono legati spesso a problemi di elementi incompleti, mal configurati o vulnerabili nella identity fabbric.
Un digital immunity concept passa per un insieme di mosse da mettere in campo prima e durante un attacco. Lo scopo è diminuire difetti e fallimenti, in un approccio bilanciato negli investimenti fra prevenzione e risposta.
Il trend fra molte imprese è quello di un investimento pesante in Identity Access Management. Ma i risultati non sono così incoraggianti, per problemi di configurazione, una proliferazione di privilegi eccessiva e l’assenza di soluzioni automatiche per recupero in caso di disastro o in caso di fallimento del cloud identity provider. Poi un problema da non sottovalutare: gli attacchi alla supply chain sono in aumento. E le aziende sono ancora poco attente alla sicurezza sulla supply chain: solo il 29% di loro hanno investito in supply chain security.
Per risolvere questi problemi, bisogna mettere in piedi un approccio tattico (restringere i privilegi per gli accessi ad alto rischio e mettere in piedi MFA resistenti al phising), ma anche strategico (e qui si tratta di mettere in piedi una postura della sicurezza che passi sia per una rimodulazione a livello finanziario sia per una preparazione di piani per gli scenari peggiori). Sennò, si rischiano buchi di sicurezza e difficoltà a individuare gli attacchi alle infrastrutture d’identità.
Cybersecurity validation
Per il 2026, più del 40% delle organizzazioni, inclusi i 2\3 delle imprese di media grandezza, si baseranno su piattaforme consolidate per far girare le misure di validazione della cybersecurity.
Ogni team di sicurezza ha una lista di trattamenti di sicurezza molto lunga, che è difficile da gestire in un contesto aziendale. A peggiorare il quadro, diverse organizzazioni non riescono a costruire una strategia globale, che vada al di là dei confini del singolo gruppo di lavoro.
Nel delineare lo scenario di uno sviluppo rapido della cybersecurity, gli strumenti di controllo stanno facendo progressi interessanti. Gartner, però, suggerisce un passo in avanti sulle funzionalità. Bisogna puntare su nuovi strumenti, per ottenere una postura più pronta alla prevenzione del rischio: dalle EASM ai SPM, fino ai DRPS. Tutti strumenti che hanno lo scopo finale di fornire una visione d’insieme dei problemi di sicurezza di un’azienda, prioritizzare le minacce e creare dei punteggi per valutare il potenziale impatto di una minaccia. Questo, secondo Gartner, potrebbe aumentare la collaborazione fra i gruppi di lavoro.
A questo punto il report “Gartner top trends in cybersecurity 2023” formula le sue raccomandazioni. La più banale: scegliere un approccio di validazione nella cybersecurity. Poi dare il giusto peso ai test di validazione della sicurezza di questi sistemi, facendo un lavoro interno di stima sull’efficienza di procedure e processi (in questo contesto il testing è fatto di solito su un range di attacchi “standard”). Infine, Gartner si raccomanda di estendere la validazione non solo ai settori critici dell’azienda, ma anche a eventuali “vie d’attacco laterali”: in un’azienda, niente si può lasciare al caso.
Rivedere gli approcci
Composable Business Need Composable Security
Entro il 2027, più del 50% delle applicazioni saranno costruite con un’architettura composable. Ciò determinerà una rivoluzione nella cybersecurity, più adatta ad affrontare le sfide dell’innovazione: la sicurezza passerà per capacità modulari interne all’applicazione, intercambiabili e fatte di blocchi, i Packaged Business Capabilities.
Ma perché cambiare paradigma? Be’, le premesse ci sono tutte: innovazione più semplice, approccio più agile, resilienza del business e la creazione di un ecosistema di piattaforma. Ecosistema che passa per 4 C: Creators (i programmatori), Curators (chi cura uno store di componenti), Composers (coloro che mettono insieme questi moduli per creare app di business) e Consumatori.
Ma non è tutto oro quel che luccica: un approccio del genere apre la porta a utenti esterni, che potrebbero non essere trovati dalle classiche app di sicurezza. Potrebbe anche succedere che i componenti siano sicuri, ma non le loro interazioni. Ma il beneficio chiave è la creazione di interfacce riutilizzabili e un rischio “ragionevole”, una volta che gli stores avranno sviluppato standard di sicurezza adeguati.
Rebalancing Practices
Security design human-centric
Per il 2027, il 50% dei CISO delle grandi aziende baserà il suo approccio di design della sicurezza sulle persone. Secondo Gartner Top Trend in Cybersecurity 2023, lo Human-Center Security Design (HCSD) mette in primo piano l’esperienza dell’utente, più versatile sul lato testing, ma anche in grado di dare input per creare interfacce di uso semplice.
Secondo un sondaggio di Gartner, il 69% delle persone in un’azienda bypassano le norme di sicurezza imposte dalla loro organizzazione. Di queste, il 90% è consapevole che tale comportamento porta danni alla strategia di cybersecurity della sua organizzazione. Più che da un certo sadismo nei confronti dei CISO della loro azienda, la scelta dei 3\4 di queste persone è legata alla convinzione che questo li aiuti a raggiungere i loro obiettivi business.
Perciò, Gartner suggerisce di cambiare l’approccio di chi si occupa di design di app di sicurezza. Da una parte, cambiare atteggiamento mentale: smettere di pensare solo al lato tecnico, ma anche all’esperienza dell’utente. Va anche cambiato il set di competenze necessarie in un gruppo di lavoro (tema su cui Gartner insiste da tempo): non solo programmatori, ma un UX department fatto anche di psicologi, neuroscienziati, giornalisti, esperti di product design ecc., competenze che molte grandi aziende hanno già.
Questo, secondo diverse indagini di mercato, porterebbe una riduzione di comportamenti indesiderati in ambito sicurezza all’interno dell’azienda. Diminuirebbe anche la resistenza a cambiamenti a livello di comportamento e adozione di nuovi sistemi. E, allora, Gartner propone di far partecipare il più possibile al design della strategia di sicurezza gli impiegati stessi, in una prospettiva di engagement più alto. E il gioco è fatto.
Valorizzare le risorse interne
Houston, abbiamo un problema: mancano esperti di cybersecurity. O meglio, la domanda supera di gran lunga l’offerta in ogni ruolo. Proprio per questo, i CISO debbono anche fornire un ambiente di lavoro che permetta alle risorse interne di salire di grado e di svolgere attività più adatte alle loro capacità. Di nuovo, la persona (e non il semplice processo tecnologico) va messa al centro, anche per attrarre i talenti.
Per il 2026, il 60% delle risorse saranno reclutate internamente. Sembra facile, ma una cosa del genere deve passare anche per una più stretta collaborazione (e un rapporto empatico e flessibile) fra HR e CISOs; oltre alla capacità di creare una employee value proposition.
Superare questo tipo di problemi, però, ha dei vantaggi non da poco: da un maggior coinvolgimento a una minore mobilità dei lavoratori (che è un grandissimo vantaggio), oltre a una maggiore attrattività e vantaggi più “etici”. Lo sforzo che viene chiesto ai CISO è di pensare in modo strategico, e non tattico, le assunzioni. Come? Facendo piani di lungo respiro per lo sviluppo delle competenze nelle aziende; creando un programma di cybersecurity umano-centrico e inclusivo. È anche una questione di priorità: la strategia di reclutamento di talenti va posta in cima alle necessità dell’azienda.
Anche perché la stessa Gartner si spinge su un’altra previsione piuttosto ambiziosa: per il 2026, il 70% dei consigli d’amministrazione di grandi aziende includeranno un membro con esperienza in ambito di cybersecurity.
Oplium, la cybersecurity per Spindox
Viviamo in un contesto fatto di minacce informatiche sempre più importanti: nel 2023, il Crypto Crime Report di Chainalysis sottolineava come si fosse quasi dimezzata la cifra di riscatti pagati per attacchi ransomware, a fronte però di un aumento spropositato del numero degli stessi. Segno di una gestione delle crisi più consapevole, ma anche di sistemi di sicurezza non ancora all’altezza di sfide strutturali.
Oplium è la società di cybersecurity del Gruppo Spindox, nata per offrire consulenza dare una risposta a qualsiasi esigenza di protezione da attacchi informatici. Nel concreto, sviluppa una serie di strumenti di diversa natura, fra cui quelli di access management e le simulazioni di violazione.
Abbiamo chiesto un parere a Claudio Merulla, CEO di Oplium Italia.
“Il report di Gartner è certamente in linea con il contesto attuale: l’investimento nelle risorse interne e il lavoro continuo per farle crescere all’interno dell’azienda è un fattore essenziale. Senza dimenticare l’importanza del fattore umano (per altro, aspetto in comune altre realtà dell’ecosistema Spindox) nell’elaborazione delle strategie di cybersecurity: l’automatizzazione è uno strumento fantastico, ma senza la validazione di utenti e persone interne all’azienda, ci troveremmo strumenti poco intuitivi, non in grado di rispondere alle esigenze della nostra clientela. Infine, l’approccio Composable. Sempre più in futuro sarà necessario industrializzare l’approccio alla Sicurezza Digitale e tale approccio pare venire incontro a tale esigenza”.