Uno dei principali rischi per un’organizzazione è pensare che il rischio non esista. La consapevolezza di questo ha delle conseguenze importanti a livello di ecosistema e spiegherebbe perché siamo in continua emergenza. Detto questo, come si coniugano sicurezza informatica e resilienza?
«La resilienza è la capacità di un oggetto di assorbire un urto. Il concetto si addice perfettamente a un contesto di cybersecurity in cui il tema non è ambire al rischio zero, ma lavorare con processi, soluzioni, servizi, software e procedure per ridurre il rischio, valutando gli impatti economici e di business», afferma Riccardo Scalzi, global sales support di S3K, azienda nata nel luglio del 2019 da un iniziale progetto di aggregazione tra più aziende che, in seguito all’ingresso in società di HLD – un importante private equity internazionale – è sfociato a dicembre 2021 nella fusione in S3K SpA.
L’approccio strutturato all’identità è una pietra angolare per la costruzione di un’architettura Zero Trust. Ma quali aziende e organizzazioni possono sfruttare al meglio questo tipo di approccio? «Fidarsi di nessuno, sia di chi accede alla tua infrastruttura esternamente sia internamente, è un approccio che agevola qualsiasi tipo di organizzazione nella strategia di difesa dalle minacce informatiche. Si affronta con una metodologia che non ammette deroghe. Gli operatori della security Zero Trust devono seguire best practices rigorose, prestando attenzione non più soltanto agli addetti ai lavori ma a una platea estesa di persone a tutti i livelli», dice Scalzi.
MODELLAZIONE E SIMULAZIONE
L’incertezza fa male alle persone e fa male alle imprese. L’analisi degli scenari attraverso strumenti di modellazione e simulazione può aiutarci a capire meglio gli effetti delle decisioni da prendere. Da anni S3K ha un team dedicato al M&S, guidato da Alessandro Lo Presti, e un presidio fisso di persone presso il NATO Modelling & Simulation Centre of Excellence (NATO M&S COE) che si trova a Roma, alla Cecchignola. Tale centro accreditato NATO, è dedicato alla promozione del modelling and simulation a supporto dell’analisi, del training e che favorisce l’interoperabilità tra sistemi di modellazione e simulazione. «All’interno del Centro realizziamo scenari virtuali per supportare esercitazioni in ambito militare e civile in ambito in contesti urbani, per istruire i piloti di droni ad azioni e controazioni e per supportare l’intero spettro di attività nei domini air, maritime, land e space – spiega Scalzi. «Lo stesso know-how lo abbiamo utilizzato anche in tema di cybersecurity e ci consente di prevedere cosa accadrebbe sull’infrastruttura di un cliente nel caso in cui fosse impattata o non fosse protetta rispetto a un pattern di attacco specifico. Siamo in grado di calarci nel contesto delle aziende che andiamo a investigare e abbiamo ben presente che le organizzazioni di hacking sono sempre più complesse, sempre più simili a delle vere e proprie aziende. A volte dietro un attacco ci può essere addirittura una nazione nemica». Lo scopo di S3K è quello di supportare il cliente nella definizione del livello di sicurezza da raggiungere, del livello di rischio accettabile, ma soprattutto è quello di aiutarlo in un percorso di securizzazione che comprende soluzioni, servizi, processi, ma anche la postura di sicurezza. «La competenza in ambito modelling & simulation ci sta fornendo un’arma in più che ci consente di disegnare degli scenari prevedibili di eventuali pattern di attacco o per specifiche CVE direttamente dal MITRE database. L’applicazione può essere calata anche in contesti di product lifecycle management e in ambito industriale di qualsiasi tempo», aggiunge Scalzi.
«Il know-how che abbiamo maturato anche in ambito militare ci consente di fare previsioni su cosa accadrebbe alle infrastrutture in caso di attacco»
ORIENTARE I TALENTI
Nel mese di novembre S3K ha festeggiato la centesima assunzione, un traguardo che testimonia la crescita aziendale. «Le risorse umane sono un tema che la nostra società tiene in grande considerazione» – dichiara Scalzi. «Secondo uno studio recente, i giovani sono molto attratti dalla cybersecurity, ma ad attrarli a volte è il lato oscuro del tema, dove le competenze possono essere utilizzate ad esempio per il gaming o per fare profitti on line. Va quindi fatto uno sforzo di sensibilizzazione affinché le competenze giovanili possano essere utilizzate e valorizzate nell’ambito di contesti professionali trasparenti, in un mercato come quello della cybersecurity che non si finisce mai di esplorare e che ha implicazioni vastissime. In ambito sanitario, per esempio, l’hackeraggio di dispositivi elettromedicale rende inutilizzabili strumentazioni costosissime e interrompe un servizio pubblico di importanza vitale. Il rischio che questo avvenga, con le conseguenze del caso, non coinvolge soltanto l’IT. Il lavoro sulle competenze lo portiamo avanti anche nella nostra Academy», sottolinea Scalzi.
COMPETENZE MULTIDISCIPLINARI
La multidisciplinarietà è una delle caratteristiche di S3K e anche un valore aggiunto. Gli ambiti tecnologici affrontati dalle aziende della compagine sono numerosi e comprendono la data science, i big data, l’infrastructure management, la Network Operation e altro ancora. La cybersecurity è un presidio forte che abilita la creazione di veri e propri framework applicativi per rispondere alle esigenze sempre più complesse del mercato, non confinabili all’interno di una singola competenza tematica. L’azienda conta sul lavoro di un’unità specifica che racchiude le competenze tecnologiche e manageriali sui servizi propri della sicurezza informatica, con l’obiettivo di declinarla in implementazioni intrinsecamente sicure e resilienti. «La vera forza del nostro team – sottolinea Scalzi – sta nel poter integrare le competenze di specialisti della security all’analisi dei dati con tecniche di intelligenza artificiale e machine learning. In questo modo, definiamo servizi la cui base analitica pone nuovi traguardi al concetto stesso di cybersecurity».
Nell’ambito dei managed service, S3K si occupa di secure posture management in ambito assicurativo offrendo un servizio di risk assesment continuo attraverso il quale è possibile valutare, in pochi minuti e senza l’ausilio di scansioni attive, l’esposizione di rischio tecnica e finanziaria. Il pillar tecnologico di questo servizio è la piattaforma Black Kite che, attraverso un processo continuo di raccolta, trasformazione e modellazione dei dati ottenuti da numerose fonti aperte di tipo Osint (internet-wide scanner, hacker forum, deep/dark web, ecc.) fornisce una valutazione dell’esposizione di rischio, sia dal punto di vista tecnico sia finanziario, rispetto agli standard internazionali riconosciuti quali MITRE e Open FAIR. Molte soluzioni sono rivolte alla trasformazione digitale della pubblica amministrazione. In questo, il PNRR in particolare è l’occasione per portare nella PA tecnologie abilitanti e sicure che mettano i servizi al cittadino al passo con quelli erogati dalle aziende private, anche in termini di esperienza utente.