Security as a service cosa è e perché è il momento giusto? A rispondere ci prova Greg Day, Vice President and Regional Chief Security Officer EMEA di Palo Alto Networks con un contributo esclusivo.

«I principali cloud provider come Amazon Web Services (AWS), Microsoft e Google, che fatturano in base a parametri sempre più granulari, consentono ai clienti di accedere ai servizi in base alle loro esigenze. Ad esempio, AWS ha adottato una formula a consumo molto aggressiva, che addebita ai clienti i servizi utilizzati al secondo. I dirigenti aziendali dovrebbero seguire l’esempio e sfidare quei CISO che non hanno ancora adottato il cloud come piattaforma per sfruttare questo modello di consumo. Passare da un modello monolitico, basato su costi capex che richiede elevati investimenti a uno on-demand, pay-as-you-go, con capacità infinita, è chiaramente la strada del futuro, in quanto l’agilità digitale viene sempre più considerata un vantaggio di business fondamentale.

La cybersecurity resta sfortunatamente radicata in un modello di fornitura e distribuzione che spesso si traduce in over-provisioning, silos di sicurezza e problemi di gestione. La questione principale è che la sicurezza deve essere in grado non solo di rispondere in modo tempestivo, ma anche di adattarsi; la massima capacità non è sempre necessaria. Questo cambiamento– da significativi investimenti hardware a un modello pay-for-what-you-use – è fondamentale.

Security as a service. Colmare il divario

Sarebbe necessario che dirigenti aziendali e responsabili tecnici fossero allineati sulle priorità per la distribuzione di risorse e servizi IT al fine di raggiungere importanti obiettivi di business. Tuttavia, sempre più spesso, i punti di vista sono diversi. A una recente conferenza è stato riportato che il 67% dei business leader e dei membri del consiglio di amministrazione sta incoraggiando CIO, CISO e altri ruoli tecnici ad adottare un’evoluzione più rapida e competitiva di servizi e approcci. Chi ha iniziato il percorso di trasformazione digitale infatti desidera che la propria azienda raggiunga più velocemente gli obiettivi rispetto ai concorrenti.

Una ricerca realizzata sui CISO indica che per la maggior parte dei responsabili di cybersecurity il cambiamento potrebbe essere troppo veloce per consentire loro di valutare correttamente rischi e implicazioni. Per la sicurezza significa implementare nel cloud non solo applicazioni, ma anche servizi IT fondamentali, proprio come la protezione, per beneficiare di tutti i suoi vantaggi. I vertici aziendali hanno abbracciato velocemente il concetto di “IT monouso”, che impone ingombri inferiori alle aziende, garantendo maggiore agilità e, potenzialmente, un contenimento dei costi. Molti CISO, però, hanno ancora un approccio tradizionale nell’acquisto di licenze di sicurezza pluriennali, scelta supportata da test, analisi dei rischi e decisioni metodiche.

Advertisements
ChannelWatch 2019

Come colmare il gap tra il mandato di “procedere più velocemente” del consiglio di amministrazione e la filosofia del “domare il rischio” del CISO?

Security as a service. Il modello di consumo della sicurezza

I modelli di consumo della sicurezza dovrebbero rispecchiare quelli IT, con una maggiore attenzione all’utilizzo effettivo e a come la sicurezza si collega ai servizi IT. Ad esempio, se un’azienda ha adottato un processo DevOps, l’utilizzo e la disponibilità IT possono cambiare ogni settimana, ogni giorno o anche in poche ore. Il consumo della sicurezza deve allinearsi alle tendenze di utilizzo IT.

È utile considerare questo processo come uno sgabello a tre gambe. La prima rappresenta una necessità operativa, la seconda gli sviluppatori che trovano la soluzione per soddisfarla, la terza la sicurezza che deve essere correlata a questi cicli operativi e di sviluppo. Sfortunatamente, DevOps non include ancora la parte di sicurezza. La ricerca indica che l’80% delle aziende sta adottando DevOps, ma in poche hanno fatto il passaggio a DevSecOps.

I cicli DevOps si muovono sempre più rapidamente. I dirigenti aziendali richiedono adeguamento del software in tempo reale per rispondere ai requisiti operativi e la sicurezza deve corrispondere in ogni parte del processo. Se così non fosse, gli scenari DevOps cambierebbero ancora prima che il team di sicurezza abbia capito cosa sarebbe stato necessario. Per questo è importante passare da DevOps a DevSecOps, in cui la sicurezza è nativa del processo DevOps.

Se un CISO non è in grado di partecipare al processo DevOps, avrà bisogno di trovare ottime spiegazioni da fornire ai manager C-level e le attività semplicemente continueranno senza il suo supporto.

Security as a service. Non si può mai essere troppo agili

Adottare un modello di consumo di sicurezza pay-as-you-go fornisce l’agilità, tempestività di risposta, scalabilità e contenimento dei costi richiesti dai cicli di sviluppo e di implementazione delle applicazioni. Le aziende che esitano nel procedere in questo percorso dovranno affrontare spese capitali eccessive e non saranno in grado di gestire nuovi rischi.

Ho incontrato di recente un CIO che voleva trasformare il data center aziendale, ma sarebbe servito troppo tempo per architettare la nuova struttura, ricevere approvazione e realizzarla. Nel frattempo il data center era già diventato obsoleto. Investimenti monolitici a lungo termine non hanno senso se si vuole restare competitivi in un mercato sempre più digitale.

Questo ci riporta a quella tensione tra ruoli dirigenziali e tecnici quando si tratta di soluzioni di sicurezza. Molti executive ammettono una mancanza di conoscenza approfondita della cybersecurity, per questo si affidano al CISO per definire piani e operazioni. Di una cosa però sono certi: vogliono che dati, processi di business, strategie di mercato, proprietà intellettuali e fonti di vantaggio competitivo siano protetti dalle minacce informatiche. Anche i CISO vogliono tutto questo, ma spesso propongono progetti troppo dispendiosi e impegnativi a livello di tempo agli occhi dei dirigenti.
Il nuovo modello di consumo permette di creare una sicurezza all’avanguardia, scalabile e accessibile che si allinea agli obiettivi della trasformazione digitale e alle necessità di maggiore agilità.

Security as a service. Un mondo in cambiamento

Se un’azienda decide di usufruire del modello IT monouso come nuovo paradigma per la trasformazione digitale e intende allinearvi la cybersecurity, il CISO potrà sentirsi sotto pressione per restare al passo.

L’obiettivo è scoprire e contrastare gli attacchi prima che accadano, ma in un settore come quelle delle minacce IT in continua e rapida evoluzione, potrebbe essere estremamente impegnativo in termini di denaro e risorse da dedicare. Come anticipato, inserire la cybersecurity nell’insieme rappresenta la terza gamba dello sgabello. La sicurezza pay-as-you-grow fornisce agilità, riduce i costi e velocizza i tempi di risposta (non c’è limite di capacità). Il valore di un modello di consumo simile funziona nel cloud e per l’IT, e non c’è ragione per non adottarlo anche nella sicurezza.

Security “as a service” e a consumo, cosa è e perché è il momento giusto ultima modifica: 2018-04-15T18:12:59+00:00 da Marco Lorusso

LEAVE A REPLY

Please enter your comment!
Please enter your name here