La sicurezza di reti, sistemi e applicazioni sta lasciandosi alle spalle l’artigianalità e l’improvvisazione del passato in favore di processi basati su best practice che si fondano su un più elevato grado d’integrazione tra i processi, in accordo con la definizione di SecOps (security operations).
Un’integrazione che si estende agli aspetti della gestione IT e che aiuta a ottenere più efficacia e automazione nella security e a garantire la continuità delle protezioni a fronte dell’arrivo di minacce nuove e più evolute.
L’integrazione delle SecOps aiuta ad abbattere le barriere funzionali, spesso anche culturali e comunicative tra i team che si occupano di sicurezza e di gestione, rendendo più fluidi i processi di lavoro, facendo in modo che gli obiettivi di sicurezza non vadano a danno delle prestazioni IT. Per capire più in dettaglio l’evoluzione nelle security operations abbiamo chiacchierato con Piergiorgio Arfani, offer strategy, bid&pre-sales ServiceNow di TOW 80 (gruppo DGS).
L’occasione è quella di confrontarsi sugli obiettivi ed i vantaggi del modulo dedicato alle SecOps all’interno della piattaforma ServiceNow.
Indice degli argomenti
Gli obiettivi fondamentali delle SecOps
SecOps deve garantire la stretta collaborazione tra i team aziendali, grazie a strumenti specifici per dare visibilità a che cosa sta accadendo sull’infrastruttura digitale, condividere procedure e responsabilità che riguardano la gestione della sicurezza e dell’IT. Fornire quindi l’integrazione tra dati e processi che può migliorare il lavoro degli operatori e facilitare il coinvolgimento del management aziendale nelle scelte strategiche e nelle roadmap di miglioramento dei servizi digitali.
“Le SecOps prescindono dagli strumenti tecnologici e dal software che l’azienda utilizza per la sicurezza informatica – spiega Arfani – riguardano invece l’utilizzo efficace dei dati provenienti dall’infrastruttura e dalle soluzioni di sicurezza per ottenere vantaggi nelle diverse attività di gestione operativa”. Nella logica che ServiceNow ha scelto per il supporto delle SecOps, la chiave di volta è rappresentata dalla condivisione di tutti i dati relativi alla gestione e la capacità di fare da collante tra i diversi reparti aziendali.
Un obiettivo importante è risolvere i problemi di comunicazione tra il team di sicurezza e quello IT. “Quando i sistemi di sicurezza rilevano problemi su componenti infrastrutturali o applicativi, l’allarme risultante dev’essere immediatamente gestito e tradotto nelle misure IT che sono idonee per minimizzare i danni. Attività che trovano ostacolo nella capacità di coinvolgere persone diverse. Capita spesso che i team di security e IT comunichino via telefono o e-mail, perdendo tempo prezioso, rendendo problematico il trasferimento di dati utili quali log, indirizzi IP e altri”.
Il vantaggio dell’integrazione dei dati tra ITSM e SecOps
I processi che riguardano la cybersecurity devono essere veloci per essere efficaci. Un risultato impossibile con l’impiego di procedure informali non tracciabili. “Senza l’interconnessione tra i mondi della security e dell’IT non si hanno visione organica e azioni coerenti con ciò che sta succedendo”, spiega Arfani. Un handicap con le minacce informatiche più evolute, la cui rilevazione ed eliminazione richiede dati diversi e interventi che ricadono sia nel dominio dell’IT sia della security.
Con un buon supporto alle SecOps, diventa possibile assegnare la corretta priorità alle azioni di difesa. “Il team di sicurezza può conoscere la criticità per il business di uno specifico servizio che è finito sotto attacco, quindi identificare l’applicazione e i server che lo erogano”. La condivisione delle informazioni tra IT e security permette di non intervenire in base all’ordine di ricezione dell’allarme o di scoperta della vulnerabilità, bensì in funzione della criticità delle applicazioni di business.
L’operatore di sicurezza può avere su un’unica dashboard le informazioni per correlare gli attacchi ai servizi aziendali più impattati e ai server che li supportano. “Informazioni che la piattaforma ServiceNow prende e integra tra diversi sistemi senza la necessità di dover stabilire dei collegamenti diretti, disponendo di informazioni già contestualizzate”.
L’integrazione tra SecOps e ITSM è inoltre funzionale a un migliore governo dei rischi operativi e di business: “Il governo del rischio e la gestione delle compliance alle normative che riguardano la sicurezza costituiscono un ulteriore valore aggiunto che è possibile ottenere”.
Le capacità dell’AI e dell’orchestration nell’evoluzione delle SecOps
Funzionalità AI a supporto delle SecOps sono già oggi in grado non solo di fornire agli operatori dati sintetici e contestuali per le loro decisioni, ma anche suggerire come risolvere i problemi, rendendo più efficiente il lavoro e facilitando chi, di guardia ai sistemi, non abbia tutte le competenze per prendere decisioni (gli attacchi colpiscono di notte e nei festivi, quando il presidio degli amministratori è limitato).
“Sono funzioni che si basano su machine learning e predictive intelligence (applicazione dell’AI) – Spiega Arfani – capaci di suggerire i percorsi ideali di risoluzione in base alle situazioni”. Nel caso di ServiceNow: “Le capacità di ML/AI sono funzionalità di piattaforma e messe al servizio di tutte le applicazioni. In questo modo un’unica piattaforma può gestire gli eventi infrastrutturali, applicativi, i problemi di performance e di sicurezza, alimentando un’unica base informativa condivisa”.
Un altro aspetto importante per l’evoluzione delle SecOps riguarda l’orchestrazione dei processi. “Parliamo della facoltà d’integrare la rilevazione di vulnerabilità e degli attacchi con il workflow che serve per le operazioni di rimedio, comprendendo le attività di comunicazione, i processi di autorizzazione, l’installazione delle patch software, le verifiche di sicurezza fino alla rimessa in produzione”. Questo è possibile attraverso l’integrazione con componenti di terze parti, ad esempio con Microsoft System Center Configuration Manager (strumento che, fra l’altro consente la distribuzione di applicazioni, aggiornamenti software e sistemi operativi) e altri.
Contributo editoriale sviluppato in collaborazione con DGS
