Sono le applicazioni business critical il vero “motore” produttivo delle imprese che permette loro di continuare a operare, anche e soprattutto adesso che l’era della digital transformation è già iniziata.
Cloud, virtualizzazione e containerizzazione sono già scenari comuni. Con tutte le diverse buzzword legate alle tecnologie emergenti, è però facile dimenticare quali siano i reali driver che guidano l’innovazione in azienda.
Settori di mercato ormai consolidati come la finanza e la sanità stanno subendo l’attacco di nuove e agili startup che si sono mostrate in grado di superare i leader storici grazie a nuove tecnologie che offrono un incredibile vantaggio competitivo, associato a speed to market, flessibilità e resilienza.
Oggi anche le aziende più consolidate stanno adottando queste nuove tecnologie per recuperare terreno e riconquistare le loro posizioni di leadership. È un momento realmente spumeggiante per la tecnologia B2B, ma cosa comporta per il motore dell’azienda?
Anche le applicazioni business critical stanno vivendo un momento di passaggio dettato dall’adozione di soluzioni cloud e SaaS application, ma vengono spesso sottovalutate quando si tratta di sicurezza.
Indice degli argomenti
Business critical, un motivo c’è
Consideriamo la vasta quantità di informazioni e di applicazioni presenti in ogni organizzazione. A seconda del ruolo e del settore in cui l’impresa opera, si avrà una lista di applicazioni business critical e di dati correlati che, se compromessi o persi, possono bloccare l’operatività dell’intera organizzazione.
Possono essere le applicazioni che gestiscono le transazioni finanziarie, quelle di enterprise resource planning (ERP) utilizzate per attività di inventario in ambito retail o quelle di electronic health record (EHR) che archiviano informazioni sanitarie personali critiche (ePHI) di ospedali, assicurazioni e così via.
Come garantire la sicurezza di tutte queste informazioni sensibili e delle applicazioni che le gestiscono e le detengono?
Purtroppo, sono numerose le imprese e i responsabili IT che si trovano a rischio. Anche se mediamente fanno un ottimo lavoro nella gestione delle applicazioni più adatte per soddisfare le loro esigenze, a volte finiscono per tralasciare la protezione di elementi estremamente importanti – e costosi – che sono alla base del loro business e che sono responsabili anche delle customer relationship.
Applicazioni business critical: consigli per metterle in sicurezza
Secondo il recente sondaggio CyberArk Business Critical Application che ha visto il coinvolgimento di 1.450 business e IT decision maker ed è stato condotto in 8 paesi europei, il 61% degli intervistati ha indicato che anche il downtime più modesto andrebbe a impattare in modo significativo sulle applicazioni business critical. Tuttavia, il 70% di queste aziende non ne prioritizza la sicurezza.
Ecco dunque alcuni utili consigli rivolti ai responsabili della sicurezza aziendale che consentono di eliminare questo disallineamento.
- Identificare quali applicazioni sono veramente business critical. Come responsabile della sicurezza è evidente che deve esserci un forte legame con il business. Impara a conoscere i responsabili delle varie funzioni chiave come il finance, le risorse umane e il marketing, e potrai così meglio identificare le applicazioni che sono realmente critiche, che potrebbero essere quelle SaaS o addirittura quelle custom realizzate con strumenti e metodologie DevOps.
- Diventare esperto di cloud (e di come proteggerlo). È importante che il responsabile della sicurezza comprenda la strategia cloud, i piani e i tempi di migrazione delle applicazioni on-premise che si stanno spostando sulla nuvola e le nuove applicazioni cloud-native. È opportuno, inoltre, che collabori con gli stakeholder per garantire che la sicurezza degli accessi privilegiati sia al centro dell’attenzione quando questa migrazione avverrà o quando si adotteranno nuove applicazioni cloud.
- Garantire la sicurezza degli accessi degli admin che gestiscono le applicazioni business critical. Una volta identificate le applicazioni business critical, bisogna salvaguardare e aggiornare costantemente tutte le credenziali associate, compresa l’infrastruttura sottostante. È buona norma isolare le sessioni per prevenire il furto di credenziali e prevedere un audit trail completo di tutte le attività relative alle applicazioni business-critical. Bisogna poi tenere conto che, in molti casi, gli amministratori di queste app non saranno persone IT, ma apparterranno alla linea di business o all’organizzazione per funzioni, quindi si troveranno all’interno di Finance, HR, o Marketing.
- Mai dimenticare le macchine. Ricordarsi sempre di garantire la sicurezza delle credenziali privilegiate “umane” e application-to-application e i service account impiegati dalle applicazioni business-critical on-premise, di quelle SaaS, così come di quelle cloud-native realizzate con metodologie e strumenti DevOps. L’uso di credenziali hard-coded rappresenta un rischio significativo che dovrebbe essere eliminato.
- Limitare il rischio alle applicazioni critiche derivante da workstation end user non gestite. Occorre prevenire gli attacchi che provengono da workstation Windows e Mac eliminando i diritti di gestione locali al fine di contrastare il download di malware. Infine, è importante investire in protezione anti-phishing e in formazione e consapevolezza legate alla sicurezza di modo che gli utenti finali siano in grado di riconoscere eventuali attacchi di phishing.
La sicurezza delle applicazioni business critical conviene a tutti
La sicurezza delle applicazioni business critical rappresenta un vantaggio per tutti. Gli effetti negativi della compromissione di questo tipo di applicazioni sono evidenti: contrazione dei profitti, inasprimento dei rapporti con i clienti e rischi di business costanti a causa dei dati violati.
L’implementazione di una solida soluzione per la sicurezza degli accessi privilegiati, invece, produce effetti positivi che non si limitano alla protezione delle applicazioni, ma aggiungono vantaggi di business per l’intera organizzazione.
I CISO possono destinare il budget della sicurezza attribuendo la priorità alle applicazioni e ai dati che sono essenziali per il business, oltre ad assicurare al top management di disporre della migliore protezione possibile contro le nuove vulnerabilità e le minacce in evoluzione.
I CIO possono, invece, supportare la digital transformation in modo sicuro, sfruttando i servizi IT più innovativi senza temere interruzioni significative o la compromissione di applicazioni critiche.
In quanto proprietari finali delle applicazioni business critical, i CIO possono essere più sicuri di riuscire a “mantenere l’operatività” e fornire servizi chiave pienamente sviluppati anche in caso di attacco orchestrato, mentre CFO e dirigenti responsabili delle finanze e del profilo di rischio dell’organizzazione possono dimostrare alle autorità di regolamentazione, agli auditor, agli enti pubblici e ai legislatori di aver fatto tutto il possibile per proteggere gli asset aziendali di alto valore, minimizzando il rischio di perdite finanziarie, sanzioni e danni al marchio.
I CMO e gli altri responsabili line-of-business, infine, possono concentrarsi sulla creazione di valore aggiunto per le rispettive aree di prodotto/servizio, contando sulla protezione completa dei servizi e dei dati a cui solo pochi account privilegiati dovrebbero poter accedere.
L’articolo è parte di un progetto di comunicazione editoriale che Cybersecurity360.it sta sviluppando con il partner CyberArk
