“La tecnologia senza gestione non è niente” esordisce Marco Bavazzano, CEO di Axitea, richiamando il payoff della Pirelli che circa 30 anni fa si affidò al velocista Carl Lewis per rendere immediato il concetto. Oggi, nell’era dell’Intelligenza Artificiale e della tecnologia come risposta pervasiva a qualsiasi esigenza, l’attualizzazione di questo noto slogan assume un significato particolare.
Tanto più nell’ambito della sicurezza in cui opera Axitea, azienda controllata dal fondo Stirling Square Capital Partners che si è trasformata nella sua storia centenaria da istituto di vigilanza in global security provider.
“Dare a un cliente solamente la tecnologia senza la componente di gestione non permette un adeguato livello di sicurezza” continua il CEO. A sostegno della sua tesi ci sarebbe “il ritardo oggettivo che il nostro Paese ha nella gestione della sicurezza cyber e fisica”. Un ritardo dovuto al fatto che “finora si è creduto che la tecnologia potesse risolvere ogni problema. Tanto che i budget delle aziende italiane in ambito cyber security vengono spesi quasi interamente per l’acquisto del miglior firewall o del miglior DLP”. E i vendor ovviamente sono i primi che hanno tutto l’interesse a far credere che le rispettive soluzioni siano sufficienti a coprire in toto i fabbisogni di sicurezza delle organizzazioni.
Indice degli argomenti
Oltre la tecnologia, il ruolo dei security analyst
Certo, la tecnologia serve, eccome. A maggior ragione quella contemporanea i cui prodotti sono “AI embedded”. Tuttavia, la sua efficacia è tale se è accompagnata dalle competenze e dall’esperienza umana. Che, con riferimento alla sicurezza IT, corrispondono al profilo di quei security analyst in grado di interpretare correttamente i cosiddetti “eventi”.
“Era vero in passato per tecnologie ‘povere’ e lo è ancora oggi per tecnologie arricchite dall’Intelligenza Artificiale” sostiene Bavazzano, portando come esempio l’Artificial Intelligence Act, il provvedimento europeo che dovrebbe entrare in vigore a fine anno: “L’AI Act pone una serie di obblighi non soltanto per chi sviluppa algoritmi, ma anche per tutta la catena coinvolta nella gestione del prodotto o del servizio collegato all’AI. Il ruolo del security analyst è importante anche in questo caso, perché assicura nel tempo la garanzia della compliance normativa”.
A partire dal 2015 Axitea ha introdotto al proprio interno nuove competenze. Oltre ai security analyst, ad esempio le figure dei presales che supportano i venditori nelle trattative più complesse. Ha anche selezionato tecnologie, tra cui Sophos e Palo Alto Networks, per affiancare le aziende nella gestione dei rischi informatici, allargando così il portafoglio di un’offerta che in precedenza era focalizzato esclusivamente sulla protezione degli asset fisici.
Attualmente i clienti del primo ambito ammontano a 20 mila, mentre quelli che ricadono sotto la cyber security sono 500. Il che non esclude che il medesimo cliente usufruisca di entrambe le categorie di servizi.
Un ISOC per proteggere asset fisici e digitali
La sintesi di queste due “anime” di Axitea è nell’ISOC (Integrated Security Operation Center) che può contare sulla sede principale di Milano e su quella di Ancona che ha funzioni di business continuity e disaster recovery.
Le centrali operative ospitate nell’ISOC consentono di tradurre la proposta dei servizi gestiti grazie all’ingegnerizzazione di differenti tecnologie di sicurezza e al monitoraggio di un centinaio di incidenti al giorno per quanto riguarda la cyber security.
Gli incidenti vengono classificati in ordine di severità sia per rispondere agli SLA (Service Level Agreement) concordati con i clienti sia per definire le priorità con cui è opportuno intervenire.
Gli analisti di Axitea, mentre ci illustrano le dashboard su cui le categorie degli eventi sono catalogate, ricordano che un incidente che sfugga all’attenzione può diventare un data breach o causare la compromissione di un sistema. E se un tempo era soprattutto durante i fine settimana che questa attenzione doveva essere duplicata, adesso gli hacker hanno affinato le loro strategie. Poiché, infatti, sabato e domenica un’anomalia farebbe scattare subito un alert, allora i giorni su cui si riscontra la percentuale maggiore di attacchi sono il giovedì e il venerdì.
Oltre a intercettare e neutralizzare le minacce, il lavoro degli esperti dell’ISOC si concentra anche nell’individuare i falsi positivi. Un lavoro per il quale l’insieme di tecnologie, comprese quelle munite di AI, e di human touch risulta fondamentale.
AI e human touch nei servizi gestiti di Axitea
Tra le metriche più significative a cui gli specialisti di Axitea assegnano particolare importanza rientrano il tempo di reazione agli allarmi e il tempo di risoluzione degli incidenti.
Il primo, previsto nella norma UNI 50518, prevede che una centrale operativa reagisca a un allarme entro 60 o 180 secondi. In quanto tale, è un classico indicatore delle società di vigilanza privata.
Il secondo è legato ai trend dei cyber attack e presuppone che nell’arco di 60 minuti si riesca a “chiudere” un evento.
Per entrambi, l’Intelligenza Artificiale oggi fornisce un supporto utile ad accorciare la rilevazione del rischio sia tramite le applicazioni nella videosorveglianza sia in termini di intelligence sulle informazioni raccolte.
Nella sala del SOC vero e proprio, cioè del Security Operation Center dedicato alla sicurezza cyber, un maxischermo mostra la provenienza di migliaia di attacchi intercettati mediante gli honeypot, le “esche” utilizzate per dirottare gli hacker su obiettivi privi di contenuti sensibili o critici.
Un tale flusso non potrebbe essere analizzato da un essere umano senza l’ausilio degli algoritmi di AI.
È anche vero però il contrario. “Qualsiasi soluzione migliora e impara soltanto se ci sono dei security analyst specializzati che insegnano costantemente alle tecnologie come interpretare certi eventi. Sappiamo ad esempio che vengono identificate di continuo nuove vulnerabilità di prodotto che necessitano di un adeguamento del software o del firmware” dice in conclusione Marco Bavazzano.
A conferma della differenza che i servizi gestiti nel campo della sicurezza possono portare rispetto alla sola adozione di un apposito tool, per quanto all’avanguardia.
