Cosa significa il passaggio al SaaS per la sicurezza informatica

Immaginate di essere investitori che visitano la sede centrale di PTC nel distretto Seaport di Boston. L'elegante edificio su cui riflette il sole, tutti i 17 piani gremiti di professionisti appassionati e software all'avanguardia. E in seguito un'introduzione del CEO, Jim Heppelmann, che vi dà garanzie circa la sicurezza dei vostri investimenti, che lui terrà con sé insieme a tutti gli altri investimenti. Per descrivere la vostra reazione non basterà parlare di sorpresa. E le banche? Questi istituiti esistono per gestire e proteggere i fondi degli individui, in modo che non siano questi ultimi a doversene occupare.

Questo esempio assurdo evidenzia una sorprendente realtà: molte aziende nascondendo i propri oggetti di valore "sotto il materasso". In questo caso, non si tratta di monete o banconote, ma di dati riservati e informazioni sugli utenti. La speranza è che, almeno finché nessuno sa che si trovano sotto il materasso, saranno al sicuro. La responsabilità di tenerli nascosti e al sicuro è di esclusiva pertinenza del proprietario e del proprio team.

Gli strumenti di sicurezza informatica locali, quindi, sono una soluzione molto più conveniente del "materasso" tanto che, anche i team IT maggiormente apprezzati per il duro lavoro, si trovano spesso a combattere battaglie impossibili quando si tratta di sicurezza informatica.

Molti paesi sono impegnati oggi in una guerra cibernetica, tra cui Russia, Cina e Stati Uniti. Gartner ha recentemente messo in evidenza come la Russia abbia perpetrato gli attacchi informatici nell'ambito del piano di invasione dell'Ucraina nelle prime fasi della guerra. Al di là dei conflitti geopolitici, le organizzazioni devono sempre stare in guardia da utenti malintenzionati pronti a rubare dati e chiedere un riscatto per restituirli, agenti del caos che cercano di cancellare o esporre informazioni per nessun motivo apparente e sabotatori intenzionali o involontari all'interno della propria azienda.

In considerazione di queste minacce, non sorprende che l'FBI abbia subito una perdita di quasi 7 miliardi di dollari nella lotta al crimine informatico nel solo 2021. Indipendentemente dall'autore materiale degli attacchi, hanno tutti un punto in comune: il personale IT era sovraccarico o sottodimensionato, le misure di sicurezza sono state trascurate e si è verificata una violazione della sicurezza.

Per tornare all'esempio della banca e del materasso, c'è un valido per cui la prima viene data oggi per scontata quando si parla di protezione del denaro. Affidando i beni di valore a un'organizzazione dedicata esclusivamente alla loro protezione, le probabilità di un tipo protezione continuo e completo aumentano.

Restare fedeli alle tradizioni non significa ostacolare l'adozione di nuovi metodi di protezione dei dati, indiscutibilmente superiori. La tecnologia cloud e i programmi basati sul cloud e, per estensione, le soluzioni SaaS (Software-as-a-Service), hanno continuato a evolversi e migliorare, superando le limitazioni specifiche delle soluzioni di protezione locali. Se da un lato può essere difficile per le organizzazioni con soluzioni di sicurezza informatica locali ben consolidate abbandonare la proprietà diretta dei dati riservati, dall'altra la complessità del panorama digitale induce a pensarla diversamente.

In questo white paper, PTC pone le basi per comprendere la sicurezza informatica, soprattutto nell'ambito delle soluzioni SaaS e cloud, e spiega come ogni tecnologia possa potenzialmente rafforzare la protezione dei dati. Per sottolineare l'importanza di questo movimento, vengono analizzati i dati di un sondaggio recente per dimostrare come le organizzazioni stiano definendo e investendo in iniziative di sicurezza informatica.

A supporto di questo white paper, PTC ha contattato 76 persone e ha posto loro una serie di 28 domande su vari argomenti riguardanti l'evoluzione del lavoro, con particolare attenzione al Software as a Service (SaaS) e alle operazioni cloud. Tutti gli intervistati erano responsabili delle decisioni a tempo pieno (livello di direttore e superiore) che operavano in una varietà di settori negli Stati Uniti.

I dati del sondaggio sono stati raccolti ed elaborati nel periodo marzo-aprile 2022 e riflettono i punti di vista degli intervistati e la loro comprensione di alcune questioni chiave in quel momento.

L'importanza della sicurezza informatica aumenta di pari passo con l'utilizzo di Internet. Maggiore è la quantità di informazioni memorizzate online, maggiore è la necessità di protezione di specifici tipi di dati. Purtroppo, però, parallelamente al panorama digitale si stanno evolvendo anche le tipologie di crimini informatici. Gli attacchi di sicurezza informatica assumono oggi molte forme, di cui le due più comuni sono il malware e il phishing.

Altri tipi comuni di crimini informatici sono gli attacchi Denial of Service (DoS) e MitM (Man in the Middle). Sfortunatamente, i nuovi dispositivi IoT, in rapida e costante diffusione, stanno diventando anche punti di accesso di rete non protetti. Anche macchine semplici come le stampanti, in realtà, possono essere vulnerabili se non adeguatamente protette. Per le aziende, tuttavia, non basta essere diffidenti nei confronti di terze parti, poiché anche un dipendente senza un'appropriata formazione può determinare involontariamente una violazione di dati o la divulgazione di informazioni riservate. Secondo i dati raccolti da RedTeam Security, il 71% delle violazioni di dati è stato causato da utenti disattenti che hanno involontariamente divulgato informazioni, mentre un altro 68% è attribuibile a negligenza (utenti consapevoli delle politiche sui dati che, ciononostante, non hanno seguito le procedure corrette). Nessuna di queste violazioni, quindi, ha avuto origine da utenti malintenzionati ma hanno comunque determinato perdite finanziarie.

Indipendentemente dal tipo, i crimini informatici hanno quasi tutti lo stesso obiettivo: danneggiare volontariamente la vittima sfruttandone i dati riservati. I criminali informativi sfruttano la natura in continua evoluzione del panorama digitale. E le organizzazioni con dipendenti non specificamente formati per contrastare i crimini informatici rappresentano il bersaglio ideale. L'ignoranza è amica della violazione dei dati.

Questa situazione si è aggravata durante la pandemia del 2020. Le organizzazioni che non avevo definito un piano di smart working e non avevano idea di come sarebbe stato lavorare con un'infrastruttura software decentralizzata, si sono trovate a dover affrontare queste emergenze in tempi rapidissimi. Molti dipendenti e dirigenti, quindi, si sono dovuti adattare a soluzioni con cui non avevano familiarità. Parte del risultato: l'FBI ha dichiarato che le perdite dovute ad attacchi informatici sono quasi raddoppiate tra il 2019 e il 2021. Parallelamente, sono raddoppiati anche i costi di queste perdite: da 3,5 miliardi di dollari a quasi 7 miliardi di dollari.

Mentre la situazione pandemica si evolve in condizione endemica e le organizzazioni adottano nuove modalità di lavoro più flessibili, la sicurezza informatica continua a crescere di importanza. Non si tratta più di capire "se" le organizzazioni dovranno fronteggiare crimini informatici, ma "quando". Anche se i dati di PTC indicano che il 64% degli intervistati era consapevole dell'importanza della sicurezza informatica, ritenendola una priorità assoluta, affrontare concretamente questo problema potrebbe non essere facile.

In virtù della grande importanza che la protezione dei dati riveste nell'era digitale, PTC incoraggia i clienti ad adottare un approccio olistico multi-livello, soprattutto quando si tratta non solo di sicurezza informatica, ma anche di protezione della privacy. Un fattore inderogabile da ricordare è: una rete con un solo punto non sicuro è una rete non sicura, indipendentemente dal grado di sicurezza degli altri server e punti di accesso. L'anello debole non si limita a rompere la catena, può anche disintegrarla. Ma questo è vero sia nelle soluzioni locali che nelle offerte SaaS.

Mettere a punto un sistema di protezione informatica può essere molto complesso, ma deve sempre iniziare con tre semplici concetti di base: persone, processo e tecnologia.

Persone: al momento, non esiste una tecnologia con una sicurezza intrinseca tale da esentare l'importanza delle persone. Indipendentemente dal ruolo che ricoprono, tutti dovrebbero sapere come poter concorrere ad attuare una strategia di sicurezza informatica efficiente. Ma il crimine informatico non è statico e la formazione del personale deve essere metodica e periodica. Perseverando sulla consapevolezza, le organizzazioni non solo limitano il rischio che un dipendente cada in un tranello, ma riducono anche le probabilità che si verifichi una violazione dei dati a causa di un comportamento involontario di un dipendente.

Processo: anche se il personale è estremamente fidato, ad ogni livello aziendale, devono essere messi a punto processi in grado di assicurare visibilità e conservazione dei dati. I processi adottati, inoltre, possono includere filosofie di progettazione come il modello zero-trust e il principio dei privilegi minimi, entrambi appartenenti al concetto di progettazione sicura. Modellando l'organizzazione in modo da limitare la vulnerabilità e i rischi, oltre a monitorare ogni aspetto dei flussi di lavoro digitali, i dirigenti riducono le probabilità di una violazione fuori controllo.

Tecnologia: non tutte le tecnologie sono create uguali. Per questo motivo, le organizzazioni dovrebbero scegliere programmi in grado di supportare iniziative più ampie, in termini di sicurezza e semplicità d'uso. In questo ambito, l'automazione può essere d'aiuto poiché limita i punti di interazione umana e, di conseguenza, riduce le probabilità che un utente malintenzionato si apra una breccia nell'infrastruttura aziendale. Indipendentemente dalla soluzione scelta, locale o sul cloud, devono essere adottate le misure necessarie per mantenere la tecnologia monitorata e aggiornata.

Per preparare i clienti a districarsi in un nuovo ambiente di sicurezza informatica cloud basato sul SaaS, PTC consiglia di scegliere partner SaaS che diano priorità alla sicurezza a tutti i tre livelli: persone, processo e tecnologia.

La sicurezza informatica deve estendersi a tutti i reparti aziendali: non deve essere una soluzione una tantum, ma un processo continuo di miglioramento e innovazione. Ogni organizzazione dovrà quindi valutare la strategia migliore per predisporre le persone, i processi e le tecnologie a sviluppare una politica di sicurezza informatica completa.

Quando si parla di sicurezza informatica e, per estensione, di sicurezza informatica SaaS, si usano spesso termini come zero-trust e principio dei privilegi minimi. Ciascuno di essi ha una propria definizione ma entrambi rientrano nella stessa filosofia di sicurezza informatica: Progettazione sicura. La progettazione sicura è un aspetto chiave della moderna filosofia inerente alle politiche di sicurezza informatica, oltre a uno dei motivi per cui PTC la ritiene strettamente correlata alle soluzioni cloud e SaaS.

La progettazione sicura ha avuto origine in ambito software. Più esattamente, è nata dagli ingegneri software che hanno dedicato tempo extra a ideare e sviluppare soluzioni fondamentalmente più sicure e meno a rischio delle applicazioni software esistenti. Per dirla in altre parole, è come se avessero progettato una banca da zero, anziché convertire in istituto bancario un edificio che in precedenza era un fast-food. Nel primo caso, è possibile garantire un'eccellente sicurezza intrinseca senza investimenti eccessivi.

Questo approccio si è esteso poi oltre l'ambito software, nel momento in cui le organizzazioni hanno cercato di fondare l'intera infrastruttura su una progettazione sicura. Questa iniziativa può prendere molte forme, tra cui il ricorso a programmi di formazione periodici, come già accennato. Anche le organizzazioni che formulano piani di risposta adottano di fatto una progettazione sicura, delineando le misure da adottare in caso di violazione dei dati. Nel principio dei privilegi minimi, la progettazione sicura risiede nel fatto che limita il modo in cui gli utenti possono interagire con software e programmi. Nello specifico, il principio dei privilegi minimi prevede che solo gli utenti autorizzati possano accedere agli aspetti di un programma software di cui hanno assolutamente e legittimamente bisogno per svolgere il proprio lavoro. Si pensi, ad esempio, al libro paga. In molti casi, i dipendenti possono consultare i loro prossimi pagamenti, ma non hanno alcun motivo valido per accedere al libro paga dell'intera organizzazione.

Il concetto "zero trust" è molto simile. Come suggerito dal nome, "zero trust" è una filosofia di progettazione software che suggerisce: "nel dubbio, verifica". Nessun dispositivo deve essere ritenuto affidabile a priori, inclusi eventuali dispositivi sconosciuti provenienti da un luogo specifico (ad esempio, un ufficio). Questa filosofia si incentra sulla necessità di convalidare l'identità in ogni fase del processo di progettazione, in modo da garantire che solo gli utenti autorizzati possano accedere alla rete aziendale.

Tutte le soluzioni SaaS competitive sono basate sulla progettazione sicura, contrariamente alle soluzioni locali che, nella maggior parte dei casi, sono costituite da sistemi esistenti, ovvero da flussi di lavoro creati quando la sicurezza informatica non era una priorità. Anche se aggiornati, questi processi possono comunque essere oggetto di vulnerabilità che potrebbero rilevarsi molto costose. In un'era digitale come la nostra, non è più possibile mettere la sicurezza dopo il fatto. E le organizzazioni dovrebbero applicare questo concetto a tutte le attività aziendali svolte da personale esterno ed esterno.

Nonostante le difficoltà legate all'aggiornamento del software esistente, i dirigenti IT potrebbero comunque ostacolare l'idea di convertirsi al cloud per la sicurezza informatica. Come dice il proverbio: "Le mani più sicure rimangono sempre le nostre". Anche tralasciando le difficoltà correlate ai sistemi esistenti, le soluzioni locali non sarebbero comunque superiori. Anche se, in effetti, la memorizzazione dei dati on-site o in server proprietari mette tutti i dati riservati sotto il controllo immediato e completo dell'organizzazione, si tratta comunque di un'arma a doppio taglio.

In un mondo ideale, forse, in cui le aziende non si trovano mai sotto-organico, soprattutto in termini di esperti in sicurezza IT, le organizzazioni potrebbero proteggere i propri dati in modo efficiente, ma la realtà è completamente diversa (per non parlare della crescente efficacia degli attacchi informatici): mancanza di lavoratori qualificati, avvicendamento del personale e aumento del rischio di burnout. Anche le organizzazioni che sono pronte ad affrontare un'eventuale violazione dei dati con un piano di ripristino di emergenza, in realtà, non sono totalmente al sicuro, come dimostrato da un sondaggio condotto da IDC nel 2022, in cui il 79% degli intervistati ha dichiarato di aver attivato un piano di questo tipo nel corso dell'ultimo anno.

Lo confermano anche i dati raccolti da PTC: il 68% delle organizzazioni ha dichiarato che i propri team IT sono quasi costantemente impegnati in interventi di manutenzione. In ogni aspetto delle attività di business, infatti, si fa oggi ricorso a flussi di lavoro digitali e i team IT si trovano sempre a dover intervenire a posteriori. Non dispongono infatti del tempo o della larghezza di banda sufficiente per agire in modo proattivo o prepararsi a potenziali problemi di sicurezza. Fondamentalmente, tutto quello che non è urgente non riceve attenzione, anche se dovrebbe.

Questo approccio può essere superato affidandosi a un fornitore di servizi di archiviazione cloud, ovvero a un'organizzazione la cui unica funzione è quella di proteggere dati e informazioni riservate. Ovviamente, non tutti i fornitori offrono lo stesso livello di sicurezza informatica ma, mettendosi nelle mani di un'organizzazione la cui unica attività è la protezione sicura dei dati, i dirigenti conservano di fatto i propri segreti in luoghi costantemente monitorati per evitare qualsiasi tentativo di violazione.

Il cloud, infine, rientra a pieno titolo nella progettazione sicura poiché rende difficile l'accesso ai dati anche per i dipendenti dell'azienda cliente. I fornitori cloud sono, per loro natura, molto prudenti nella concessione dei permessi e, in genere, chiedono direttamente ai propri clienti chi può avere accesso ai dati. In questo modo, il rischio che acceda al sistema un utente con cui l'azienda non ha rapporti è molto limitato. Ma non solo: si impedisce inoltre che un dipendente possa, volontariamente o meno, danneggiare o distruggere un server on-site. Pertanto, sebbene la configurazione di una soluzione locale sia ancora possibile, si tratterebbe di un'ulteriore risorsa che il reparto IT avrà il compito di monitorare, aggiornare e gestire.

Gli aggiornamenti software riguardavano principalmente le funzionalità, mentre per l'introduzione di nuovi strumenti e contenuti si attendeva in genere il rilascio di una nuova versione. La sicurezza, tuttavia, è diventata presto un valido motivo per effettuare gli aggiornamenti e, alcuni fornitori, si sono spinti fino a renderli obbligatori. Le soluzioni SaaS non devono essere pensato come un'unica sostituzione. Con esse, infatti, le organizzazioni non acquistano un prodotto software, ma noleggiano la versione più recente. Anche se l'assenza di proprietà può sembrare un passo indietro, il SaaS offre vantaggi straordinari in termini di sicurezza informatica.

Si pensi a un programma installato secondo i canoni tradizionali. Un utente lo carica sul proprio computer e lì rimane, per essere usato al bisogno. Su un computer personale, inoltre, l'utente può aggiornarlo per installare nuove funzionalità o correggere una vulnerabilità di sicurezza. Negli ambienti professionali, tuttavia, iniziative di questo tipo sono solitamente scoraggiate. L'utente, infatti, nel momento in cui aggiorna il proprio computer, rimane improduttivo per un periodo di tempo non accettabile. Ecco perché la maggior parte delle organizzazioni non concede ai dipendenti le autorizzazioni necessarie per effettuare questi aggiornamenti.

Con i programmi installati localmente, inoltre, ci si trova spesso in una situazione in cui versioni software diverse tentano di lavorare all'unisono nello stesso ambiente. Nella migliore delle ipotesi, queste versioni sono compatibili l'una con l'altra, ma è possibile che alcune funzioni vadano perse (in base al software). Nel peggiore dei casi, alcuni dipendenti utilizzano una versione con vulnerabilità note che non possono essere risolte.

Questo già determinava grossi problemi quando tutti i dipendenti di un'azienda lavoravano sotto lo stesso tetto. Con il lavoro decentralizzato la situazione si è ovviamente aggravata. Se il software è installato in locale, il dipendente dovrà portare il computer in sede per poter essere riparato oppure il personale IT dovrà inviare per e-mail il nuovo software e corredarlo con istruzioni dettagliate, senza alcuna certezza di successo.

Con una soluzione SaaS, gli aggiornamenti vengono eseguiti uniformemente, in modo che si trovino tutti in condizioni di parità. L'automazione del processo di aggiornamento, inoltre, riduce considerevolmente il rischio di vulnerabilità della sicurezza informatica. Le organizzazioni che utilizzano soluzioni SaaS, inoltre, non devono chiedere al personale IT di controllare manualmente ogni hardware per accertarsi che il software sia ancora sicuro. I dipendenti più esperti, infine, non dovranno più dedicarsi ad attività di controllo e manutenzione, ma potranno concentrarsi sulle iniziative aziendali.

Il business sta diventando sempre più digitale. Questa verità, valida già da anni, non è destinata a cambiare. Interruzioni come la pandemia (o oggi l'inflazione) alimentano il desiderio dei dipendenti per un modello di lavoro decentralizzato e, conseguentemente, obbligano le aziende a implementare infrastrutture affidabili e sicure in grado di supportare forme di lavoro flessibili.

In un panorama di questo tipo, l'importanza della sicurezza informatica non può che aumentare. I dati del sondaggio dimostrano che molte organizzazioni sono già a conoscenza di questa realtà: il 33% degli intervistati, infatti, ha dichiarato che la propria organizzazione investe in sicurezza informatica più di quanto non faccia per le altre priorità (un altro 43% ha parlato di un livello di investimento pari a quello delle altre priorità). Questo, tuttavia, significa anche che quasi un quarto degli intervistati ritiene che gli investimenti in sicurezza informatica siano inferiori a quelli sostenuti per altre iniziative aziendali. Le organizzazioni che rientrano in questo gruppo rischiano seriamente di disporre di un'infrastruttura non sufficientemente robusta per contrastare i futuri attacchi informatici.

Alla domanda se ritenessero che la spesa in strumenti di sicurezza informatica sarebbe aumentata nei due anni successivi, il 28% ha risposto di no. La maggior parte delle organizzazioni, infatti, è consapevole che, con l'aumentare dei crimini informatici, non potranno che aumentare anche gli investimenti in sicurezza.

La crescente proliferazione di dispositivi con supporto Internet e la diffusione di modelli di lavoro decentralizzati non farà che complicare un panorama di sicurezza informatica già molto complesso. Passando da una soluzione locale a una soluzione SaaS basata sul cloud, le organizzazioni raggiungono la massima protezione dei dati e, al tempo stesso, consentono al personale IT di assumere un atteggiamento proattivo. In un mondo digitale decentralizzato, una soluzione SaaS non è solo più efficiente di una soluzione locale, ma è anche l'unica alternativa possibile. Sebbene possa sembrare un controsenso, nella maggior parte dei casi è molto più sicuro memorizzare le informazioni riservate fuori dai tradizionali ambienti locali.

Il SaaS ha cambiato la realtà della sicurezza informatica. Le organizzazioni, infatti, non sono più legate ai confini della propria infrastruttura IT quando si tratta di protezione dei dati, e questo è un vantaggio. Se si considera la quantità di minacce esistenti, inclusi alcuni Paesi stranieri, è impossibile pensare che una piccola impresa media possa proteggere i propri dati contando solo sulle risorse interne.

Smettere di gestire la sicurezza informatica tramite risorse interne e affidarsi a un partner esterno può non essere facile. Non tutte le organizzazioni SaaS, inoltre, garantiscono lo stesso livello di sicurezza informatica e un'azienda non deve cedere la protezione dei propri dati a un fornitore esterno solo perché questo pronuncia il termine "SaaS". Il partner SaaS ideale, infatti, dove aver implementato nei propri programmi numerosi protocolli di sicurezza informatica e avere la sicurezza nel proprio DNA.

Ulteriori informazioni su PTC

Per ulteriori informazioni sull'approccio di PTC alla sicurezza informatica, visitare il nostro Trust Center oppure contattarci qui.