Parlare di sicurezza IT oggi significa parlare del modo in cui le aziende affrontano il tema e di come intendono mitigare i rischi. La posta in palio è troppo alta: le aziende colpite da un attacco informatico registrano danni quantificabili in milioni di euro. E gli attacchi informatici diventano ogni anno più sofisticati e più frequenti.
Perciò, lavorare sulla sicurezza IT non può più essere una ciliegina sulla torta: dev’essere la torta. Rafforzare la sicurezza IT applicando i metodi del DevOps (crasi di “development” e “operations”) significa ottimizzare e configurare i processi legati al ciclo di sviluppo del software. L’obiettivo è garantire che i rischi siano intrinsecamente mitigati e che l’organizzazione approcci lo sviluppo degli applicativi in modo graduale, sfruttando le buone pratiche previste, dallo shift left fino all’integrazione di strumenti che automatizzino la ricerca di possibili vulnerabilità e rischi nel codice.
Sicurezza IT: una situazione sempre più delicata
Oggigiorno la sicurezza IT è una delle priorità delle organizzazioni. Non deve sorprendere. Un’analisi di Clusit, infatti, ha registrato che dal 2018 al 2021 gli attacchi gravi sono aumentati del 32% e la media mensile di attacchi gravi in tutto il mondo è cresciuta da 130 a 171. Al punto che si parla di un “cambiamento epocale nei livello globali di cyber-insicurezza”.
La sicurezza IT, allora, deve diventare il perno dei processi di sviluppo delle applicazioni: anziché reagire, le aziende sono chiamate a prevenire che possibili vulnerabilità, anche critiche, nel codice possano mettere a rischio i sistemi interni e quelli dei clienti, in caso di applicativi forniti a terzi. O che un tool di terze parti, magari in cloud, possa rappresentare una porta aperta verso la rete aziendale.
Le buone pratiche del DevOps rappresentano la prima linea di difesa per proteggere l’azienda e i dipendenti dagli attacchi informatici.
Sicurezza IT: le buone pratiche del DevOps
La metodologia DevOps è un significativo cambio di paradigma. Applicato al ciclo di sviluppo del software, racchiude una serie di buone pratiche che garantiscono applicazioni più robuste e sicure e di conseguenza evitano i rischi di sicurezza intrinsechi nel metodo convenzionale.
Stabilisci dei processi chiari
Una delle prime iniziative da attuare è di stabilire dei processi di sicurezza e implementarli. Si tratta di una fase importante perché, innanzitutto, stabilisce le priorità da seguire, ma anche perché assicura che tutte le figure coinvolte siano al corrente di cosa fare in ogni situazione. Inoltre, rappresenta un momento di riflessione su quali vulnerabilità possono colpire l’azienda e con quale impatto. Non tutte le vulnerabilità sono uguali e alcune sono molto più gravi di altre.
Sicurezza IT: passare a “shift left”
Immaginando il ciclo di sviluppo del software come una linea che si estende da sinistra (l’inizio) a destra (la fine), l’approccio “shift left” – che significa, appunto, spostare verso sinistra – implica far sì che la sicurezza venga integrata già all’inizio dello sviluppo del software. Prima ancora di cominciare a scrivere il codice, durante la fase di design, è essenziale che figure esperte nella sicurezza IT vengano coinvolte e inserite nel contesto di quello specifico applicativo. Così facendo, già in fase di design verranno aggiunti momenti di risk assessment e threat modeling, così che possano essere valutati e configurati sistemi di mitigazione dei rischi. Questo è l’unico modo per assicurare che le policy di sicurezza vengano adottate e rispettate.
Automatizza la ricerca di vulnerabilità
Un’ulteriore buona pratica del DevOps che offre significativi benefici al livello di sicurezza IT aziendale è l’integrazione di tool, come un software asset management, che possa automatizzare la ricerca di vulnerabilità mentre lo sviluppatore scrive il codice. Ciò significa che in tempo quasi reale le modifiche vengono controllate: in caso di una possibile vulnerabilità, l’utente viene notificato dal sistema. In questo modo, può subito intercettare il problema e risolverlo, oppure applicare, se necessario, un’eccezione. I sistemi automatizzati consentono di intervenire prima che un problema diventi più grande da gestire, ma senza intralciare o rallentare il lavoro degli sviluppatori.
La formazione è rilevante
Nel percorso di ottimizzazione dei processi legati alla sicurezza IT, è centrale che l’organizzazione preveda dei corsi di formazione, che possono anche essere verticali su specifici aspetti dello sviluppo o su specifici ruoli. I workshop aiutano ad avvicinare gli sviluppatori alle esigenze della cybersecurity e permettono di metabolizzare un nuovo metodo di lavoro, che sarà poi impiegato quotidianamente nel lavoro.
La sicurezza IT è un processo
Una cosa dev’essere chiara: la sicurezza IT non è un prodotto, ma è un processo. E come tale, dev’essere continuamente monitorato, migliorato ed evoluto, tenendo traccia di cosa sta funzionando e cosa no; di quali aspetti devono essere resi più efficienti e quali migliorati; di che tipo di competenze ancora mancano in azienda.
Il DevSecOps – cioè la piena integrazione di un approccio evoluto e organizzato alla sicurezza al metodo DevOps – è il perfetto esempio: è un impegno a lungo termine, che viene continuamente calibrato e ha bisogno di costanti aggiustamenti per assicurare che sia stato metabolizzato in azienda.
La sicurezza IT non può più aspettare: integrare nuovi processi è essenziale per proteggere gli asset aziendali da intrusioni e data breach. Il DevOps è la traccia da seguire.
