Domenico Raguseo - Head of CyberSecurity Exprivia
News on line 28 marzo 2024
Un vecchio saggio (ed esperto programmatore d’oltreoceano) una volta disse: “Quando si sviluppa una patch, forse si risolve un problema, ma sicuramente se ne introducono altri”. Questo veniva detto quando la trasformazione digitale era appena agli inizi, quando i cicli di sviluppo duravano anni, quando i processi digitali erano reversibili e quando le esigenze di adattare i prodotti al mercato non richiedevano adattamenti continui.
L’osservazione, precedentemente citata, era adattabile pertanto agli sviluppi delle patch, in quanto le patch erano gli unici delivery in cui un adattamento al mercato fosse imminente, necessario ed imprescindibile (seppure spesso adattabile a processi reversibili e quindi sostituibili con attività manuali).
Oggi la considerazione potrebbe essere estesa al mercato digitale intero.
La domanda a cui vorremmo tutti rispondere è se gli investimenti in sicurezza sono compatibili con quanto velocemente si riesca a sviluppare prodotti compatibili con le esigenze del mercato. Exprivia ha provato a dare una risposta a questa complessa domanda con l’”Investment Index”, calcolato su un campione di aziende a copertura delle maggiori industrie presenti sul territorio, che mette in relazione il numero di servizi esposti e le vulnerabilità interessate da questi servizi. Il valore ottenuto è normalizzato in un intervallo tra 1 e 10, dove 1 rappresenta un livello di sicurezza molto basso, mentre il valore 10 rappresenta un livello di sicurezza elevato. Al crescere di questo valore vuol dire che le patch progressivamente riducono il perimetro di attacco, ma potrebbe anche indicare che il perimetro di attacco non viene modificato a causa della mancanza di evoluzione della piattaforma. Le industrie sono distribuite sul territorio nazionale (Nord, Centro e Sud) e per settore merceologico (Automotive, Consulting, Critical Infrastructure, Educational, Entertainment, Finance, Healthcare, Hospitality, Industrial, ONG, Public Administration, Religion, Retail, Security, Software e Telco).
Secondo i dati raccolti dall’Osservatorio Exprivia sulla Cybersecurity nel 2023, abbiamo avuto un generale miglioramento in quasi tutte le industrie analizzate, con eccezione per “education” e “infrastrutture critiche”, dove la digitalizzazione sembra aver avuto una velocità maggiore rispetto alla messa in sicurezza dei nuovi servizi offerti. Considerando quando dopo la pandemia si è investito in didattica a distanza, la cosa non dovrebbe sorprenderci. Invece, desta preoccupazione il fatto che il processo di digitalizzazione delle infrastrutture critiche, malgrado normative sempre più stringenti (NIS), sembra viaggiare ad una velocità inferiore sulla sicurezza e parliamo di infrastrutture considerate critiche nella fornitura di servizi essenziali, e quindi con grandissimo impatto sull'economia e sulla quotidianità. Anche interessante è osservare la distribuzione sul territorio nazionale.
Se da un lato osserviamo un Sud più sicuro del Centro, che è più sicuro del Nord, non possiamo con certezza affermare che ciò dipenda dal fatto che il perimetro osservato non si modifichi.
La nota positiva è notare come al nord l’”Investment Index” sia complessivamente cresciuto nel 2023.
L'innovazione tecnologica e l'accelerazione nella trasformazione digitale spingono i produttori di tecnologie ad avere cicli di sviluppo agili e poco conciliabili con produzioni organizzate a silos, con responsabilità e commitment nei silos di riferimento piuttosto che con il business. La necessità di adattarsi ai cambiamenti del mercato richiede infatti rilasci più rapidi e frequenti, dove la collaborazione e l'automazione cross-silos sono necessarie per migliorare la qualità del software e ridurre il rischio di avere il prodotto perfetto ma nei tempi sbagliati.
Frequenza nei rilasci, sviluppo della cultura della collaborazione, agilità ed adattabilità, automazione e ricerca dell'efficienza operativa, ma soprattutto promozione della cultura dell'innovazione e apprendimento continuo, sono principi fondamentali della cultura DevOps.
Se con un approccio DevOps le organizzazioni possono sviluppare e distribuire software in modo più efficiente, rapido e affidabile, migliorando la competitività, la soddisfazione del cliente e l'innovazione aziendale, la sfida che il dato sull’”Investment Index” ci suggerisce è quella di includere la sicurezza nell’intero ciclo di sviluppo del software in maniera strutturale, sin dalle prime fasi del ciclo di sviluppo accompagnandolo in modo continuo ed automatizzato laddove invece la sicurezza viene considerata un processo a parte, da eseguire alla fine del ciclo di sviluppo .
La sicurezza invece dovrebbe essere una parte integrante del processo di sviluppo per identificare e gestire vulnerabilità di sicurezza con la stessa e talvolta maggiore attenzione rispetto a problemi di carattere funzionale utilizzando strumenti che per la automazione dei test di sicurezza, integrando analisi statica (SAST) e dinamica del codice (DAST) ed identificando contromisure di sicurezza nel processo di integrazione e distribuzione continua (CI/CD) .
La sfida si chiama DevSecOps.