Reti e sistemi informativi sono ormai il cuore del business in moltissimi settori: la loro evoluzione tecnologica apre nuove opportunità, ma rende anche più complicata la loro protezione. Cloud, Internet of Things, Mobile, integrazione B2B con partner e clienti hanno reso il concetto di “sicurezza perimetrale” ormai superato, ma allora cosa difendere?

Per questa domanda ci sono diverse possibili risposte, che hanno molto ampliato negli ultimi anni il mercato dell’ICT Security. L’israeliana CyberArk, per esempio, è specializzata nella protezione degli accessi privilegiati, le credenziali con cui gli utenti chiave accedono alle applicazioni “business critical”. Che sono le applicazioni indispensabili perché un’azienda operi normalmente: hanno influssi diretti sui risultati, e la loro compromissione può avere impatti distruttivi sul conto economico e sulla reputazione.

Secondo Forrester Research, l’80% dei security breach coinvolge account privilegiati, mentre Gartner nel 2018 ha messo il Privileged Access Management al primo posto della Top 10 Security Projects”, spiega Claudio Squinzi, Country Sales Manager per l’Italia di CyberArk (nella foto).

Le “keys for the IT Kingdom”

Il motivo è chiaro: un utente privilegiato del sistema ERP o CRM può modificare l’offerta commerciale, la struttura dei prodotti o la gestione dei clienti, il social media manager con un post può cambiare la reputazione dell’azienda, l’amministratore di sistema può paralizzare o far ripartire processi di business vitali. E le loro credenziali di solito sono un punto debole, perché sono scelte in modo da essere molto facili da ricordare, e cambiate molto raramente.

Insomma gli account privilegiati, spesso tramite un semplice phishing, possono essere le “keys to the IT kingdom”, sia per malintenzionati esterni che interni: perciò questo insieme di credenziali va gestito e controllato, e deve avere caratteristiche e cicli di vita a parte”.

Nata nel 1999 in Israele, CyberArk si è quotata al Nasdaq nel 2014: oggi conta 1200 dipendenti in 12 sedi nel mondo (quella italiana è a Milano, con circa 15 persone) e 4600 clienti in tutti i settori. L’offerta si basa su CyberArk Privileged Access Security Solution, il cui nucleo principale è Core PAS (Privileged Access Security), un “vault” di gestione delle password, con funzioni di privileged session manager e privileged threat analytics. “Il concetto è che l’utente non gestisce le sue password: l’accesso al sistema avviene attraverso una sessione gestita da CyberArk, in un ambiente isolato dal client, in cui tutte le attività sono sottoposte ad attento monitoraggio”, sottolinea Squinzi.

CyberArk opera sul mercato attraverso una rete di partner certificati (in Italia sono una quindicina): “Di fatto sono IT advisor e system integrator perché la nostra soluzione va configurata e personalizzata sul cliente”. L’azienda ha inoltre fondato la C3 Alliance, in cui un centinaio di operatori ICT (tra gli altri AWS, Google, Intel, IBM, McAfee, Palo Alto Networks, SAP, Symantec) collaborano nella ricerca e sviluppo e integrano le loro soluzioni di sicurezza.

Prima paura degli italiani: le sanzioni per le non conformità

Per approfondire l’approccio alla gestione delle applicazioni business critical (d’ora in poi per comodità BCA), CyberArk ha recentemente commissionato ad Arlington Research un’indagine su 1450 business e IT decision maker di aziende di 8 paesi in Europa, Medio Oriente e Africa (tra cui oltre un centinaio italiani). “I concetti principali sono due: quasi il 70% ammette di non trattare la protezione delle BCA in modo prioritario rispetto ad altri dati e applicazioni, anche di basso valore, ma d’altra parte ben il 77% degli italiani riconosce che anche una breve indisponibilità imprevista di queste applicazioni può avere effetti traumatici sul loro business”, spiega Andrea Argentin, Sales Engineer Manager di CyberArk Italia.

Il 72% degli intervistati in effetti pensa che basti un buon approccio di sicurezza perimetrale per proteggere le BCA: “Un’idea molto ottimistica, visto che a volte non c’è più un perimetro, anche se le app sono onpremise”. Eppure il 56% dichiara di avere avuto problemi alle proprie BCA negli ultimi 24 mesi (service disruption 36%, data integrity 20%) e un altro 17% ha subito sottrazioni di dati. Mentre in Italia il 48% ha avuto problemi alle BCA (33% interruzioni di servizio e 15% integrità dei dati), mentre il 18% perdite di dati. “Abbiamo poi un 41% di imprese italiane che dichiara zero problemi alle BCA negli ultimi 2 anni e un 7% che non sa, ma queste due voci potrebbero coincidere, perché spesso il problema viene accertato dopo molto tempo, o mai”.

Altra domanda interessante è qual è la conseguenza peggiore di un’eventuale violazione. Quella che preoccupa di più gli italiani sono le sanzioni per le non conformità a leggi e regolamenti (26%, mentre a livello EMEA questa voce è solo quarta con l’8%), seguita da perdite di fatturato (23%), danni alla reputazione (18%), e downtime operativi, al quarto posto con il 12%, mentre a livello EMEA questa voce è la prima con il 25%.