C’è un nuovo modo di intendere la sicurezza che esula dall’antimalware e dagli strumenti classici che tendono a identificare, prevenire e combattere gli attacchi. Non un prodotto che “cura”, ma un approccio nuovo alla security che prevede un intervento “genetico” che impedisca la generazione di vulnerabilità e, di conseguenza, gli effetti di eventuali offensive del cybercrime. È questa la logica che sta alla base del modello DevOps, che si estende alla Security by design quando l’intervento della messa in sicurezza dei software avviene fin dalle loro fasi di programmazione e sviluppo. Si tratta di vulnerabilità insite nella natura stessa dell’applicativo, che vengono scovate e sfruttate dagli agenti malevoli nelle finestre temporali che solitamente si aprono e restano permeabili finchè il team degli sviluppatori non interviene con patch di aggiornamento adeguate che ne garantiscono la sicurezza. A volte momentanea, fino al prossimo, più evoluto, attacco.
«In una protezione che prevede un approccio di tipo DevOps, il soggetto principale non è la sicurezza così com’è intesa tradizionalmente, con soluzioni e prodotti specialistici, ma sono gli applicativi – dichiara Salvatore Marcis, Technical Director di Trend Micro Italia -, e anche il panorama dei partner che vengono coinvolti è sostanzialmente differente da quello commerciale o di integrazione a cui siamo solitamente abituati riferirci quando parliamo di soluzioni di IT Security. I nostri partner tradizionali, i reseller e i system integrator, soprattutto quelli molto focalizzati sulla sicurezza, non dispongono di un’offering a 360 gradi che parte dall’applicativo, tocca l’infrastruttura per arrivare, solo successivamente, alla sicurezza. Trattano solitamente di sicurezza, con skill specialistici, spesso avulsi dal resto, soprattutto estranei allo sviluppo del software, a uso interno o esterno che sia, ed esulano, quindi, dal coinvolgimento in ottica DevOps, che è invece appannaggio dei programmatori».
Indice degli argomenti
Un canale diverso per interlocutori nuovi
Partner diversi dai tradizionali, perché anche i riferimenti all’interno delle aziende clienti non sono quelli solitamente interpellati per gli investimenti in security, e nemmeno per le spese IT in generale. Il CISO (Chief Information Security Officer) oggi è sempre più presente nelle grandi aziende, ma spesso lavora più sulla governance della sicurezza, per capire dove i dati sono e come vengono protetti, piuttosto di occuparsi delle tecniche di sicurezza applicate all’interno della propria azienda. «Dobbiamo cambiare interlocutore perché parliamo di applicativi – riprende Marcis -, un mondo che tradizionalmente è restio ad affrontare la componente di sicurezza. Lo staff di sviluppo software pensa a fare funzionare l’applicazione e a soddisfare le esigenze del management, ossia sviluppare le novità che l’azienda dovrà proporre sul proprio mercato. Nel mondo degli applicativi l’interlocutore è al top dell’azienda, con grande potere decisionale, con cui fino a oggi chi si occupa di sicurezza non ha mai parlato, con il risultato di aggravare la situazione, visto che è proprio da qui che scaturiscono le vulnerabilità per le quali le aziende vengono attaccate».
Coinvolgere il management sulla security facendo leva sui temi business
L’approccio DevOps consente invece di parlare un linguaggio unico per due team che prima non colloquiavano. Uno che parla con la sicurezza e uno che si confronta direttamente con il management, molto più legato al processo di business. Bisogna cambiare interlocutori perché il budget destinato alla sicurezza è limitato rispetto a quello destinato all’applicativo, strettamente legato a quanto l’azienda si attende per aumentare i propri profitti. «La sicurezza fino a poco tempo fa era vista unicamente come un costo, oggi non è più così, è considerata utile al business, ma non riuscirà mai a colmare il gap che c’è con il team degli applicativi – osserva il technical director di Trend Micro -. Rivolgersi a nuove figure per parlare di sicurezza non serve solo perché altrove c’è più budget, ma perché nel team di sviluppo c’è più visione dei processi utili al business e se si riesce a portare la sicurezza al suo interno, anche questo aspetto sarà preso in forte considerazione. Sarà, anzi, lo stesso team applicativo a coinvolgere il team di sicurezza nei progetti migliorativi dell’applicazione ed entrare di fatto nell’ottica del Security by design».
Non è un mondo per i classici rivenditori
I partner che hanno un portafoglio di offerta ampio da proporre al cliente, ossia quelli che non sono specializzati solamente in sicurezza, hanno quindi maggiori opportunità di percorrere la strada DevOps. Magari quelli che hanno iniziato già a parlare di protezione degli applicativi, o chi già fornisce la componente gestionale, o di infrastruttura, che sono più avvantaggiati essendo già su ambiti enterprise che hanno queste necessità. Ma il coinvolgimento non esclude anche partner più piccoli, o più focalizzati, che offrono sicurezza in modo nuovo avendo già adottato il tema della cloud adoption e spinto i loro clienti ad adottare dei modelli in cloud. «Questi partner hanno spiegato che non ha più importanza dove risiede il dato, che può anche essere fuori dall’azienda, in sicurezza, ma lavorando all’interno del codice possiamo fare ancora prima ed essere più veloci nel rilascio dell’applicazione, che fino a oggi veniva rallentata per l’uso dei sistemi di sicurezza tradizionali post-sviluppo. E collaborano con le software house o con chi nell’azienda sviluppa l’applicativo» dichiara Marcis. Che prosegue: «Non si tratta di un cambio di partner, ma di una loro evoluzione. I grandi system integrator questa evoluzione l’hanno già fatta, avendo un portafoglio pluricomprensivo di applicativi infrastruttura e sicurezza che offrivano ai loro interlocutori tradizionali all’interno dele aziende clienti. Altri partner invece devono imparare ad evolvere. Oggi l’antimalware è diventato quasi una commodity, e il canale deve essere capace di fare un passo in più, fondamentale per la sua stessa sopravvivenza».
Smart Check in aiuto ai partner
Smart Check è la tecnologia che Trend Micro mette a disposizione, ma anche una serie di strumenti a supporto dei partner che vogliono affrontare anche culturalmente il tema della Security by design. Tutti i partner Trend Micro hanno accesso a un portale di education, attraverso il quale possono formare le proprie persone, sia tecniche sia commerciali, attraverso corsi online, per conoscere le tecnologie Trend Micro e le problematiche che possono risolvere. Smart Check entra a pieno titolo nel tema dello sviluppo applicativo, all’interno del portafoglio Trend Micro ma anche con vendor terze parti che vogliono offrire una piattaforma di sicurezza completa fin dalle sue fasi di realizzazione. Per i partner che sono compliance con la piattaforma DevOps di Trend Micro esistono diversi piani di certificazione, sia sulla base delle competenze tecniche del singolo partner sia legate al fatturato generato, oltre ala possibilità di pubblicare casi di successo riconosciuti, dove viene sottolineato il ruolo del partner stesso nella soluzione delle esigenze dei clienti. A questo si aggiunge un piano di incentivi per premiare la volontà di lavorare in partnership con il vendor e non in maniera opportunistica.
