L’approccio DevOps adottato per mitigare le vulnerabilità insite nei software non aggiornati, spinge il vendor a rivolgersi a partner tecnologici, più che commerciali, che possono sfruttare il tool Smart Check per la validazione della security degli applicativi
Loris Frezzato
Pubblicato il 18 Dic 2018
Condividi questo articolo
C’è un nuovo modo di intendere la sicurezza che esula dall’antimalware e dagli strumenti classici che tendono a identificare, prevenire e combattere gli attacchi. Non un prodotto che “cura”, ma un approccio nuovo alla security che prevede un intervento “genetico” che impedisca la generazione di vulnerabilità e, di conseguenza, gli effetti di eventuali offensive del cybercrime. È questa la logica che sta alla base del modello DevOps,che si estende alla Security by design quando l’intervento della messa in sicurezza dei software avviene fin dalle loro fasi di programmazione e sviluppo. Si tratta di vulnerabilità insite nella natura stessa dell’applicativo, che vengono scovate e sfruttate dagli agenti malevoli nelle finestre temporali che solitamente si aprono e restano permeabili finchè il team degli sviluppatori non interviene con patch di aggiornamento adeguate che ne garantiscono la sicurezza. A volte momentanea, fino al prossimo, più evoluto, attacco.
Salvatore Marcis, Technical Director di Trend Micro Italia
«In una protezione che prevede un approccio di tipo DevOps, il soggetto principale non è la sicurezza così com’è intesa tradizionalmente, con soluzioni e prodotti specialistici, ma sono gli applicativi – dichiara Salvatore Marcis, Technical Director di Trend Micro Italia-, e anche il panorama dei partner che vengono coinvolti è sostanzialmente differente da quello commerciale o di integrazione a cui siamo solitamente abituati riferirci quando parliamo di soluzioni di IT Security. I nostri partner tradizionali, i reseller e i system integrator, soprattutto quelli molto focalizzati sulla sicurezza, non dispongono di un’offering a 360 gradi che parte dall’applicativo, tocca l’infrastruttura per arrivare, solo successivamente, alla sicurezza. Trattano solitamente di sicurezza, con skill specialistici, spesso avulsi dal resto, soprattutto estranei allo sviluppo del software, a uso interno o esterno che sia, ed esulano, quindi, dal coinvolgimento in ottica DevOps, che è invece appannaggio dei programmatori».
Indice degli argomenti
Un canale diverso per interlocutori nuovi
Partner diversi dai tradizionali, perché anche i riferimenti all’interno delle aziende clienti non sono quelli solitamente interpellati per gli investimenti in security, e nemmeno per le spese IT in generale. Il CISO (Chief Information Security Officer) oggi è sempre più presente nelle grandi aziende, ma spesso lavora più sulla governance della sicurezza, per capire dove i dati sono e come vengono protetti, piuttosto di occuparsi delle tecniche di sicurezza applicate all’interno della propria azienda. «Dobbiamo cambiare interlocutore perché parliamo di applicativi – riprende Marcis -, un mondo che tradizionalmente è restio ad affrontare la componente di sicurezza. Lo staff di sviluppo software pensa a fare funzionare l’applicazione e a soddisfare le esigenze del management, ossia sviluppare le novità che l’azienda dovrà proporre sul proprio mercato. Nel mondo degli applicativi l’interlocutore è al top dell’azienda, con grande potere decisionale, con cui fino a oggi chi si occupa di sicurezza non ha mai parlato, con il risultato di aggravare la situazione, visto che è proprio da qui che scaturiscono le vulnerabilità per le quali le aziende vengono attaccate».
Coinvolgere il management sulla security facendo leva sui temi business
L’approccio DevOps consente invece di parlare un linguaggio unico per due team che prima non colloquiavano. Uno che parla con la sicurezza e uno che si confronta direttamente con il management, molto più legato al processo di business. Bisogna cambiare interlocutori perché il budget destinato alla sicurezza è limitato rispetto a quello destinato all’applicativo, strettamente legato a quanto l’azienda si attende per aumentare i propri profitti. «La sicurezza fino a poco tempo fa era vista unicamente come un costo, oggi non è più così, è considerata utile al business, ma non riuscirà mai a colmare il gap che c’è con il team degli applicativi – osserva il technical director di Trend Micro -. Rivolgersi a nuove figure per parlare di sicurezza non serve solo perché altrove c’è più budget, ma perché nel team di sviluppo c’è più visione dei processi utili al business e se si riesce a portare la sicurezza al suo interno, anche questo aspetto sarà preso in forte considerazione. Sarà, anzi, lo stesso team applicativo a coinvolgere il team di sicurezza nei progetti migliorativi dell’applicazione ed entrare di fatto nell’ottica del Security by design».
Non è un mondo per i classici rivenditori
I partner che hanno un portafoglio di offerta ampio da proporre al cliente, ossia quelli che non sono specializzati solamente in sicurezza, hanno quindi maggiori opportunità di percorrere la strada DevOps. Magari quelli che hanno iniziato già a parlare di protezione degli applicativi, o chi già fornisce la componente gestionale, o di infrastruttura, che sono più avvantaggiati essendo già su ambiti enterprise che hanno queste necessità. Ma il coinvolgimento non esclude anche partner più piccoli, o più focalizzati, che offrono sicurezza in modo nuovo avendo già adottato il tema della cloud adoption e spinto i loro clienti ad adottare dei modelli in cloud. «Questi partner hanno spiegato che non ha più importanza dove risiede il dato, che può anche essere fuori dall’azienda, in sicurezza, ma lavorando all’interno del codice possiamo fare ancora prima ed essere più veloci nel rilascio dell’applicazione, che fino a oggi veniva rallentata per l’uso dei sistemi di sicurezza tradizionali post-sviluppo. E collaborano con le software house o con chi nell’azienda sviluppa l’applicativo» dichiara Marcis. Che prosegue: «Non si tratta di un cambio di partner, ma di una loro evoluzione. I grandi system integrator questa evoluzione l’hanno già fatta, avendo un portafoglio pluricomprensivo di applicativi infrastruttura e sicurezza che offrivano ai loro interlocutori tradizionali all’interno dele aziende clienti. Altri partner invece devono imparare ad evolvere. Oggi l’antimalware è diventato quasi una commodity, e il canale deve essere capace di fare un passo in più, fondamentale per la sua stessa sopravvivenza».
Smart Check in aiuto ai partner
Smart Check è la tecnologia che Trend Micro mette a disposizione, ma anche una serie di strumenti a supporto dei partner che vogliono affrontare anche culturalmente il tema della Security by design. Tutti i partner Trend Micro hanno accesso a un portale di education, attraverso il quale possono formare le proprie persone, sia tecniche sia commerciali, attraverso corsi online, per conoscere le tecnologie Trend Micro e le problematiche che possono risolvere. Smart Check entra a pieno titolo nel tema dello sviluppo applicativo, all’interno del portafoglio Trend Micro ma anche con vendor terze parti che vogliono offrire una piattaforma di sicurezza completa fin dalle sue fasi di realizzazione. Per i partner che sono compliance con la piattaforma DevOps di Trend Micro esistono diversi piani di certificazione, sia sulla base delle competenze tecniche del singolo partner sia legate al fatturato generato, oltre ala possibilità di pubblicare casi di successo riconosciuti, dove viene sottolineato il ruolo del partner stesso nella soluzione delle esigenze dei clienti. A questo si aggiunge un piano di incentivi per premiare la volontà di lavorare in partnership con il vendor e non in maniera opportunistica.
Clicca sul pulsante per copiare il link RSS negli appunti.
I tuoi contenuti, la tua privacy!
Su questo sito utilizziamo cookie tecnici necessari alla navigazione e funzionali all’erogazione del servizio.
Utilizziamo i cookie anche per fornirti un’esperienza di navigazione sempre migliore, per facilitare le interazioni con le nostre funzionalità social e per consentirti di ricevere comunicazioni di marketing aderenti alle tue abitudini di navigazione e ai tuoi interessi.
Puoi esprimere il tuo consenso cliccando su ACCETTA TUTTI I COOKIE. Chiudendo questa informativa, continui senza accettare.
Potrai sempre gestire le tue preferenze accedendo al nostro COOKIE CENTER e ottenere maggiori informazioni sui cookie utilizzati, visitando la nostra COOKIE POLICY.
ACCETTA
PIÙ OPZIONI
Cookie Center
ACCETTA TUTTO
RIFIUTA TUTTO
Tramite il nostro Cookie Center, l'utente ha la possibilità di selezionare/deselezionare le singole categorie di cookie che sono utilizzate sui siti web.
Per ottenere maggiori informazioni sui cookie utilizzati, è comunque possibile visitare la nostra COOKIE POLICY.
ACCETTA TUTTO
RIFIUTA TUTTO
COOKIE TECNICI
Strettamente necessari
I cookie tecnici sono necessari al funzionamento del sito web perché abilitano funzioni per facilitare la navigazione dell’utente, che per esempio potrà accedere al proprio profilo senza dover eseguire ogni volta il login oppure potrà selezionare la lingua con cui desidera navigare il sito senza doverla impostare ogni volta.
COOKIE ANALITICI
I cookie analitici, che possono essere di prima o di terza parte, sono installati per collezionare informazioni sull’uso del sito web. In particolare, sono utili per analizzare statisticamente gli accessi o le visite al sito stesso e per consentire al titolare di migliorarne la struttura, le logiche di navigazione e i contenuti.
COOKIE DI PROFILAZIONE E SOCIAL PLUGIN
I cookie di profilazione e i social plugin, che possono essere di prima o di terza parte, servono a tracciare la navigazione dell’utente, analizzare il suo comportamento ai fini marketing e creare profili in merito ai suoi gusti, abitudini, scelte, etc. In questo modo è possibile ad esempio trasmettere messaggi pubblicitari mirati in relazione agli interessi dell’utente ed in linea con le preferenze da questi manifestate nella navigazione online.