Sicurezza e resilienza come chiavi per affrontare le difficoltà: la visione di Kyndryl Italia

Kyndryl si è separata da IBM ormai più di sei mesi fa, intraprendendo così un percorso che la sta portando a evolvere significativamente in quanto a servizi offerti ai propri clienti. Tra questi servizi rientrano anche quelli legati alla sicurezza, ambito più che mai attuale vista la sempre maggiore pressione che i cybercriminali mettono sulle aziende. Ne abbiamo parlato con Federico Botti, Practice Leader Security and Resiliency di Kyndryl Italia, per capire come l'azienda si ponga rispetto al tema della cybersicurezza e come strutturi la sua offerta.

La sicurezza secondo Kyndryl: essere resilienti è fondamentale

Negli ultimi anni si usa molto il termine "resilienza"per indicare la capacità (delle aziende, così come delle persone) di superare le avversità gestendo il cambiamento, anziché subendolo passivamente. Di fatto, il termine implica la capacità di adattarsi: un concetto più che mai attuale, visti i cambiamenti significativi che le aziende hanno dovuto e devono affrontare nel campo della tecnologia. Ma perché Kyndryl ne parla come di qualcosa collegato intimamente alla sicurezza informatica?

"Dopo lo scorporo da IBM, Kyndryl ha istituito una practice [termine con cui l'azienda definisce le aree su cui si focalizza, NdR] dedicata alla sicurezza e alla resilienza: prende così una decisione già in partenza di unire i due temi e adotta una linea d'intervento aderendo agli standard del NIST [ente americano preposto alla definizione degli standard crittografici e di sicurezza, NdR]. Un primo passaggio molto importante è dunque che Kyndryl è uno dei primi vendor a integrare la resilienza all'interno di una strategia di cybersicurezza: non sono molte le realtà ad aver fatto questa scelta. Crediamo che la resilienza debba essere incorporata a partire dalla progettazione: oltre che prevenire, è necessario agire con la progettazione, l'implementazione di tecniche di difesa come le strategie zero trust, la risposta agli incidenti e, da ultimo, proprio con la resilienza che è parte del recupero post-attacco. Riteniamo che l'abilità di ripartire faccia molto spesso la differenza", ci dice Botti (in foto).

La resilienza secondo Kyndryl è, dunque, la capacità delle aziende e dei loro sistemi di continuare a funzionare anche in caso di attacchi: una caratteristica particolarmente importante in un momento in cui questi sono in aumento e in cui il loro effetto è più devastante, e dunque intimamente collegata all'ambito della sicurezza.

"Veniamo da una cultura di disaster recovery, dove eravamo già molto forti in quanto leader di mercato, ma finora 'disaster recovery' ha significato risposta ad eventi a bassissima frequenza ma ad altissimo impatto operativo. Uno dei temi fondamentali è che ora la risposta deve arrivare ad eventi molto diversi nell'impatto, non sempre quantificabili a priori, e sicuramente molto più frequenti. Quest'evoluzione ci permette di fare leva su cose che abbiamo già fatto nel tempo e riportarle in questo mondo che vede fenomeni in corso che determinano fermi non pianificati delle operazioni di business."

"Questi fenomeni includono attacchi sempre più sofisticati che si uniscono a un incremento della superficie attaccabile. Nell'era pandemica abbiamo assistito a un'accelerazione significativa nella trasformazione digitale, che ha voluto dire che le aziende hanno naturalmente immesso nel sistema notevoli quantità di tecnologia aggiuntiva per lavorare su modelli diversi. Tutta questa tecnologia è stata immessa con un ciclo 'abbreviato', per così dire, e ciò ha fatto sì che i controlli di sicurezza necessari non sempre sono stati adottati."

"Quindi: la tecnologia è stata adottata senza i dovuti controlli, c'è un significativo aumento di attacchi e in questo scenario tutti quanti, anche a ragion veduta, parlano di un buco nelle competenze. Si dice in ogni platea che le competenze legate alla sicurezza non erano abbastanza già prima, quindi in questo scenario le cose non vanno meglio. Abbiamo visto succedere anche un'altra cosa: l'avvento degli enti regolatori. C'è l'Agenzia della cybersicurezza nazionale, ci sono comitati e prese di posizione sui software che si possono o devono usare, o che sono consigliati; ciò fa sì che le aziende hanno più regolamenti cui devono ottemperare. In questo mix, il tema della cybersicurezza è entrato nei consigli di amministrazione perché diventa d'importanza aziendale: ci devono essere delle strutture capaci di proteggere le organizzazioni."

In questo contesto in continua evoluzione e in cui è difficile stare al passo viene spontaneo domandarsi se non sia necessario fissare degli standard. Dovrebbe esserci un intervento da parte degli enti regolatori, siano essi nazionali o sovranazionali, per far sì che le aziende seguano dei modelli precisi di sicurezza e adottino le migliori pratiche?

"Per quanto riguarda l'intervento governativo, soprattutto in un contesto come quello italiano dove ci sono sempre state disparità forti negli interventi di standardizzazione e di raccomandazione, questo può sopperire alle difficoltà storiche. C'è sempre la discussione su quanto sia positivo l'intervento dello Stato su aspetti di natura privata, però in generale, visto il divario che è parte di uno più ampio in ambito tecnologico, in questo caso vedo degli aspetti positivi. Vedo anche come possibili delle collaborazioni, non solo nel senso di avere lo Stato come cliente, ma anche nel senso di partenariati per determinare come fare insieme delle cose. Oggi aleggiano su ogni discussione il PNRR e i fondi a esso collegati: in forma diversa, perché non è un intervento regolatore, ma comunque determina il fatto che potremo tutti beneficiare di fondi destinati proprio allo sviluppo di queste tematiche. Kyndryl vede delle aree di applicazione [di questi fondi], soprattutto nella parte di digitalizzazione della pubblica amministrazione, nelle infrastrutture digitali, nel Polo Strategico Nazionale che, con i suoi quattro data center centralizzati, introduce nuove opportunità ma anche nuovi rischi."

Kyndryl ha reso chiaro dal primo giorno che lavora con tutti e non è legata a doppio filo con IBM, ma stringe partnership con chiunque riesca a fornirle le competenze e i servizi di cui ha bisogno: è così anche nel campo della sicurezza? In che modo questo aiuta Kyndryl ad aiutare i suoi clienti a migliorare il proprio livello di cybersicurezza?

"Assolutamente sì. Il numero di vendor IT in questo campo è smisurato. Abbiamo molti partner e siamo perché prevalga l'utilizzo degli strumenti migliori: scegliamo e consigliamo le migliori tecnologie ed è chiaro che, per fare questo, abbiamo assunto persone con competenze rilevanti rispetto a prodotti e servizi con aziende con cui lavoriamo e con le quali formalizzeremo nel tempo il nostro rapporto. L'avvento del cloud condiziona questo passaggio: secondo noi, andando verso il cloud la security posture dev'essere mantenuta; cambia il modello di rischio, ma si deve quindi riprogettare affinché le funzionalità siano preservate e, per garantire questo, bisogna adottare le migliori tecniche. Gli hyperscaler fanno la loro parte, ma una realtà come Kyndryl può e deve contribuire in questa luce a fornire servizi di eccellenza sulle principali piattaforme. Oltre ad investimenti tramite le assunzioni, poi, ci stiamo dotando di asset che abbiamo creato e messo in linea a tempo di record: abbiamo fatto partire e stiamo facendo crescere un SOC [security operations center, NdR] sul territorio nazionale che va nella direzione del cloud, che affermi che la sicurezza del nuovo si fa con strumenti nuovi e qui torna il discorso di quanto siamo diventati agnostici."

Kyndryl in Italia: quali sono le prospettive?

Una delle problematiche che si aggiunge al quadro della cybersicurezza in Italia è che mancano le figure specializzate. Quanto incide questo aspetto sulla capacità di aziende come Kyndryl di offrire i servizi necessari?

"Stiamo assumendo 25-30 persone alla settimana, per un totale di 700 entro la fine dell'anno, proseguendo quelle buone pratiche di formazione e certificazione che ci permettono di creare una forza lavoro che va verso il digitale. Non è facile trovare profili senior di qualità, quindi naturalmente ci stiamo spingendo nelle scuole e stiamo lavorando su due fronti: in modo mirato nella ricerca di profili, sfruttando quella mobilità intrinseca del mercato, e creando talenti dalla base. Gran parte delle nostre assunzioni sarà fatta di giovani talenti che ci impegniamo a 'forgiare' da un punto di vista tecnico. Non sarà facile, ma è una strada su cui bisogna lavorare."

Parlando dell'adozione del cloud e dello spostamento che è in atto verso di esso, e riprendendo il discorso della resilienza, come si coniugano questi due aspetti? Le strategie di disaster recovery approntate finora erano puntate verso eventi eccezionali a rarissima incidenza ma ad altissimo danno, però oggi questo non è più il caso più frequente e si aggiunge la complicazione del cloud: come si gestisce questa situazione?

"Il cloud cambia in modo rilevante gli scenari. La questione della ripresa da un attacco passa per un tema tecnologico, ma questo è un pezzo del puzzle: bisogna gestirle e bisogna ragionarci sopra, perché se c'è una cosa che possiamo mutuare dalla nostra esperienza di disaster recovery è che storicamente, in larga percentuale i backup non si ripristinano, o almeno non completamente. In questo mutato scenario, con queste nuove tecnologie che permettono di fare automazione, sincronizzazione, orchestrazione dei dati, bisogna guardare ai backup. Sembrano cose elementari, ma sono importanti, così com'è importante guardare alle politiche di disaster recovery e gestire il tutto. Come Kyndryl offriamo la gestione completa di questi aspetti e siamo più forti laddove riusciamo a dare il nostro contributo sia in termini di raccomandazione che di implementazione."

In un'altra intervista, con Axitea, è emersa questa posizione secondo cui in Italia ci sarebbe poca capacità di assumersi le proprie responsabilità e si tenderebbe ad affidarsi ai grandi nomi per evitare di rispondere personalmente dei problemi. Ma è davvero così?

"Per noi commercialmente è importante assumerci dei rischi ed essere quelli che sono in grado di assumersi le responsabilità dei problemi. Ma è importante anche dal punto di vista positivo: quante volte, quando ancora eravamo IBM, abbiamo salvato aziende in situazioni critiche con figure tecniche, presenza costante e competenze? In linea di massima lo trovo naturale. Abbiamo preso un nome difficile da spiegare in italiano, ma il significato alla base è che vogliamo essere quelli che si prendono la responsabilità ed è su questo che stiamo costruendo la nostra fortuna, in particolare nell'ambito della sicurezza, dato che gli attacchi sono ormai una questione di "quando" e non di "se". Cerchiamo di abbracciare la sfida che il cliente ci pone e questo è parte integrante del nostro modo di porci con i clienti."