Gli oggetti connessi dell’Internet of Things (IoT) oltre a generare enormi volumi di informazioni cambieranno a tal punto gli ambienti informativi aziendali da costringere i CISO (Chief Information Security Officer) a ridefinire completamente le dimensioni della loro attività, ben al di là delle attuali responsabilità. Questo il parere di Gartner, secondo cui i requisiti di sicurezza per l’IoT sono destinati a ridefinire oltre la metà dei programmi globali di sicurezza IT delle aziende entro il 2020, a causa principalmente delle piattaforme supportate e delle nuove funzionalità di servizio.
«L’IoT sta ridisegnando i confini delle responsabilità IT nelle organizzazioni – spiega Earl Perkins, research vice president di Gartner -. Gli oggetti connessi hanno la capacità di cambiare lo stato dell’ambiente intorno a loro, oltre al proprio stato: per esempio aumentando la temperatura di una stanza se un sensore ha percepito che è troppo fredda, o regolando il dosaggio dei farmaci di un paziente in ospedale in funzione della cartella clinica e dell’evoluzione delle sue condizioni. Mettere in sicurezza l’IoT espande la responsabilità della tradizionale “practice” di sicurezza praticamente per ogni nuovo device di rilevazione, identificazione e comunicazione che viene messo in uso per un nuovo utilizzo di business».
Nonostante la tradizionale infrastruttura IT resti comunque adeguata a gestire alcune delle nuove funzionalità dell’IoT, si stanno imponendo tecnologie realizzate ad hoc che prevedono sensori incorporati e comunicazione machine-to-machine (M2M), segnando comunque un cambiamento nel modo d’intendere l’IT e la sicurezza in questo campo. «Questo è un momento di profondo cambiamento per la sicurezza. I CISO dovranno ridefinire le basi stesse della sicurezza dei dati all’interno del perimetro aziendale, valutando pratiche e processi tradizionali alla luce dell’impatto che sta avendo l’IoT – precisa Perkins -. Solo per fare qualche esempio, le applicazioni real-time ed event-driven, così come alcuni protocolli non standard, richiederanno un adeguamento delle fasi di test, verifica delle vulnerabilità delle applicazioni stesse, e dell’identità e gestione dell’accesso (IAM, Identity and access management)».
Cambiamenti saranno necessari anche per le reti, i metodi di trasferimento dei dati e l’uso dello storage, e quindi la governance, la gestione delle informazioni e le funzioni di sicurezza dovranno anch’esse cambiare per recepire le nuove responsabilità: «Quando parliamo di IoT penso che dovremo aspettarci qualcosa di simile alle trasformazioni prodotte dal Bring Your Own Device (BYOD), dal cloud o dal mobile, ma su scala maggiore e con un respiro ancora più ampio», osserva Perkins.
Anche se i casi concreti di applicazione dell’IoT mostrano numerosi esempi di utilizzi innovativi della tecnologia su base praticamente quotidiana, è vero però che non sempre le tecnologie e i servizi che li abilitano sono essi stessi nuovi, e spesso si basano su architetture e design molto eterogenei. I CISO quindi devono valutare il potenziale di integrazione di nuove soluzioni di sicurezza con quelle già esistenti. Molti fornitori di prodotti e servizi “classici” di sicurezza stanno espandendo le loro offerte per incorporare un supporto almeno basico ai sistemi “embedded” e alle comunicazioni M2M.
«In questo momento non c’è un “manuale per la sicurezza dell’IoT” che possa dare ai CISO un framework per integrare le problematiche IoT nelle best practice di IT Security dei vari settori e casistiche di progetto», spiega Perkins. I CISO quindi non dovrebbero concentrarsi troppo sul definire un security plan “definitivo” fin da ora per l’azienda, dal momento che le tendenze e i modelli dell’Internet of Things sono ancora in fase di sviluppo e la situazione generale si presenta fluida. I requisiti per garantire la sicurezza in ambito IoT spingeranno i CISO ad adottare un insieme di approcci tratti anche dai mondi Mobile e Cloud, da integrare con quelli provenienti dall’Automazione Industriale e dalla sicurezza fisica.
«Fortunatamente molti dei principi alla base della sicurezza dei dati che sono stati utilizzati nel corso dell’evoluzione del computing sono validi anche per l’IoT. La sfida resta armonizzare ciò che di buono è stato prodotto, con l’innovazione inarrestabile che connetterà tutti gli oggetti», conclude Perkins.
