In Dicembre 2024, il Cyber Resilience Act (CRA) è entrato in vigore in Europa, segnando l’inizio del periodo di transizione per le organizzazioni e le imprese per adattarsi ai nuovi requisiti di sicurezza informatica. Questo documento normativo mira a migliorare gli standard di qualità e sicurezza richiedendo a produttori e rivenditori di supportare e aggiornare i componenti digitali durante tutto il ciclo di vita dei loro prodotti. La CRA copre sia l’hardware che il software, colpendo non solo i produttori dell’UE ma anche gli importatori, quindi saranno interessate anche le società statunitensi che operano o vendono i loro prodotti nei paesi dell’UE. La legislazione avrà un profondo impatto su diversi segmenti di mercato, come i prodotti Internet of Things. Mentre le aziende hanno tempo fino al 2027, quando gli obblighi di conformità diventeranno obbligatori, la CRA segna un passo importante nel riconoscere l’importanza della sicurezza informatica per una vasta gamma di prodotti e nella creazione di strutture che tutelino gli interessi dei clienti finali. Anton Snitavets, Lead Information Security Engineer presso Doumo, membro senior dell’IEEE, membro della comunità Hackathon Raptors e Certified Information Security Systems Professional, spiega cosa comporta l’approccio moderno alla sicurezza informatica e quali fattori le aziende dovrebbero prendere in considerazione per proteggere i propri clienti e se stessi.
Il passaggio ad un approccio integrato
Anton Snitavets sottolinea che la sicurezza informatica è diventata parte integrante delle loro operazioni per sempre più aziende, non solo alcune misure di protezione o regole di sicurezza imposte sui processi esistenti. Ciò è particolarmente vero per le aziende specializzate nello sviluppo di software. Anton ha riscontrato un problema simile nel 2017 quando ha iniziato a lavorare presso Aras Corp come ingegnere DevSecOps. Per migliorare il processo di sviluppo del software, ha implementato il Secure Software Development Lifecycle (SSDLC), che ha reso il processo di sviluppo del software molto più sicuro aggiungendo nuovi mezzi per rilevare ed eliminare i rischi di sicurezza informatica prima che portino a conseguenze negative. Ha integrato le soluzioni software esistenti con quelle personalizzate da lui stesso sviluppate, rendendo il processo di sviluppo del software più produttivo e affidabile. Nello specifico, ha migliorato il processo di sviluppo degli aggiornamenti per Aras Innovator Software, una soluzione di gestione dei prodotti ingegneristici utilizzata dai clienti Aras, tra cui importanti società di ingegneria come General Motors e Airbus. Di conseguenza, in 3,5 anni, ha aumentato significativamente la qualità del prodotto, eliminato molteplici vulnerabilità nel software e aumentato la sua stabilità e sicurezza, il che è particolarmente importante per una soluzione software utilizzata per compiti di ingegneria complessi. Dopo essere entrato di recente in Doumo, sta implementando approcci simili come Lead Information Security Engineer, lavorando sull’integrazione di SSDLC con l’infrastruttura cloud.
“Il fatto che sempre più aziende, simili alle due sopra menzionate, concentrino sforzi significativi nel rendere i processi di sviluppo più sicuri evidenzia che, affinché le misure di sicurezza siano efficienti, devono diventare parte integrante del ciclo di sviluppo del software”, commenta. “Le aziende che non hanno ancora implementato questo approccio dovranno imparare ad applicarlo durante tutto il ciclo di vita dello sviluppo”.
Sviluppo di soluzioni su misura
Questo spostamento verso un approccio più integrale alla sicurezza delle informazioni porta a un altro cambiamento significativo. Le aziende devono sviluppare soluzioni su misura che rispondano esattamente alle loro esigenze invece di fare affidamento su soluzioni prontamente create. “Le soluzioni già pronte spesso non coprono tutti i casi e gli scenari, lasciando scoperte vulnerabilità specifiche o, al contrario, sprecando risorse aziendali in misure che non sono necessarie in un caso particolare”, spiega Anton Snitavets. “Ecco perché le aziende hanno bisogno di soluzioni che tengano conto delle specificità delle loro operazioni e dei relativi rischi comuni”. La sua esperienza fornisce esempi sufficienti del motivo per cui è essenziale sviluppare soluzioni su misura e tenere conto di situazioni e minacce specifiche, poiché migliora il processo di sviluppo e rende il prodotto più sicuro per l’utente finale. Presso Aras Corp, ha sviluppato e implementato una soluzione per l’analisi del codice che ha consentito agli sviluppatori di rilevare vulnerabilità come SQL injection e rischi di path traversal nel codice del prodotto, nonché vulnerabilità specifiche di un particolare prodotto. Dopo l’implementazione dell’analizzatore, sono state rilevate e corrette diverse dozzine di vulnerabilità. Inoltre, l’implementazione dell’analizzatore ha reso il prodotto più sicuro e protetto per consentire agli utenti finali di sviluppare soluzioni personalizzate, consentendo loro di rilevare e risolvere potenziali rischi nelle prime fasi di sviluppo.
Anton Snitavets menziona un altro concetto fondamentale che le aziende dovranno adottare: dovranno concentrarsi sulla prevenzione delle minacce e sull’azione proattiva invece di concentrarsi esclusivamente sulla protezione dalle minacce note e sulla risposta alle violazioni già avvenute. Per raggiungere questo obiettivo è necessario un sistema flessibile di analisi e reporting, che consenta all’azienda di monitorare lo stato attuale dell’infrastruttura, prevedere e rilevare potenziali rischi ed eliminarli prima che causino perdite. Questo è il tipo di lavoro svolto da Anton Snitavets presso Jabil Inc., dove ha lavorato come Cloud Security Engineer dal 2022. Per migliorare l’atteggiamento di conformità alla sicurezza in azienda, ha sviluppato un framework di reporting originale per essere tempestivamente informato sullo stato di sicurezza di le risorse cloud. A tal fine ha adattato gli standard di sicurezza esistenti. Ha integrato una soluzione software per aggregare i dati sullo stato delle informazioni cloud che avevano un ruolo cruciale nelle operazioni aziendali, contribuendo a mantenere il livello di conformità della sicurezza al più alto livello possibile.
La necessità dell’apprendimento continuo
È importante aggiungere che la tecnologia avanza costantemente e, insieme a nuove misure di protezione, emergono nuove minacce. “Mentre i professionisti della sicurezza informatica sviluppano modi nuovi, più robusti e resilienti per proteggere i dati e garantire il funzionamento stabile dell’infrastruttura digitale, gli autori malintenzionati trovano nuovi vettori di attacco, cercando di utilizzare la tecnologia emergente a proprio vantaggio”, spiega Anton Snitavets. Questo è il motivo per cui è necessario che un professionista della sicurezza informatica impari continuamente, sia nella teoria che nella pratica, esplorando nuovi metodi e soluzioni e trovando modi efficienti per applicarli ai compiti da svolgere.
Nel corso della sua carriera, Anton Snitavets ha seguito questo principio. Anche durante gli studi, ha iniziato a lavorare come sviluppatore di software, acquisendo un’esperienza che ha fornito solide basi per la sua futura carriera. Ha poi lavorato continuamente per acquisire certificazioni professionali, tra cui la Certified Information Systems Security Professional (CISSP), considerata una delle certificazioni di sicurezza informatica più impegnative da ottenere.
“IOÈ importante combinare l’acquisizione di certificazioni formali, che dimostrino le capacità professionali dell’individuo, con una costante esplorazione delle tecnologie emergenti e con la messa in pratica delle conoscenze appena acquisite”, spiega Anton Snitavets. “Diventare un esperto di sicurezza informatica richiede grande dedizione e disciplina perché il costo degli errori può essere significativo.
È necessario andare costantemente avanti e agire in modo proattivo per implementare processi efficienti di sicurezza delle informazioni. Nuove misure normative come la CRA spingeranno le aziende ad adottare migliori pratiche di sicurezza. Tuttavia, ancor prima che diventi obbligatorio, le aziende devono migliorare il proprio approccio alla sicurezza informatica per proteggere se stesse e i propri clienti dalle minacce emergenti. “
