Oggigiorno, esistono pochissimi CEO che non abbiano affrontato (o che non vengano costantemente assillati dal reparto IT) il problema della cybersecurity. Non è più un "optional", ma una necessità critica per aumentare la resilienza aziendale in caso di attacco.
In questo panorama, da un lato c'è una forte spinta a investire in cybersecurity; dall'altro, i CEO devono far quadrare i conti per mantenere l’azienda prospera e profittevole, come per tutti gli altri aspetti della gestione.
Senza un reparto commerciale efficiente, un’azienda soffoca: le manca l’ossigeno per mantenere e incrementare i ricavi. Allo stesso modo, se l’ecosistema aziendale viene compromesso da un attacco hacker, tutti i reparti ne risentono, con un impatto spesso pesante sui ricavi.
I CEO devono affrontare i vari aspetti della governance aziendale in modo equilibrato e sensato.
Oggi sul mercato si trova una moltitudine di prodotti per gestire ogni aspetto della sicurezza informatica. L’offerta non manca e, secondo la più basilare legge di mercato, una domanda superiore all'offerta genera un aumento dei prezzi.
E qui il CEO inizia a sudare, dovendo far quadrare le esigenze aziendali con budget IT messi a dura prova da soluzioni di sicurezza sempre più costose.
Ma se vi dicessi che molte necessità di “igiene informatica” di base possono essere affrontate con prodotti Open Source?
Ma cos’è l'Open Source e cosa significa utilizzarlo in azienda?
Molti CEO e sicuramente tutti i CISO (Chief Information Security Officer) lo conoscono bene. Spesso, però, l'open source viene erroneamente associato a "roba da nerd" o a software "gratuito e quindi non professionale". Un tempo poteva essere così, ma oggi è ampiamente utilizzato anche nella Pubblica Amministrazione, centrale e locale, e in molti enti governativi.
Sinteticamente, il software open source (OSS) è software il cui codice sorgente è reso pubblico. Chiunque può visualizzarlo, ispezionarlo, modificarlo e distribuirlo. Questi sono gli aspetti fondamentali.
Il software proprietario (closed source o "black box") è paragonabile a un ristorante di lusso: vi servono un ottimo piatto costoso, ma non sapete nulla di come sia preparato, quali ingredienti siano usati o se lo chef si sia lavato le mani. Ponete la vostra massima fiducia nel marchio del ristorante.
Il software open source è l’esatto contrario. È come una ricetta pubblicata online da uno chef stellato, completa di istruzioni. Tutto è a vostra disposizione: potete scegliere di prepararla "as-is", modificarla a piacimento ed essere liberi di condividerla.
La trasparenza è il maggior punto di forza dei progetti open source. Tuttavia, come ogni tecnologia, anche l'OSS ha pro e contro.
Vantaggi dell'OSS
I vantaggi principali dell’adozione di un sistema OSS sono:
- Il costo: non si tratta di un azzeramento totale, ma dell'eliminazione dei costi di licenza, che impattano molto sul budget IT. Rimangono le attività professionali di implementazione, al pari delle soluzioni commerciali.
- La trasparenza: la community ha "mille occhi" sul codice sorgente, rendendolo intrinsecamente più sicuro da alterazioni per fini non etici.
- La flessibilità: potete decidere di adottare in tutto o in parte le funzionalità OSS, o modificarle. È l'OSS ad adattarsi alla vostra realtà, non il contrario.
- L’assenza di vendor lock-in: non siete legati a un singolo fornitore, né costretti a subirne le policy di aggiornamento e le politiche di prezzo.
- Supporto della community: spesso le community che sostengono i progetti OSS trovano e correggono vulnerabilità e problemi più velocemente delle blasonate soluzioni commerciali.
Svantaggi dell'OSS
Passiamo alle note dolenti. Bisogna considerare anche alcuni aspetti negativi:
- Il supporto: non c'è un numero da chiamare in caso di problemi. Tutto dipende dalla community o da terze parti che conoscono bene il prodotto OSS scelto. A onor del vero, molti progetti OSS offrono servizi di supporto a pagamento, un elemento essenziale da valutare.
- Curva di apprendimento: alcuni strumenti OSS non sono semplici da implementare come le controparti commerciali a pagamento.
- Responsabilità: se qualcosa va storto, la responsabilità ricade interamente sulla vostra azienda.
Perché l'Open Source è ritenuto più sicuro?
Questo è il punto chiave. Il software commerciale si basa sulla "security through obscurity" (sicurezza attraverso la segretezza). L'idea è: "Se gli hacker non vedono il codice, non possono trovare le falle". Una strategia quantomeno discutibile, dato che le falle vengono trovate comunque.
L’Open source si basa sul principio opposto (Legge di Linus): "Dati abbastanza occhi, tutti i bug vengono a galla."
Certamente, non si può dire che l’OSS sia intrinsecamente sicuro al 100%. Qualsiasi software, a pagamento o open source, se scritto male o non manutenuto correttamente, è insicuro. Prima di introdurre un sistema OSS, occorre quindi accertarsi della "vivacità" della community, informarsi bene e trovare professionisti o aziende in grado di gestirlo per vostro conto, se non avete sufficienti competenze interne.
Tre esempi di sistemi OSS per la cybersecurity
Ecco tre sistemi OSS da valutare per coprire alcuni aspetti della vostra cybersecurity.
1. WAZUH È una piattaforma unificata (SIEM e XDR) che raccoglie log e telemetria di sicurezza da endpoint (server, PC, laptop), sistemi di rete e applicazioni. Li analizza in tempo reale per rilevare minacce, monitora l'integrità dei file e verifica le configurazioni.
Quello che non si vede non si può proteggere. Wazuh centralizza la visione, rileva le vulnerabilità, identifica le intrusioni (HIDS) e analizza i log. È utilissimo anche per generare report di compliance per gli audit.
- Pro: estremamente potente e scalabile, unisce più funzioni (SIEM, HIDS, FIM, XDR) in un unico agente, community attiva.
- Contro: l'implementazione e la configurazione iniziale (il "tuning") per ridurre i falsi positivi possono essere complesse.
2. OpenWISP è un progetto focalizzato sulla gestione della rete (NMS), sia cablata che WiFi. Serve a configurare, monitorare e garantire la sicurezza delle reti aziendali.
Il controllo del perimetro di rete è fondamentale. OpenWISP permette di imporre le vostre policy di sicurezza in modo centralizzato, gestire configurazioni, aggiornamenti firmware e accessi WiFi.
- Pro: eccellente per la gestione di reti wireless complesse e distribuite, altamente automatizzabile, supporta molto hardware.
- Contro: molto specifico, è uno strumento puro di gestione dell'infrastruttura. Richiede solide competenze di networking.
3. Keycloak Gestire centralmente l'autenticazione e l'identificazione degli utenti è un cardine della cybersecurity. Keycloak è una soluzione di Identity and Access Management (IAM) che dà preziose funzionalità di Multi-Factor Authentication (MFA), gestione delle identità social e Single Sign-On (SSO).
Gestire molte applicazioni, ognuna con la propria autenticazione, può diventare un incubo. Quando un dipendente se ne va, come si revocano tutti gli accessi? Spesso manca una procedura chiara. Keycloak aiuta a gestire l'MFA a livello globale, revocare istantaneamente l'accesso a un ex dipendente e integrare applicazioni con standard moderni (es. OAuth 2.0).
- Pro: supporto completo per standard moderni, SSO e MFA "out-of-the-box", alta personalizzazione, unifica l'accesso tra applicazioni interne ed esterne.
- Contro: può essere eccessivo per aziende molto piccole. L'integrazione con applicazioni "legacy" (vecchie) può richiedere lavoro aggiuntivo.
L'open source non va visto come "l'opzione gratuita" per chi non può permettersi soluzioni a pagamento. Significa dare priorità alla trasparenza e al controllo del proprio processo di sicurezza.
Implementare soluzioni OSS come queste significa smettere di fidarsi ciecamente delle "Black Box", delegando di fatto a terzi le proprie scelte. Con l’OSS potete riprenderne il controllo, sfruttando professionisti e aziende di fiducia per assistervi in questo percorso.
SU