Chi pensa che la sicurezza informatica sia un “di cui”, un tema slegato dal business aziendale si sbaglia di grosso. Gli ultimi impietosi attacchi, soprattutto nell’ultimo anno in era Covid -19, (850 attacchi gravi registrati nel primo semestre 2020 – Fonte Clusit) hanno riguardato tutte le aziende senza nessuna discriminazione sul target: settore pubblico o privato, note o meno note, large o small company (quest’ultime individuate dall’attaccante come prezioso punto d’ingresso per scalare su enterprise company). Individuare il fattor comune su ciò che rende le aziende obiettivo di un attacco richiede un’analisi ad ampio raggio in cui processi, persone, stackeholder, mancanza di risorse dedicate, approccio, competenze, cultura risk based, funzioni di business sono tutti elementi che devono necessariamente far parte di un medesimo scopo e convergere sempre più verso una security by design più integrata con i processi aziendali, ma che al momento, almeno per molte aziende, rimane un concetto sospeso solo nell’annovero delle buone intenzioni.
Individuare invece il fattor comune che converte le aziende da bersaglio a vittime di incident è di facile esercizio se si pensa ad alcuni dei danni quantificabili, in termini di impatto economico, dovuti a: fermi produzione, pagamenti laddove è previsto un riscatto, costi di ripristino dei sistemi in ostaggio, frodi, danni di immagine che distruggono la reputazione di un brand in pochi secondi, ripercussioni legali.
Ma perché aspettare di essere i prossimi mettendo in conto l’assunto che non è il se ma il quando?
Indice degli argomenti
Security by design, tenere conto degli ecosistemi digitali
Migliorare un processo di cybersecurity per renderlo idoneo e adeguato all’evoluzione del sempre più raffinato e crescente cybercrime. Il primo passo è porsi un “ragionevole dubbio”, uno sguardo critico sul processo di sicurezza allo stato dell’arte, il che vuol dire effettuare verifiche e analisi periodiche alla ricerca di punti critici che se non gestiti tempestivamente possono evidentemente impattare pesantemente sul business.
Policy, procedure, configurazioni, tecnologie utilizzate, gestione dei dati, inventory degli asset, posture che devono essere oggetto di audit, gap analysis, assessment delle vulnerabilità attraverso cui determinare una soglia accettabile di rischio e uno score di criticità per individuare priorità sulla remediation e contromisure da applicare.
Il raggio d’azione per tendere a una security by design, come accennato all’inizio, deve tener conto non solo della complessità degli ecosistemi digitali che convergono sempre più verso nuovi perimetri di controllo, ma anche degli utenti che sono i fruitori dei servizi aziendali. Dipendenti, fornitori e collaboratori, giocano un ruolo determinante soprattutto in quella fase preventiva che se non adeguatamente integrata nel processo virtuoso di gestione del rischio può diventare una criticità da amministrare quando ormai è troppo tardi.
Un programma di security awareness
Coinvolgere gli utenti (compreso il management) in un programma di security awareness e phishing simulation contribuisce ad accrescere la consapevolezza e l’attenzione riguardo tematiche di sicurezza, inoltre con un programma sistematico, verificato nel tempo, diventeranno man mano loro stessi uno strumento di detection efficace in risposta agli innumerevoli tentativi di truffa o tentativi di accesso perpetrati da criminal hacker che per raggiungere i propri obiettivi sfruttano tecniche sempre più evolute di social engineering. In ottica preventiva, la Zero Trust strategy è sicuramente un criterio da tener presente in un approccio security by design, perché identifica e verifica chiunque e qualsiasi cosa cerchi di collegarsi al sistema di un’organizzazione prima di poter accedere. Le strategie Zero Trust più efficaci si avvalgono di una combinazione di tecnologie, policy e best practice, come la segmentazione della rete, l’autenticazione multifattoriale (MFA), la gestione di identità e accessi (IAM), e la gestione e controllo degli accessi privilegiati secondo il principio dei privilegi minimi. Spesso gli utenti possono accedere indiscriminatamente a dati e sistemi con il grado di amministratori diventando a tutti gli effetti un facile bersaglio e una fantastica opportunità per gli attaccanti per arrivare all’obiettivo sfruttando delle scorciatoie.
Un processo di security intelligence
Un ulteriore elemento essenziale per indirizzare un approccio proattivo organico e strutturale della cybersecurity in azienda è la definizione di un processo di security intelligence capace di dare un valido supporto ai team IT e Security nelle attività di monitoring degli indicatori di compromissione. L’ausilio di sistemi automatizzati, in grado di sfruttare la capacità di calcolo dell’AI, contribuisce a un’attività di continuo tracciamento e all’ acquisizione di tutte le informazioni necessarie ai team decisionali per valutare il livello di investigazione su una potenziale minaccia, piuttosto che nell’individuare quali azioni intraprendere tempestivamente per bloccare un attacco o semplicemente rafforzare i controlli di sicurezza. Monitorare, prevedere e mappare le anomalie consente pertanto di avere sempre un quadro accurato sugli eventi sospetti che possono indicare attività dannose o errori procedurali, oltre al fatto che è di gran lunga più economico gestire la sicurezza prima che si verifichino problemi gravi, piuttosto che durante una crisi o un ripristino a seguito di un incident.
La capacità di resistere a un attacco è una prerogativa che può garantire la sopravvivenza di un’organizzazione ed evitare shutdown dei servizi e scongiurare interruzioni sulla business continuity. La parola chiave è cyber resilienza ed è uno degli obiettivi che ogni azienda dovrebbe sempre aver presente nel disegnare i processi di cyber security interni alla propria organizzazione tenendo, come riferimento, le linee guida degli standard internazionali di sicurezza (ISO2001, PCI DSS, NIS ecc) che rappresentano un’importante fonte di ispirazione per una adeguata risposta in cui il fattore tempo può fare la differenza nel conseguimento dei risultati, inoltre organizzare un’attività di gestione della fase post-violazione deve poter prevedere la costituzione di un’unità di crisi operativa con compiti che vanno dalla rilevazione dell’evento anomalo e dall’accertamento della sua natura fino alle decisioni di notifica all’autorità di controllo, comunicazione agli interessati in caso di data breach come ben esplicitato negli Articoli 33 e 34 del GDPR.
Security by design, allargare la vigilanza alla supply chain
Nell’ottica security by design la vigilanza non deve essere circoscritta al perimetro aziendale, ma va allargata all’intera supply chain. Spesso i fornitori vengono dotati di credenziali per accedere a sistemi, applicazioni e dati sensibili dell’azienda, potenzialmente quindi hanno la possibilità di diffondere malware o commettere infiltrazioni, o potrebbero essere sottratte inconsapevolmente e riutilizzate da un criminal hacker per tentare un’intrusione. Altri scenari di rischio dalla supply-chain riguardano fornitori come software house ingaggiate per sviluppare applicazioni software che spesso non prevedono controlli di sicurezza e che potrebbe aver subito un attacco cyber, il codice stesso potrebbe contenere quindi del malware che sarebbe distribuito a tutti i clienti. Considerare la supply chain un fattore di rischio vuol dire integrare tutti gli attori in campo con i processi di sicurezza aziendali esistenti.
Convergere verso nuovi paradigmi ripensando approcci e criteri con cui si affrontano processi e modelli organizzativi della sicurezza informatica in azienda deve essere una priorità per la tutela del business che non solo deve poter supportare le strategie di rinnovamento e innovazione, dettate da industria 4.0 o anche solo condizionate dalla necessità di reagire alle emergenze che l’epoca Covid ha imposto, ma anche come leva cruciale per migliorare la capacità competitiva di un’impresa.
Conclusioni
Ripensare una cybersecurity by design significa accogliere nuove sfide tra le quali anche quella di ridefinire i tavoli di discussione che devono prevedere, non solo i team IT e risorse dedicate alla security, ma anche le funzioni di business in grado di tradurre una fragilità, una vulnerabilità e in generale un cyber-risk in valore economico e prevederne gli impatti che spesso rappresentano battute d’arresto verso traguardi e obiettivi di crescita dell’azienda stessa.
Articolo originariamente pubblicato il 24 Dic 2020