Il ruolo del CISO nel 2021 + 4 punti fondamentali per quantificare il rischio informatico
Le sfide esistenti e nuove, dagli hack della catena di approvvigionamento alle implementazioni 5G, continueranno a testare il ruolo ampliato dei team di sicurezza.
I CISO hanno dovuto affrontare una serie di sfide importanti nel 2020, non ultima quella del COVID-19 e la migrazione di massa dal lavoro in ufficio a quello remoto. Forse per la prima volta, la leadership aziendale ha avuto modo di verificare quanto sia vitale il team di sicurezza per garantire che l'azienda funzioni e funzioni senza intoppi, rendendo così il 2020 l'anno in cui i team CISO e cybersecurity sono passati dal background alla prima linea per consentire la produttività organizzativa.
Nel 2021, i CISO e i loro team di sicurezza dovranno certamente continuare a mostrare quanto sia fondamentale il loro ruolo, dalla mitigazione del rischio al ROI, mentre affrontano le sfide combinate di hack della supply chain, ransomware, WFH (Work from home), lancio del 5G e altro ancora.
L'impatto degli attacchi alla catena di approvvigionamento
Molti CISO entrano nel 2021 cercando di dare un senso all'hack di SolarWinds e al modo in cui potrebbe avere un impatto sulla propria organizzazione. Infatti se è pur vero che le agenzie governative sono i primi obiettivi di cui siamo a conoscenza, sembra che decine di altre società siano state colpite ripercorrendo la catena di approvvigionamento.
Ransomware
Gli attacchi ransomware sono ancora in prima fila tra le priorità dei team di sicurezza: quelli convenzionali funzionano negando a un'organizzazione l'accesso ai propri dati fino a quando non paga un riscatto. Nel 2020, tuttavia, abbiamo visto questa tipologia di attacchi crescere in sofisticazione.
Gli sviluppatori di Maze ransomware (che ha messo in ginocchio colossi come LG e Canon), ad esempio, hanno iniziato ad effettuare copie di dati sensibili o business critical ( come informazioni personali, ma anche brevetti o documenti legali ), minacciando di rilasciarli pubblicamente. Altri, come REvil, minacciano di eliminarli completamente.
Nel 2021, assisteremo a un aumento degli attacchi informatici contro società di livello enterprise, da parte delle principali organizzazioni di cybercrime (note come "SPIDERS"). Alcune delle più famose sono INDRIK SPIDER, che esegue Dridex, e WIZARD SPIDER, l'operatore con sede in Russia dietro il malware bancario TrickBot e Ryuk.
Gruppi come questi hanno già registrato enormi ricavi dagli attacchi ransomware. Si pensa che WIZARD SPIDER abbia guadagnato circa 695,80 Bitcoin, con un valore approssimativo di € 20 milioni, dal 2018 e proprio come una vera azienda, l’utile viene reinvestito su nuove tecnologie di “assalto”.
La forza lavoro a distanza
Nel 2021, le organizzazioni diventeranno più vulnerabili agli attacchi perché molti dei loro dipendenti utilizzeranno connessioni Internet domestiche, molte delle quali sono molto meno protette delle reti aziendali. Ciò aumenterà le possibilità che gli attori ottengano l'accesso ai sistemi di un'organizzazione, ma solleva anche questioni di responsabilità.
Il phishing sarà certamente uno dei principali vettori di minaccia se gli utenti non vengono correttamente istruiti ad individuare questa tipologia di frode, ma non sarà l'unico problema. I lavoratori remoti continueranno a utilizzare BYOD ( Device che non sono di proprietà dell’azienda ), che potrebbero causare problemi per la sicurezza della rete. Se le aziende non hanno già sviluppato un piano per monitorare il BYOD durante il lavoro remoto, i CISO potrebbero voler aggiungere questo ai loro piani per il 2021.
Il perimetro aziendale si confonde con le interconnessioni private del dipendente che porta i dati all’interno delle mura domestiche, rendendo di fatto la superficie d’attacco quasi immisurabile.
Ascolta l’episodio 2 del podcast Mr.CYBEROO:
L'impronta digitale del cittadino e dell'azienda
Accesso remoto e credenziali rubate
La necessità di accesso remoto potrebbe portare a un aumento delle credenziali rubate. I CISO non possono certo dipendere dalle VPN per mantenere sicuro l'accesso alla rete.
Prendi come esempio l'hack di Twitter dell'estate scorsa. Il criminal hacker è riuscito a rubare le credenziali VPN a un dipendente di Twitter e ha utilizzato tali informazioni per accedere agli account Twitter appartenenti ad alcune delle persone più famose al mondo per truffare i propri follower, ottenendo più di 100.000 dollari.
Mantenere il cloud sicuro, tuttavia, sarà la sfida per i CISO. I team di sicurezza dovranno esaminare con attenzione i sistemi di gestione dell'identità e degli accessi per prevenire il furto di credenziali, migliorare il monitoraggio all'interno dell'ambiente cloud e proteggere i dati proprietari e sensibili.
Il lancio del 5G
Il 2021 sarà l'anno in cui il 5G avrà davvero un impatto? Forse, ma i CISO e i loro team di sicurezza devono prepararsi per le sfide alla sicurezza del 5G a prescindere. Non sappiamo ancora come le aziende o gli autori delle minacce sfrutteranno il 5G, ma sappiamo che, con i vantaggi di connessioni più veloci e minore latenza, ci saranno più dispositivi in grado di utilizzare le funzionalità del 5G contemporaneamente. Le organizzazioni dovranno essere pronte a proteggere il numero crescente di questi nuovi endpoint, soprattutto se continuano a gestire la sicurezza di una forza lavoro remota.
I 4 punti per quantificare il rischio informatico dell’azienda
I CISO devono riconsiderare il loro approccio alla comunicazione del rischio informatico in una lingua che il consiglio di amministrazione e il resto del Board amministrativo possano comprendere. Può essere piuttosto frustrante spiegare malware avanzati o controlli tecnici a un pubblico che non è esperto dei dettagli tecnici della sicurezza informatica.
Dal punto di vista di un membro del consiglio, l'approccio al rischio informatico è visto come un insieme di elementi con un impatto aziendale corrispondente e spese associate. Il consiglio di amministrazione necessita di sapere dove si trova l'impresa nello spettro del rischio informatico, dove dovrebbe essere e, se c'è un divario, come lo si colmerà. I CISO dovrebbero concentrarsi sullo spostamento della conversazione dalla sicurezza informatica al rischio informatico e fornire risposte concise e quantitative alle domande del consiglio senza l'uso di termini o concetti eccessivamente tecnici.
Quando si quantifica il rischio informatico, ci sono quattro punti da tenere a mente.
- Identificazione delle aree chiave dell'azienda a rischio di attacco informatico e dei controlli attualmente in atto. Ad esempio, se un'organizzazione dà la priorità al rischio di perdita della proprietà intellettuale, il CISO lo definirà come un elemento di rischio chiave e aiuterà i suoi colleghi a capire come il programma di sicurezza informatica è allineato alla gestione di questo rischio.
- Confrontare e quantificare la postura di sicurezza aziendale rispetto alle organizzazioni di pari livello. È importante considerare che i membri del consiglio di amministrazione e i dirigenti sono più interessati a conoscere il livello di rischio accettabile appropriato e il confronto è un metodo comune utilizzato per valutare le prestazioni.
- La quantificazione dei dati di benchmarking e audit interni garantirà che il CISO mostri quali parti dell'attuale programma di sicurezza informatica dell'organizzazione funzionano e quali no. Con questi dati, il consiglio può facilmente visualizzare in che modo il rischio è distribuito nell'organizzazione e nei team o nelle aree che determinano il rischio maggiore. I CISO devono presentare ad alto livello le tipologie di azioni necessarie per colmare il divario tra il rischio percepito nella sala riunioni e le effettive condizioni sulla rete.
- Il piano di un CISO deve essere convertito in un elenco facilmente digeribile e di alto livello di piccoli passi o iniziative, ciascuno con i corrispondenti tempi, risorse richieste e costi. Inoltre, dato che il consiglio di amministrazione si aspetta che il CISO guidi ed esegua un piano, lui o lei deve quantificare tutti i componenti responsabili coinvolti.
Diciamolo chiaramente: i CISO sanno perfettamente di non poter ridurre a zero il rischio informatico della loro organizzazione.
Tuttavia, possono ridurlo il più possibile concentrandosi sull'eliminazione dei rischi più significativi. Pertanto, quando si sviluppa un budget, i CISO dovrebbero considerare un approccio proattivo e in real time, che si concentri sui maggiori rischi informatici che l'azienda deve affrontare. Questo approccio basato sul rischio consente al CISO di quantificarlo in tutte le aree “critiche” e quindi di dare la priorità a dove gli sforzi sono meglio spesi. Ciò garantisce il massimo impatto a livello di budget e team.
Il fatto è che se guardiamo il costo medio di un databreach, questo sarà più elevato del budget complessivo di molte organizzazioni. Si consideri uno scenario in cui un CISO investe molto in misure proattive, evitando con successo una grave violazione, mentre un altro investe principalmente in misure reattive e finisce per rimettere le cose a posto una volte che il danno è fatto. Il vantaggio è che uno (il CISO incline alla proattività) finisce per spendere complessivamente anche 10 volte meno.
In qualità di CISO, è fondamentale mettersi nei panni del consiglio di amministrazione per ottenere il supporto necessario a trasformare la posizione di sicurezza informatica della tua azienda.
Conclusioni
Gran parte della sicurezza del 2021 dovrà ruotare attorno a una forza lavoro prevista in gran parte remota, ma molti di questi problemi di sicurezza, come ransomware, credenziali rubate e minacce cloud, rimarranno problemi a lungo termine.
Tutte le aziende hanno PII / PCI che gli hacker vorrebbero ottenere. Senza un impegno per la sicurezza (tecnologia / processo / organismi) e la visibilità per i CISO ai massimi livelli, puoi aspettarti di essere violato e non avere la capacità di reagire in tempo, mentre i tuoi preziosi dati vengono sottratti o distrutti .
Più i CISO e i loro team sono in grado di mitigare i rischi, più le operazioni aziendali possono essere eseguite senza interruzioni, aiutando ancora una volta a dimostrare il valore del ROI del team di sicurezza alla leadership.