Da cybersecurity a cyber resilience: il concetto di difesa dagli attacchi cyber si è evoluto notevolmente negli ultimi anni. Le ragioni sono essenzialmente tre, e tutte interconnesse tre loro.
In primo luogo, è cambiato l'impatto che le tecnologie digitali hanno sulla vita quotidiana, a prescindere dal ruolo che ognuno ricopre nelle attività lavorative.
Sull'onda di questa (rapidissima) trasformazione, continuano poi a crescere le iniziative criminali finalizzate all'esfiltrazione di informazioni strategiche e al rallentamento dell'operatività attraverso blocchi crittografici dei dataset. Eppure c'è un altro problema, ancora più grave: per ottenere questi risultati le tecniche diventano sempre più raffinate, incentrandosi su quello che è - e che rimarrà - l'anello debole della catena, ovvero l'essere umano.
I due fattori combinati hanno causato a loro volta un aumento dell'estensione delle superfici potenzialmente attaccabili, svuotando di senso l'espressione “perimetro aziendale” tanto cara alle tecniche di sicurezza informatica tradizionali. Ciò ha costretto non solo gli addetti ai lavori ma anche gli owner di processo a dover affrontare il tema della resilienza in senso lato mentre, a livello normativo, l’UE sta già iniziando a muoversi con l’European Cyber Resilience Act.
Ma che cos'è la cyber resilience più nello specifico? E come va a sostituire un approccio - quello basato sul solo utilizzo di tecnologie di cybersecurity - che rappresenta ancora un punto di riferimento per la maggior parte delle imprese?
La cyber resilience può essere definita come la capacità di un'organizzazione - intesa come insieme di processi, strumenti e individui - di resistere, adattarsi e recuperare rapidamente l'operatività in seguito ad attacchi informatici o a eventi che hanno compromesso la sicurezza dei dati e dei sistemi informatici.
In generale, una strategia mirata di cyber resilience dovrebbe far leva su una combinazione di procedure, competenze e conoscenze che, unite all'uso di tecnologie avanzate, consentano da una parte di prevenire gli incidenti e proteggere le reti aziendali dalle intrusioni, dall'altra di garantire la continuità delle operazioni in caso di attacchi andati a segno.
Pertanto, non si tratta “semplicemente” di contrastare le attività malevoli, ma di dar vita a un ecosistema interconnesso, dinamico e intelligente capace di minimizzare i rischi che una minaccia cyber - endogena o esogena che sia - si avveri.
Rispetto alle prassi che contraddistinguono le discipline dell'IT security e del cyber risk, la cyber resilience impone un approccio olistico alla sicurezza, quindi una visione allargata, più di processo che di tecnologie. Soluzioni, azioni, strategie devono essere, in altre parole, integrate in una postura che l'organizzazione adotta in modo aprioristico, nella gestione delle emergenze così come dell'ordinaria amministrazione: 24 ore su 24, sette giorni su sette.
Per raggiungere un buon livello di cyber resilience, dunque, è fondamentale monitorare e agire costantemente, con la consapevolezza che ciascun task, potenzialmente, concorre a mettere processi, strumenti e persone in condizione di abbattere il rischio di incidenti. O di ridurre ai minimi termini, nel caso in cui gli incidenti si verifichino comunque, il loro impatto sull'operatività.
Cyber resilience vuol dire per esempio prevedere con regolarità sessioni di assessment dei sistemi e degli asset informatici, per individuare i punti deboli del network, e introdurre meccanismi automatici di backup, per garantire la disponibilità dei dati in caso di attacchi ransomware. In questo modo, anche se le informazioni vengono crittografate o rese indisponibili da un attacco andato a buon fine, l’impresa non solo è in grado ripristinare rapidamente i dataset e riavviare le operazioni senza perdite significative, ma può anche apprendere quali vulnerabilità sono state sfruttate, così da prevenire in futuro situazioni analoghe.
Fondamentale per la cyber resilience è infine lo sviluppo di attività formative, da somministrare in senso continuativo per instillare la cultura della sicurezza in tutta la popolazione aziendale. La creazione di programmi di training volti a migliorare le skill per riconoscere eventuali anomalie e l'istituzione di procedure utili a segnalarle con tempestività sono le premesse per rendere realmente efficaci i protocolli di data protection implementati dall'organizzazione.