In uno scenario in cui le minacce informatiche si fanno sempre più complesse e variegate, la cyber security non deve essere vista come un prodotto o come una semplice soluzione tecnologica di protezione, ma come un vero e proprio processo di sviluppo dinamico che, nel tempo, porti alla realizzazione di un programma strutturato di sicurezza aziendale.
D’altronde, non è possibile prevedere quando si verrà attaccati, ma si può guadagnare tempo attuando un piano di cyber resiliency che consenta di mitigare gli effetti peggiori di un attacco informatico, mantenendo comunque l’azienda in attività.
Una violazione IT, infatti, può causare danni notevoli non solo all’operatività, ma anche alle vendite e soprattutto alla reputation dell’azienda, con ovvie ricadute sul suo valore azionario. Secondo l’Allianz Risk Barometer 2020, il più grande sondaggio sui rischi a livello mondiale, le interruzioni del business causate da violazioni di sicurezza IT vengono considerate come il rischio più grave per le organizzazioni.
È dunque importante che queste stesse organizzazioni adottino una efficace strategia di cyber security il cui scopo ultimo sia quello di garantire un elevato livello di protezione dei dati e mettere in sicurezza il patrimonio informativo aziendale.
Come si definisce una strategia di cyber security
Per comprendere come definire una strategia di cyber security e capire quindi cosa può fare l’amministratore delegato (CEO) di un’azienda per gestire al meglio una crisi di sicurezza, è opportuno partire da un presupposto: il dato è ormai diventato il cuore di ogni azienda.
Ciò implica che, per essere davvero efficace, la strategia di cyber security deve essere parte integrante della strategia globale che stabilisce le priorità dell’organizzazione. È così possibile avere contezza di quella che è la situazione attuale dell’azienda e su cosa bisogna lavorare per raggiungere gli obiettivi futuri.
Bisogna dunque partire da una attenta analisi dei punti di forza dell’organizzazione per essere in grado di identificare con esattezza quelli che sono gli asset primari che meritano il più elevato livello di protezione.
Una corretta gestione della cyber security aziendale prevede, poi, che si abbia visibilità a 360 gradi di tutto quello che accade all’interno del proprio perimetro fisico e virtuale per essere in grado di rilevare più velocemente eventuali violazioni e, di conseguenza, essere in grado di mettere in atto le necessarie misure di contenimento e mitigazione dei rischi, oltre che di ripristino delle attività produttive.
Infine, nella definizione di una strategia di cyber security aziendale è importante informare e responsabilizzare i dipendenti mediante programmi di awareness sui rischi e le minacce cui vanno incontro mentre utilizzano gli strumenti di lavoro e le infrastrutture critiche. Soprattutto quando vengono adottate politiche BYOD (Bring Your Own Device) o di smart working per la gestione del personale, magari pe rispondere a situazioni di emergenza come quella sanitaria attuale dovuta alla pandemia di Covid-19.
Solo con una corretta formazione è possibile aiutare i propri dipendenti a comprendere l’importanza dei dati su cui lavorano e a conoscere i metodi utilizzati dai criminal hacker per guadagnare l’accesso a tali dati. Il phishing rimane tuttora il vettore di attacco più comune, ma è bene che gli utenti sappiano riconoscere anche il malvertising, che può essere usato per diffondere ransomware, e gli attacchi di social engineering. Conoscere questi diversi metodi aiuterà gli utenti a proteggere sé stessi e gli altri, sia dentro sia fuori l’azienda.
Come sviluppare una strategia di cyber security
Sarebbe sbagliato, comunque, concentrare la strategia di cyber security solo su quello che avviene all’interno della propria azienda.
Sempre più spesso, infatti, i criminal hacker puntano a compromettere grandi organizzazioni colpendo le loro supply chain composte anche da piccole aziende fornitrici. Così, in sostanza, è possibile sferrare l’offensiva con uno sforzo tecnologico molto minore, concentrandosi sull’anello debole della catena e sfruttando le vulnerabilità di realtà di dimensioni inferiori, con budget IT ristretti e sistemi di sicurezza meno avanzati.
Alla luce di quanto visto finora, diventa evidente come di fronte ad attacchi informatici sempre più mirati alla violazione di dati riservati, con conseguenti danni economici e reputazionali difficilmente calcolabili, sarebbe un errore pensare alla sicurezza informatica solo quando si verificano gli incidenti e investire su soluzioni tecnologiche compartimentali.
È invece importante automatizzare il rilevamento di minacce e anomalie adottando una strategia proattiva 24/7 basata su nuove tecnologie di intelligenza artificiale e big data che garantiscono la necessaria continuità operativa dell’intera organizzazione.
Investire su soluzioni tecnologiche di questo genere consente di proteggere, monitorare e gestire la propria infrastruttura IT senza trascurare i processi aziendali, ma riuscendo anzi a focalizzare tutta la propria energia sul business di riferimento.
Regole d’oro per i CEO nella gestione delle violazioni IT
Nello scenario appena descritto è evidente quanto importante sia il ruolo del CEO nella gestione di una crisi di sicurezza.
Visti i costi elevati anche e soprattutto in termini di reputazione per l’azienda che potrebbero avere le interruzioni di servizio e le conseguenti controversie legali, sarebbe un grave errore per il CEO “delegare” la gestione di un incidente di sicurezza al reparto IT dell’azienda.
Per le stesse ragioni è importante che il CEO tratti la crisi in maniera trasparente, adottando la giusta strategia di comunicazione.
Un’altra importante regola che ogni CEO dovrebbe seguire durante una violazione IT riguarda la gestione delle competenze in materia di sicurezza informatica. In genere, la maggior parte delle aziende si affida al CISO durante un cyber attacco, ma spesso potrebbe essere utile, oltre che opportuno, affidarsi ad alcuni stakeholder come i fornitori di sicurezza ai quali affidare in tutto o in parte la sicurezza della propria azienda.
Infine, in caso di attacco informatico, è utile attivare subito una task force in cui coinvolgere, per quanto appena detto, anche i fornitori di sicurezza in modo da poter affrontare in maniera corretta le questioni più importanti per comprendere il perché l’azienda è stata attaccata, per individuare immediatamente gli asset più importanti, capire se sono stati colpiti ed eventualmente con quali conseguenze.
Conclusioni
Dovrebbe essere evidente, a questo punto, che a prescindere dalle dimensioni della propria azienda e dal settore di appartenenza, l’adozione di una efficace strategia di cyber security è essenziale per essere preparati ad affrontare nel migliore dei modi anche lo scenario peggiore.
Alla fine, la conseguenza prima di un attacco informatico sarà probabilmente l’aumento degli investimenti in sicurezza, ma è utile comprendere anche che l’adozione di principi come lo Zero Trust e il miglioramento della propria cyber hygiene aiutano a semplificare e ottimizzare tutti i processi aziendali.
