Nonostante gli sforzi con cui le aziende cercano di migliorare il proprio livello di cybersecurity, le notizie di incidenti di sicurezza informatica si presentano con una regolarità e una frequenza che continuano ad essere allarmanti.
Lo scenario delle minacce cyber è infatti sempre più complesso, sia a causa dell’elevato numero di attori che lo popolano (hacker black hat, hacktivisti, enti governativi, dipendenti ed ex dipendenti dell’azienda), sia per i cambiamenti che le innovazioni come cloud e IoT hanno portato nella quotidianità delle attività aziendali, modificandone i processi di gestione delle informazioni. L’innovazione si è propagata a livello sistemico in tutte le funzioni dell’azienda, dal commerciale alle risorse umane, aumentando quindi la superficie esposta agli attacchi cyber. Le conseguenze di un attacco possono compromettere il regolare svolgimento delle operazioni sotto diversi aspetti: si va dall’inservibilità dei sistemi aziendali e delle informazioni in essi contenute alla compromissione della brand reputation, come nel caso dei magazzini americani Target che, a seguito di un’intromissione nei sistemi nel 2013, hanno visto un calo delle vendite del 10%.
La nozione tradizionale di sicurezza informatica definisce sicuro un sistema per il quale si è in grado di effettuare un controllo sugli accessi ai dati e alle informazioni in esso contenuti, impedendo quelli non autorizzati. Inoltre, le informazioni contenute in questo sistema devono essere sempre disponibili e di verificata affidabilità. Per realizzare queste condizioni non è però più sufficiente affidarsi esclusivamente alla tecnologia, adottando tutti gli accorgimenti necessari per rendere il sistema sicuro dal punto di vista tecnico.
Con il termine resilienza si intende la capacità di affrontare un evento avverso, riorganizzando prontamente le proprie risorse per superarlo e ripristinare la situazione alle condizioni antecedenti l’evento; ecco quindi che un’azienda, per essere cyber resilient, deve essere in grado di rispondere in maniera efficace agli incidenti di sicurezza informatica e gestirli affinché l’impatto sulle attività sia minimo. Si capisce pertanto come si renda necessaria una visione più ampia della cybersecurity, che non sia limitata alle sole responsabilità del dipartimento IT ma che coinvolga in maniera attiva processi e dipendenti.
Un ruolo di rilievo nella sicurezza del sistema informatico è infatti svolto dall’utente: non solo dagli amministratori di sistema, ma anche dai dipendenti che, se non formati adeguatamente sull’esistenza delle tecniche di social engineering, rappresentano spesso il punto di accesso più semplice per un attacco che mira ad ottenere l’accesso non autorizzato alla rete. Ad esempio, gran parte degli attacchi ransomware avvengono a causa di un dipendente che apre un allegato infetto in una mail proveniente da una fonte che ritiene affidabile, ma che in realtà è un messaggio di phishing.
È inoltre necessario che i vertici dell’azienda acquisiscano una mentalità di insicurezza informatica, realizzando che un attacco cyber non è un evento che potrebbe verificarsi, ma che prima o poi si verificherà. Sulla base di questa consapevolezza è necessario prevedere dei processi che consentano una repentina rilevazione degli incidenti, disegnare procedure di incident handling da seguire in caso di attacco e definire le modalità di recovery che consentano all’attività aziendale di riprendere quanto prima. Un ruolo importante è ricoperto anche dalle attività di prevenzione come la cyber threat intelligence, che consente di identificare in anticipo le minacce e intervenire prima che l’attacco si verifichi.
Non si tratta di concetti nuovi, in quanto sono già enunciati in diversi framework di cybersecurity come quello americano ideato dal NIST o quello del CINI-CIS. Tuttavia, nonostante gli sforzi delle autorità, manca ancora nelle aziende, soprattutto in quelle piccole e medie, una cultura solida relativa alla cybersecurity e alla prevenzione dei rischi.
Il concetto di cyber resilience permette di andare oltre questo limite, poiché aggiunge alla tecnica della cybersecurity una serie di contenuti nuovi che vanno affrontati da tutte le funzioni aziendali, offrendo la possibilità di estendere la consapevolezza delle minacce informatiche a tutte figure operanti nell’azienda in modo da prendere le adeguate contromisure.
Andrea Zanchini
International Manager