Siamo tutti target appetibili del cyber crime. È questa la convinzione che, lentamente ma con sempre maggiore pervasività, si sta facendo strada presso le PMI, persuase – fino a poco tempo fa – di essere immuni alla prospettiva di un attacco informatico. Serve tuttavia un cambiamento culturale per far comprendere appieno la necessità di investimenti in security e dell’importanza di figure come quella del Cyber Security Manager.
La cronaca degli ultimi anni ha messo sotto gli occhi di tutti la magnitudo del fenomeno della cyber criminalità, i cui obiettivi non sono più ascrivibili alla sola cerchia delle istituzioni, organizzazioni e aziende di grandi dimensioni.
Indice degli argomenti
Serve una nuova cultura della security aziendale
Pur consapevoli della propria esposizione al rischio, le imprese di casa nostra non sembrano, tuttavia, avere maturato una cultura aziendale autenticamente orientata alla sicurezza. La considerazione che fatica a farsi strada è che le informazioni sono il patrimonio più importante di un’impresa e che dotarsi di una piattaforma sistematica di protezione dei dati aziendali è una esigenza strategica, non assimilabile alla gestione IT ordinaria.
Soprattutto in considerazione dell’attuale situazione di “spending review” che non risparmia alcun settore dell’economia nazionale, è tanto più importante riflettere sulla sicurezza informatica e sul ruolo del Cyber Security Manager.
La tentazione – che la maggior parte delle PMI continuano ad assecondare – è affrontare la questione senza un reale commitment: accade così che la cyber security venga frettolosamente esternalizzata o affidata al responsabile IT, che necessariamente esprime competenze e sensibilità differenti.
Anche l’opzione dell’acquisto di software top di gamma può rivelarsi poco proficua se non inquadrata in un contesto più ampio di gestione strategica, continuativa e trasversale.
Strumenti di analisi come ad esempio i Vulnerability Assessment (VA) sono ancora poco diffusi, anche in importanti realtà imprenditoriali: è questa la cartina tornasole di quanto la cyber security sia una questione sottodimensionata nella percezione dei vertici aziendali. Le ragioni possono essere diverse.
C’è chi sceglie di non stanziare il budget necessario, valutando attività di questo tipo alla stregua di audit non richiesti per legge e quindi ininfluenti: “Le cose sono andate fino ad oggi e continueranno ad andare”. In altri casi, è lo stesso responsabile IT a non attivare i tool di analisi per la sicurezza informatica, per non dovere poi fare fronte alle attività necessarie a colmare le falle individuate.
Nelle PMI il sottodimensionamento della funzione IT – spesso incapace di gestire le ordinarie richieste del business – favorisce l’adozione di soluzioni che non considerano alcun aspetto di sicurezza nella loro implementazione, estromettendo la tutela dei dati informatici dal perimetro delle attività prioritarie.
È un cane che si morde la coda. È inevitabile quindi ci debba essere un forte cambio di prospettiva. IT Manager e Cyber Security Manager devono acquisire status e ruoli peculiari e riconosciuti nella gerarchia aziendale, al fine di espletare i rispettivi compiti: servire e proteggere il business dell’azienda.
Occorre, a maggior ragione, una consapevolezza che parta dall’alto, in un approccio top-down che coinvolga l’alta direzione.
Best practice di sicurezza informatica nelle PMI
Torniamo all’esempio semplice dei Vulnerability Assessment: le best practice ci dicono che dovrebbe essere predisposto un piano periodico di valutazione e rilevazione, che permetta di monitorare nel continuo le vulnerabilità.
Un VA, infatti, riesce ad evidenziare le falle che un attaccante potrebbe rilevare e sfruttare in maniera semplice, nelle giuste condizioni, e che quindi sarebbe necessario correggere con la massima urgenza. In molti casi, tuttavia, questo non accade, anche a causa dell’incapacità delle aziende di attivare forme di collaborazione trasversali, fallendo così nel tentativo di sgravare l’IT da responsabilità che non possono ricadere solo su questa funzione.
Non basta. È poco confortante scoprire quante PMI continuino ad avere in uso macchine con sistemi operativi che si potevano considerare obsoleti dieci anni fa (qualcuno ha detto Windows XP?). Lo stesso vale per database, web server, dispositivi di rete e via discorrendo.
Pur mantenendo la responsabilità per le eventuali vulnerabilità presenti, l’IT viene di fatto “frenato” dal business nell’adottare soluzioni cyber security-oriented, in considerazione di una visione limitata alle sole esigenze di funzionamento degli applicativi.
Ciò che ne consegue è un atteggiamento remissivo da parte di chi avrebbe la responsabilità di proteggere quegli stessi sistemi, senza avere modalità e risorse attraverso le quali poter svolgere il proprio compito.
Come uscire da questo loop viziato? Chi si occupa di sicurezza informatica deve poter avere la possibilità di un rimando diretto all’alta direzione e deve soprattutto avere il modo di ottenere la giusta considerazione.
L’utilità dei penetration test
In quest’ottica, non guasterebbe riuscire a dimostrare attraverso vere simulazioni di attacco – i penetration test – quanto davvero l’azienda possa essere messa in ginocchio, in assenza di scelte strategiche vitali, seppur costose in termini di budget e di tempo.
Come si sono evolute le tecniche di attacco, anche gli scenari di test si sono adeguate alle necessità del business di oggi, garantendo tecniche realistiche che rappresentino ciò che la società può considerare un vero pericolo nei confronti del proprio contesto di riferimento.
Si possono così andare a definire situazioni ad-hoc che coinvolgano il fattore infrastrutturale, il fattore umano ed il fattore tecnologico attraverso i quali un’azienda contemporaneamente espone i propri punti deboli e può arrivare ad esprimere i punti di forza del proprio schema difensivo, raggiunta una determinata maturità.
Ciò che però può realmente risultare determinante per ottenere l’agognata attenzione da parte del top management è un’appropriata analisi dei rischi IT.
Per appropriata si intende un’analisi non più fine a sé stessa o semplice frutto di un requisito normativo, ma un framework che rappresenti una fotografia del contesto aziendale, che evidenzi gli effettivi punti critici più vulnerabili, che consenta un focus sulle risorse da proteggere con maggiore attenzione e soprattutto dia la possibilità di assegnare una priorità ben precisa alle azioni da intraprendere, considerando come fattore primario proprio il business.
Si tratta indubbiamente di un percorso tortuoso ed impegnativo, ma che se affrontato con le giuste motivazioni e chiari obiettivi può realmente trasformarsi in una carta vincente per il Cyber Security Manager che può così contemporaneamente parlare con il business attraverso il suo stesso linguaggio e, nondimeno, condividere con l’alta direzione la strategia di sicurezza da affrontare. Riuscendo a formalizzare così, nero su bianco, l’approccio al rischio della società.
Conclusioni
La figura che gestisce la sicurezza di un’azienda non può e non deve coincidere con il responsabile dei sistemi IT, ma necessita di assumere un ruolo cruciale e strategico che funga da anello di congiunzione tra tutte le parti in causa.
In conclusione, possono essere numerose le leve a disposizione di un Cyber Security Manager che voglia aumentare e diffondere la consapevolezza su questi temi per il bene di tutti di dipendenti, ma soprattutto per incoraggiare i vari reparti nevralgici in azienda alla collaborazione per uno scopo comune: la difesa del proprio business.