Cyber security e cyber resilience, due facce della stessa medaglia. Da un lato bisogna salvaguardare applicazioni, sistemi e dati personali da accessi non autorizzati o perdite, dall’altro è necessario garantire la business continuity e ripristinare velocemente i sistemi in caso di attacchi.
Del resto, i dati del Clusit parlano chiaro: gli attacchi italiani nel 2023 sono tutti attacchi considerati critici e, quindi, impattanti. La forte crescita numerica rispetto al 2022 evidenzia il potenziale rischio a cui le aziende sono esposte.
Quali sono, quindi, le maggiori preoccupazioni di CISO, CIO e IT Manager in questi ambiti? Ne abbiamo parlato nelle due tavole rotonde organizzate dal Network Digital360, in collaborazione con Mauden, con l’obiettivo di mettere a fattor comune le principali aree di attenzione degli executive IT.
Indice degli argomenti
Data protection
Il primo punto di attenzione riguarda proprio il concetto di “dato”, nel senso più ampio del termine. Il dato è la risorsa più preziosa e al tempo stesso più vulnerabile di ogni organizzazione, soprattutto nell’era del cloud, dell’edge computing e dell’IoT.
Proteggere il dato significa garantire la sua disponibilità, integrità e confidenzialità, ma anche il suo valore e la sua utilità. Diventa quindi fondamentale classificare, normalizzare i dati, ovvero assegnare loro un livello di sensibilità, uniformare i formati rimuovendo le ridondanze, al fine di poter trarne un valore per il business.
Queste operazioni sono spesso attuate manualmente e mettono a rischio la sicurezza del dato stesso. Le aziende devono affrontare sfide sia tecnologiche che, soprattutto, di business.
«Da un lato devono contrastare la concorrenza, essere innovative e veloci; dall’altro, devono considerare l’interazione e l’integrazione dei sistemi IT, l’eterogeneità delle fonti di origine dei dati che, sebbene innovative, possono aumentare l’esposizione al rischio di attacco» afferma Claudia Leati, Innovation & Technology Advisor di Mauden. «Le aziende devono ripensare alla sicurezza secondo un approccio “strabico”: proteggersi secondo i concetti della cyber security e, allo stesso tempo, pensare a come ripartire in caso di attacco e adottare una corretta postura di cyber resilience».
Cyber resilience
Un altro aspetto fondamentale della sicurezza dei dati è la cyber resilience, ovvero la capacità di un’organizzazione di mantenere i servizi attivi o ripristinarli il più velocemente possibile in caso di attacchi informatici.
La cyber resilience richiede una pianificazione accurata e preventiva, che preveda la definizione di obiettivi, priorità, ruoli e responsabilità, nonché l’implementazione di misure tecniche e organizzative per garantire la protezione, il ripristino e la disponibilità dei dati e delle applicazioni essenziali per il funzionamento e la sopravvivenza dell’azienda.
Nella definizione di quali siano i dati essenziali, molte organizzazioni che hanno partecipato alle tavole rotonde utilizzano le matrici BIA (Business Impact Analysis) per:
- determinare le priorità;
- valutare l’impatto economico in caso di non disponibilità dei servizi;
- definire gli SLA accettabili per la ripartenza;
- sviluppare le strategie e le modalità di ripristino da un punto di vista tecnico organizzativo.
Aspetto importate: le procedure di Incident Response Plan vanno provate sul campo e va soprattutto testata la procedura di Crisis Management, perché in caso di eventi disastrosi il panico è dietro l’angolo.
Patching dei sistemi
Un altro punto dolente per la sicurezza dei dati è il patching dei sistemi, ovvero l’aggiornamento delle componenti software per correggere eventuali vulnerabilità o malfunzionamenti.
Il problema del patching è molto sentito nelle grandi organizzazioni che hanno spesso un mix di applicazioni in cloud e on premise. Ma non solo. Le imprese produttive, che spesso usano sistemi OT come SCADA o PLC, hanno difficoltà a mantenere le ultime versioni dei sistemi perché dovrebbero fermarli e, di conseguenza, interrompere il servizio o la produzione, per applicare le ultime versioni.
Alcune organizzazioni usano sistemi di segregation per isolare questi apparati dal resto della rete, ma con questa impostazione di fatto si “isola” il problema, non lo si “risolve”.
Altri adottano politiche di “virtual patching” che implementano diversi livelli di sicurezza per ridurre il rischio di possibili attività malevoli.
Penetration test
I penetration test sono fondamentali per rilevare le vulnerabilità, le debolezze e i rischi che potrebbero compromettere la confidenzialità, l’integrità e la disponibilità dei dati.
Tuttavia, i penetration test presentano anche alcuni “pain point” per le aziende, come ad esempio l’estensione del perimetro d’azione o il rischio di non rilevare tutte le minacce. In genere i penetration test sono diffusi presso le aziende del panel, ma ci sono ampi spazi di miglioramento.
Secondo Aldo Caracciolo, Solution Architech di Mauden, «mantenere alta l’asticella della cyber security non significa solo adottare e implementare soluzioni tecnologiche ma anche gestirle, monitorarle e renderle efficaci affinché possano davvero contribuire alla giusta postura difensiva dell’azienda. Un’adeguata postura di cyber security deve tenere conto sia della componente “difensiva” che di quella “offensiva”, dando all’azienda delle opportunità di training e di test alle vulnerabilità e alle minacce».
Sicurezza OT
Questo problema è molto sentito nelle aziende di produzione. In particolare, si avverte la difficoltà di integrare la sicurezza OT con la sicurezza IT, dato che i due domini hanno requisiti, protocolli e standard diversi.
In aggiunta, gli stessi responsabili della sicurezza possono essere figure diverse (una dedicata all’IT e una all’OT). Fra gli altri problemi segnalati in quest’ambito sono stati riscontrati:
- La mancanza di visibilità e di consapevolezza dello stato delle reti OT, che rende difficile identificare e rispondere agli incidenti in modo tempestivo ed efficace.
- La scarsità di competenze e di risorse dedicate alla sicurezza OT.
- L’obsolescenza di apparati e sistemi che rende difficile l’aggiornamento.
Dashboard integrate
Per gestire efficacemente la sicurezza dei dati, è importante avere una visione d’insieme delle informazioni che arrivano da diversi tool di sicurezza, spesso forniti da vendor differenti. Le aziende in molti casi scaricano i log dai vari tool e mettono insieme i dati tramite analytics, con un processo piuttosto lungo e non sempre efficace.
Le dashboard integrate sono uno strumento utile per aggregare e visualizzare tali informazioni in modo chiaro e rapido, consentendo ai security specialist di monitorare lo stato della rete, individuare eventuali anomalie o minacce, e intervenire tempestivamente per risolverle. Il reporting e la compliance sono facilitati fornendo indicatori di prestazione e di rischio e comprendendo anche i tool di asset management per avere un inventario degli apparati.
Per Claudia Leati, l’adozione di soluzioni hybrid spesso vuol dire avere molteplici tool che concorrono alla gestione degli ambienti. «I responsabili IT, inoltre, si trovano a dover gestire un budget ancora ridotto in ambito sicurezza e ciò li spinge a optare per l’adozione di patchwork complessi e soluzioni verticali, secondo un approccio a “cipolla”. Avere, però, tanti tool in un’architettura rende la gestione più complessa. Spesso, però, questo è l’approccio pragmatico che le aziende nostre clienti adottano per intervenire in modo efficace, riducendo gli ambienti più a rischio e mantenendo un equilibrio tra budget e interventi di cyber security. In questo modo riescono a gestire le ragioni di rischio e la riduzione di attacco».
Sensibilizzazione dei collaboratori in merito alla cyber security
Se si dovesse indicare “il” problema che i CISO hanno, probabilmente, questo sarebbe la scarsa consapevolezza e formazione dei dipendenti in materia di sicurezza informatica. Dipendenti e collaboratori sono spesso l’anello debole delle difese aziendali, in quanto possono essere vittime di attacchi di phishing, malware, ransomware che sfruttano l’errore umano o la negligenza. Non c’è una risposta magica per risolvere la questione, ma alcuni accorgimenti stanno funzionando:
- un forte commitment e consapevolezza da parte del top management;
- una politica chiara e dettagliata sulla cybersecurity, che definisca le responsabilità, le procedure e le sanzioni per i dipendenti che non la rispettano;
- una formazione regolare e personalizzata per i diversi ruoli e livelli di competenza;
- una valutazione periodica del livello di conoscenza tramite test, simulazioni o audit.
«Non dobbiamo solo parlare di una vulnerabilità derivante dalla mancata o limitata formazione del personale. È necessario considerare anche una vulnerabilità organizzativa e tecnica. La prima è riconducibile alla mancata implementazione di soluzioni tecnologiche, per garantire la protezione da malware attraverso best practice, e all’assenza o non corretta attuazione di misure di sicurezza, così come al mancato adeguamento alle normative italiane e/o europee. La vulnerabilità tecnica dipende da falle di sicurezza nelle architetture e dall’obsolescenza di tecnologie utilizzate. Spesso, inoltre, vengono generate involontariamente da IOT non controllati dalle aziende», conclude Aldo Caracciolo.
Contributo editoriale realizzato in collaborazione con Mauden
