Un'azienda resiliente è in grado di assorbire il cambiamento in modo tale da garantire la continuità operativa. Potrebbe trattarsi di un cambiamento positivo, ad esempio l'acquisizione di un nuovo partner, o negativo, come un attacco informatico.
Il punto di partenza dei team della sicurezza è da sempre la pianificazione. Per una valutazione completa del rischio serve un approccio che consideri la minaccia, la vulnerabilità, la probabilità e l'impatto dell'attacco. Per comprendere la natura del rischio, si immaginano scenari potenziali in cui si presume l'esistenza di una minaccia, quindi si valuta la probabilità che questa colpisca l'azienda e, infine, si stabilisce come bloccare le vulnerabilità e ridurre l'impatto. Le strategie per la continuità operativa e il ripristino si basano su questi scenari.
Sempre più spesso, i CISO cercano soluzioni per mantenere la continuità operativa anche in caso di cambiamenti che non costituiscono una minaccia. Per essere resiliente, un'azienda deve trovare il giusto equilibrio tra rischi e opportunità, controllo e capacità di adattamento, ad esempio per accogliere in sicurezza un team di consulenti esterni o per inserire un nuovo fornitore che possa dare supporto senza aumentare l'esposizione alle minacce.
Chiedono l'appoggio dei dirigenti in tutta l'organizzazione. Non si tratta di questioni tecnologiche o di sicurezza, ma di una sfida per l'azienda.
Stringono alleanze con i membri del consiglio di amministrazione per promuovere la resilienza.
Si assicurano che i processi siano implementati e seguiti da tutti gli stakeholder.
Continuano a sviluppare intelligence sulle minacce a livello generale e specifico per il loro settore.
Introducono tecnologie flessibili che aumentano la visibilità sulle risorse e consentono di implementare nuove policy e controlli centralmente.
Un'azienda resiliente adotta un approccio basato sul rischio per stabilire il proprio livello di tolleranza agli attacchi. Insieme al CIO e/o al consiglio di amministrazione, i responsabili della sicurezza, in qualità di esperti in materia, devono illustrare i rischi in modo chiaro e dettagliato e spiegare come gestirli; questo consente all'azienda di svolgere una valutazione completa e prendere decisioni adeguate.
Se per prevenire la minaccia occorre investire milioni, mentre il costo del (potenziale) danno potrebbe rientrare nell'ordine delle migliaia, la decisione finale deve tenere conto di questo aspetto; in questi casi, accettare di correre il rischio non è sbagliato. Tuttavia, non si tratta solo di un danno economico: una violazione dei dati può comportare un danno di immagine e un impatto negativo a lungo termine. È necessaria una valutazione d'insieme per decidere quali rischi l'azienda è disposta a correre.
Inoltre, bisogna definire le risorse di cui l'azienda non può assolutamente fare a meno, ovvero quelle più importanti, e quelle a cui può rinunciare temporaneamente, quindi sviluppare difese multilivello in base al tipo di minaccia. Non sempre è possibile proteggere totalmente ogni singola risorsa.
Nessun CISO dispone di budget infiniti o di risorse illimitate. Proteggere sempre tutto e tutti non è possibile. E va bene così. L'obiettivo deve essere proteggere le risorse più importanti per l'azienda e qualsiasi altro aspetto correlato. Questo approccio aiuta a sviluppare resilienza in modo proattivo e veloce.
Un'azienda resiliente è in grado di gestire le minacce senza soccombere immediatamente quando subisce un attacco. Per sviluppare resilienza, bisogna allineare la strategia di sicurezza ai piani di risposta agli incidenti.
Il primo passo per diventare resilienti è conoscere le minacce a cui siamo esposti. Se non sappiamo che cosa dobbiamo affrontare, non possiamo difenderci. Per creare un'azienda davvero resiliente, è necessario comprendere le minacce e i propri punti deboli.
Conoscere questi aspetti consente di implementare le difese adeguate e ridurre la probabilità di un attacco, garantendo il minimo impatto qualora una minaccia dovesse penetrare nel sistema.
Tuttavia, non è realistico pensare di proteggere sempre tutto e tutti, né di prevedere ogni minaccia e la sua possibile evoluzione. Quindi, se siamo sotto attacco, dobbiamo essere pronti a rispondere con prontezza ed efficacia.
Bisogna assicurarsi che nei sistemi non esistano singoli punti di vulnerabilità, in modo da garantire la continuità operativa anche quando è necessario disattivare un componente a causa di una minaccia. Pianificare e testare le azioni di risposta agli incidenti consente di correggere le minacce e di ripristinare l'operatività prima possibile.
In qualità di consulente della sicurezza, per valutare la resilienza di un'azienda prendo in considerazione le procedure implementate per la classificazione dei dati e la gestione delle identità e degli accessi. Per capire se offrono una protezione solida, queste aree devono essere studiate nel loro complesso.
Uno dei modi più efficaci per sviluppare resilienza è adottare un approccio collaborativo basato sul lavoro di squadra anche in un contesto informale, piuttosto che su una classificazione prestabilita a livello aziendale.
Questo aspetto è importante, perché la resilienza non è mai compito di una sola persona.
Ad esempio, gli sviluppatori devono sapere che lo sviluppo di un'applicazione non riguarda solo le funzionalità, ma anche la sicurezza: i clienti devono poter usare l'applicazione senza rischi.
Per diventare resiliente, un'azienda deve integrare le best practice di sicurezza e assicurarsi che attività quali i test di penetrazione, l'analisi del codice e la classificazione dei dati avvengano al momento giusto.
Ho notato che gli esperti della sicurezza supportano i progetti in vari modi, e questo mi fa molto piacere. Il ruolo della sicurezza sta cambiando. Comunicare con gli esperti aiuta l'azienda a integrare la sicurezza nei progetti fin dall'inizio invece di preoccuparsene solo in un secondo momento, magari dopo aver subito una violazione. Così facendo, si aumenta la resilienza.
È essenziale ricercare attivamente dati di intelligence sulle minacce accurati, fruibili e contestualizzati in modo corretto. Questo può essere molto difficile; infatti, diversi fornitori sul mercato offrono intelligence sulle minacce anche molto dettagliata, ma spesso le informazioni fornite sono poco rilevanti o non includono il contesto più ampio. Ad esempio, in questo periodo di instabilità a livello globale, è importante prevedere eventuali attacchi informatici legati a motivazioni geopolitiche.
La capacità di integrare il contesto offre alle aziende un reale vantaggio. Mostrando la correlazione tra gli accadimenti nel mondo reale e il controllo delle minacce dirette ai servizi, alle operazioni e alle funzioni critiche la dirigenza avrà chiara l'importanza del nostro lavoro. Di conseguenza, avrà piena fiducia nella capacità dell'azienda di essere resiliente.
Un aspetto importante della resilienza è concentrarsi sulle attività allineate agli obiettivi aziendali. È un'ottima idea testare la resilienza aziendale organizzando delle esercitazioni; tuttavia, i nuovi modelli di lavoro emersi negli ultimi anni potrebbero averne ridotto l'utilità in diversi contesti.
“È un'ottima idea testare la resilienza aziendale organizzando delle esercitazioni; tuttavia, i nuovi modelli di lavoro emersi negli ultimi anni potrebbero averne ridotto l'utilità in diversi contesti.”
Un approccio più efficace consiste nel prestare attenzione alle vulnerabilità a cui altri sono stati esposti, allineando le attività a supporto della resilienza con quanto accade nel mondo, concentrandosi sugli aspetti che potrebbero avere un impatto maggiore sul nostro settore e sulla nostra azienda nello specifico. Così è possibile mettere alla prova il proprio grado di resilienza nella realtà.
Entrando più nello specifico, il ransomware è la minaccia prevalente, ma come mettere alla prova la propria resilienza contro questo tipo di rischio? Possiamo osservare i tipi di ransomware che colpiscono la maggior parte delle imprese per rilevare se le loro varianti si orientano verso realtà e settori specifici. Ma come applicare il tutto alla propria azienda e adattare i test di resilienza per rispondere agli scenari del mondo reale usando come riferimento l'esperienza di aziende simili?
Fin troppo spesso, nelle aziende vi è una disparità di competenze. Ad esempio, l'azienda potrebbe decidere di testare la capacità di gestire attacchi ransomware, anche se alcuni team aziendali potrebbero non avere le competenze tecniche per comprendere appieno i sistemi, il ransomware e l'impatto che può avere sui processi. Quando riusciamo a dimostrare che è possibile mettere fuori uso un servizio oppure sottrarre o estorcere i dati, gli stakeholder chiamati a decidere sulle attività di resilienza avranno un quadro preciso e capiranno quali danni potrebbe subire l'azienda.
Oppure, potrebbero decidere che è possibile interrompere alcune funzioni per brevi periodi senza causare un danno. Attività di questo tipo sono molto efficaci ai fini della resilienza, perché connettono l'azienda e la tecnologia.
La resilienza non riguarda solo la sicurezza; quest'ultima, però, ne è una componente essenziale. Sulla scacchiera della resilienza, la sicurezza svolge il ruolo del re. Se si verifica un errore e i processi aziendali non vengono ripristinati, è scacco matto. Eppure, esistono anche le altre funzioni aziendali, che devono seguire le proprie strategie per proteggere l'intera azienda. Le risorse da difendere sono tante e, con poche mosse a disposizione, bisogna pianificare una strategia dettagliata. Ecco perché, sempre più spesso, le aziende stanno passando a un approccio alla sicurezza basato sul rischio.
Ad esempio, prendiamo il caso di un server che non contiene informazioni critiche, ma in cui è presente una vulnerabilità nota che dobbiamo correggere attraverso una patch. Potrebbe trattarsi di un server di backend utilizzato per le attività di DevOps. Ora supponiamo che lo stesso server, con la stessa vulnerabilità, sia collegato a Internet e contenga i dati dei clienti.
Anche se la vulnerabilità è la stessa, i rischi sono diversi. Nel secondo caso, l'applicazione della patch è una priorità più importante.
Non possiamo proteggere sempre tutto e tutti; dobbiamo concentrarci su ciò che conta. Dobbiamo innanzitutto gestire i problemi critici, quindi pianificare una strategia per gestire le altre vulnerabilità a cui siamo eventualmente esposti. A tale scopo, servono dati di intelligence sulle minacce accurati, con valore predittivo e basati sulle caratteristiche uniche della nostra azienda. Sviluppare resilienza dando priorità a ciò che conta di più aiuta a risolvere molti dei problemi di sicurezza operativa del passato.
“Non possiamo proteggere sempre tutto e tutti; dobbiamo innanzitutto gestire i problemi critici, quindi pianificare una strategia per gestire le altre vulnerabilità a cui siamo eventualmente esposti.”
