Innanzitutto, per prevedere efficacemente le minacce e sviluppare resilienza operativa, le persone e le relazioni umane sono fondamentali, poiché da queste dipende la condivisione delle informazioni. Infatti, gli altri team aziendali hanno competenze in aree che il nostro team non arriverà mai a capire totalmente.
Inoltre, gli altri team sanno quale sarà l'impatto sul business. Il rischio a volte è che i test non tengano conto di eventuali problemi o imprevisti; pertanto, evidenziare tale tendenza è utile a fare un passo indietro e considerare gli scenari peggiori che potrebbero mandare all'aria i piani e impedirne l'attuazione.
Per mitigare questi scenari, abbiamo definito modelli di progettazione e regole di riferimento per i team. I modelli di progettazione includono, ad esempio, le architetture tecniche standardizzate, i requisiti o i processi operativi. In genere, le regole di riferimento per i gruppi riguardano la formazione trasversale, la definizione dei ruoli e le modalità di comunicazione e di riassegnazione dei problemi.
Questo approccio proattivo ha dato i suoi frutti maggiori nel marzo 2020, quando la nostra azienda è stata improvvisamente costretta a passare al lavoro a distanza, e senza sapere per quanto tempo. Nel 2019, dopo un confronto con altri team aziendali, ci siamo resi conto di quattro grandi problemi legati all'infrastruttura IT che rappresentavano un serio ostacolo alla nostra capacità di essere resilienti.
Molti processi aziendali critici dipendevano dall'infrastruttura IT situata in ufficio, dove non c'era ridondanza di alimentazione, di rete e di raffreddamento.
La gestione dell'infrastruttura IT, specialmente del sistema telefonico aziendale, richiedeva competenze specifiche che non avevamo a livello interno. La gestione delle apparecchiature dipendeva in gran parte da risorse esterne e, in caso di problemi, non sapevamo bene quanto tempo ci sarebbe voluto per ripristinare il servizio.
Non avevamo un team addetto al monitoraggio e alla sicurezza dei sistemi IT interni, e il provider del servizio gestito non era all'altezza del compito.
L'esperienza con l'accesso remoto durante le chiamate con i clienti era di scarsa qualità.
Per gestire il rischio di interruzioni prolungate del servizio e migliorare l'esperienza di lavoro a distanza, abbiamo deciso di migrare l'intera infrastruttura IT interna nel cloud. Il passaggio repentino al lavoro a distanza, quindi, non ci ha colti impreparati.
Ho lavorato per diversi anni nel settore sanitario, e lì ho potuto toccare con mano tutti i vantaggi offerti da una sicurezza aziendale resiliente. In particolare, in un'occasione il mio team ha dovuto gestire un ceppo di malware molto sofisticato, progettato per colpire uno specifico marchio di UTI (unità di terapia intensiva), molto conosciuto.
I dispositivi medici UTI servono a monitorare e stabilizzare i pazienti in terapia intensiva e a somministrare loro i medicinali; spesso, si tratta di pazienti in stato di incoscienza la cui sopravvivenza dipende esclusivamente da questi dispositivi. Il malware in questione ha compromesso la pompa a siringa (usata per dosare e somministrare i farmaci) e la funzionalità di monitoraggio della pompa stessa, mettendo i pazienti in pericolo di vita.
Svolgendo una valutazione di questi dispositivi, abbiamo identificato gli attuali punti deboli nella sicurezza e le minacce future. Abbiamo capito che, per gestire aree chiave quali l'aggiornamento del software, l'applicazione delle patch e l'accesso, era necessario un approccio molto diverso rispetto a quello adottato con altri dispositivi IT. Abbiamo implementato un processo molto accurato per le fasi di identificazione, rilevamento e risposta della nostra strategia di sicurezza resiliente.
Così facendo, abbiamo identificato il malware in un ambiente di prova isolato e abbiamo scoperto che era stato introdotto tramite una patch compromessa rilasciata dal fornitore. In quel periodo, nessun software per la protezione degli endpoint era in grado di rilevare questo malware e, se avessimo seguito le normali procedure di sicurezza, avremmo messo in pericolo la vita di centinaia di pazienti. Non immaginavamo che qualcuno potesse creare un virus così malevolo da causare persino la morte delle persone.
Per molti professionisti della sicurezza che lavorano in prima linea, la sicurezza resiliente si riferisce alla capacità dell'azienda di adattarsi alle minacce note e sconosciute. In momenti di crisi, trasformarsi costantemente è una strategia chiave per sviluppare resilienza aziendale.
La sicurezza riguarda le persone, i processi e la tecnologia; ottenere le soluzioni giuste, quindi, è solo una parte del lavoro. È altrettanto importante dotarsi del personale adeguato a supportarle. Spesso, le aziende non riescono a trattenere gli esperti di cybersecurity perché non dispongono di dati retributivi aggiornati e, quindi, non riescono a capire il ruolo sempre più cruciale di questi professionisti e il loro valore di mercato. Per creare e supportare i programmi di sicurezza, serve una relazione più stretta tra cybersecurity, amministrazione e risorse umane.
In passato, ho lavorato all'implementazione di una soluzione GRC modulare e flessibile, che ha garantito i risultati migliori. La soluzione ha suscitato l'interesse di più reparti per via dell'interfunzionalità offerta, ovvero la capacità di fornire servizi di gestione dei fornitori e dei rischi associati, delle policy e dei rischi informatici. Non solo consentiva di gestire i rischi da un unico punto di controllo, ma forniva anche un archivio per le policy aziendali.
Inoltre, la soluzione ha permesso di gestire e classificare i fornitori critici in base al rischio, quindi di determinare i profili di rischio per i singoli fornitori e il profilo di rischio complessivo dei soggetti terzi. Il costo/beneficio di questa soluzione è facilmente giustificabile se si considerano i processi manuali previsti in ciascuno scenario d'uso.
La soluzione GRC era inizialmente composta da un solo modulo; nel corso del tempo, l'abbiamo ampliata fino a quattro moduli, che altri reparti utilizzano come accesso centralizzato alla documentazione o per i processi chiave.
Un paio d'anni fa, ho lavorato per un'azienda al dettaglio in cui la catena di fornitura rappresentava una grave fonte di pericolo. Di recente gli attacchi alle catene di fornitura si stanno intensificando. Tuttavia, non si tratta di un fenomeno nuovo, e al tempo fui incaricato dall'azienda di risolvere un'importante violazione dei dati. La violazione non era dovuta a un errore nelle difese aziendali, ma a una vulnerabilità di uno dei fornitori principali.
Il mio team ha riesaminato i fornitori esterni per individuare quelli critici (l'azienda ne aveva in tutto circa 200). Dovevamo capire con quali di questi l'azienda condividesse dati personali e riservati. Abbiamo suddiviso i fornitori in più livelli, in base alla classificazione delle informazioni.
Abbiamo controllato tutti i fornitori di primo livello. Così, il cliente è riuscito a individuare quelli che comportavano un rischio per l'azienda. Il processo di selezione dei fornitori è notevolmente migliorato. I criteri di scelta dell'azienda non consideravano più esclusivamente la qualità dei prodotti, ma anche le politiche di sicurezza adottate dal fornitore.
Essere resilienti non vuol dire solo saper identificare un problema, ma anche farlo in fretta. Questi aspetti sono misurabili attraverso due indicatori: MTTD (tempo medio di rilevamento) e MTTR (tempo medio di risposta).
Le minacce esistono, e gli incidenti possono accadere. Un'azienda è davvero resiliente quando riesce a ridurre le probabilità che si verifichi un incidente e, al tempo stesso, a contenere l'impatto di un eventuale attacco.
Per lavorare nel settore dell'intelligence sulle minacce informatiche (CTI) nel Regno Unito, sarà sempre necessario mantenere un elevato livello di allarme. Per fortuna, la nostra infrastruttura è progettata per ridurre la superficie di attacco e l'esposizione dei servizi vulnerabili.
Un'architettura che favorisce l'applicazione delle best practice aiuta anche a sviluppare resilienza. È essenziale avere un team di sviluppatori esperti che sappiano garantirci un codice sicuro e un'implementazione corretta nel pieno rispetto degli standard ISO 27001.
Siamo un'azienda quasi interamente virtuale; pertanto, ci rivolgiamo a provider di servizi Saas nel cloud di alto profilo a cui affidiamo tutti i nostri dati e le e-mail, così da garantire massima accessibilità e protezione dei dati. Tutti i nostri collaboratori nel settore della CTI sanno perfettamente quali minacce devono affrontare le aziende, compresa la nostra.
Il nostro chief compliance officer ci supporta e tutti i nostri collaboratori a ogni livello aziendale sono ogni giorno in prima linea nella lotta agli hacker, nel mondo reale come in quello virtuale. Questo aiuta a promuovere e consolidare una cultura della sicurezza e a creare resilienza.
“È essenziale avere un team di sviluppatori esperti che sappiano garantirci un codice sicuro e un'implementazione corretta nel pieno rispetto degli standard ISO 27001.”
Un esempio di resilienza risale a quando lavoravo in Cisco come chief privacy officer. Nel redigere i contratti, abbiamo rilevato una certa sfiducia e confusione da parte dei clienti che volevano acquistare le soluzioni Collaboration e altri prodotti che presentavano problematiche legate alla privacy. Le trattative andavano per le lunghe e il cliente poneva domande molto semplici, come “dove vengono archiviati i dati?” e “chi gestisce i dati di accesso di clienti e dipendenti?”
Stavo visitando una mostra al London Transport Museum quando, all'improvviso, ho trovato la soluzione: le mappe della metropolitana di Londra erano così perfette nella loro semplicità! Così ho pensato di creare una semplice infografica per mostrare ai clienti quali dati erano interessati, dove e per quanto tempo.
Il mio team ha creato e pubblicato l'infografica in Cisco Trust Center, ottenendo risultati immediati, misurabili e duraturi. La rappresentazione visiva dei problemi complessi a livello sistemico aiuta le persone a pianificare, impegnarsi e creare insieme.
Attualmente lavoro in PrivacyCode, Inc. La nostra piattaforma consente di tradurre complessi requisiti legali e relativi alle policy in attività semplici, misurabili e orientate all'azione per i team tecnici.
In un mondo sempre più complesso, dove il cambiamento è all'ordine del giorno, comunicare una direzione chiara e dettagliata aiuta a sviluppare e rafforzare la resilienza. Sono sempre alla ricerca di modi facili per risolvere sfide importanti.
“In un mondo sempre più complesso, dove il cambiamento è all'ordine del giorno, comunicare una direzione chiara e dettagliata aiuta a sviluppare e rafforzare la resilienza.”
