La Cybersecurity “giusta” per difendere aziende e Pubbliche Amministrazioni
Vision
Aprile 9, 2022
Perché progettare una cybersecurity sostenibile di lungo periodo per difendere il proprio business? La risposta emerge già chiaramente osservando l’anteprima dei dati del Rapporto Clusit 2022: “Nel 2021 gli attacchi nel mondo sono aumentati del 10% rispetto all’anno precedente, e sono sempre più gravi. Le nuove modalità di attacco dimostrano che i cyber criminali sono sempre più sofisticati e in grado di fare rete con la criminalità organizzata. Nel 2021 il 79% degli attacchi rilevati ha avuto un impatto “elevato”, contro il 50% dello scorso anno.”
Per la prima volta dopo diversi anni i ricercatori di Clusit rilevano che “i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi: al primo posto c’è l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 36,4% rispetto all’anno precedente, seguito dal settore informatico, colpito nel 14% dei casi (+3,3% rispetto al 2020)”. In Italia i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
La recente pandemia ha accelerato una nuova ondata di cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze, dirette e indirette, di lunga durata sia sugli ecosistemi economici e sui mercati, sia sulle tattiche, tecnologie e procedure della criminalità informatica. Anche il crescente stato di tensione internazionale attuale ha messo a dura prova la sicurezza informatica, a causa del moltiplicarsi degli obiettivi più vulnerabili, ovvero lavoratori operanti al di fuori delle aree protette dell’organizzazione, ad esempio da casa, che utilizzano e scambiano risorse digitali più frequentemente. In questo contesto, le imprese anche di piccola e media dimensione e le PA devono considerare nuove strategie di difesa efficienti e sostenibili per i loro beni (come per esempio i dati), e le attività e i fornitori.
Per la prima volta dopo diversi anni i ricercatori di Clusit rilevano che “i cyber criminali non colpiscono più in maniera indifferenziata obiettivi molteplici, ma mirano a bersagli ben precisi: al primo posto c’è l’obiettivo governativo/militare, con il 15% degli attacchi totali, in crescita del 36,4% rispetto all’anno precedente, seguito dal settore informatico, colpito nel 14% dei casi (+3,3% rispetto al 2020)”. In Italia i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
La recente pandemia ha accelerato una nuova ondata di cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze, dirette e indirette, di lunga durata sia sugli ecosistemi economici e sui mercati, sia sulle tattiche, tecnologie e procedure della criminalità informatica. Anche il crescente stato di tensione internazionale attuale ha messo a dura prova la sicurezza informatica, a causa del moltiplicarsi degli obiettivi più vulnerabili, ovvero lavoratori operanti al di fuori delle aree protette dell’organizzazione, ad esempio da casa, che utilizzano e scambiano risorse digitali più frequentemente. In questo contesto, le imprese anche di piccola e media dimensione e le PA devono considerare nuove strategie di difesa efficienti e sostenibili per i loro beni (come per esempio i dati), e le attività e i fornitori.
Quali le sfide da vincere per aziende e PA?
Aziende e Pubbliche Amministrazioni sono chiamate ad affrontare almeno tre principali sfide:
La crescente consapevolezza dell’importanza della cybersecurity deve trasformarsi in un programma di azioni di breve-medio e lungo termine, da svolgere e monitorare in azienda. Un insieme di interventi che deve essere definito in accordo alle best practice cyber, ma calato in modo sartoriale sulla specifica realtà. Ogni azienda, infatti, presenta rischi specifici che devono essere identificati, valutati e ridotti in modo sostenibile.
Per affrontare queste sfide, occorre avere un approccio basato su una visione olistica, per definire i processi, agire in modo sostenibile, prioritizzare e decidere dove investire nel modo corretto le proprie risorse economiche. La cybersecurity va considerata un processo, perché necessita di azioni incrementalmente complesse e continuamente aggiornate, proprio a causa della elevata dinamicità del cybercrime che evolve ad un ritmo vertiginoso. Questo rende la cybersecurity un processo oneroso sotto vari punti di vista, e come tale difficile da sostenere nel tempo. Le nuove minacce alla sicurezza e le problematiche legate alle tecnologie emergenti devono essere comprese e gestite assieme alle opportunità che ne derivano. Parlare di sostenibilità della cybersecurity significa quindi non soltanto riferirsi agli aspetti “energivori”, ma approcciare la tematica anche e soprattutto in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenza necessaria.
- comprendere, in modo continuativo, le minacce alla sicurezza informatica;
- promuovere la cultura cyber, ovvero diffondere e promuovere i “Key Facts” della Cybersecurity anche ai non specialisti;
- gestire i rischi cyber, riducendo l’esposizione ai rischi per la sicurezza informatica in modo sostenibile, lavorando anche sul fattore umano.
La crescente consapevolezza dell’importanza della cybersecurity deve trasformarsi in un programma di azioni di breve-medio e lungo termine, da svolgere e monitorare in azienda. Un insieme di interventi che deve essere definito in accordo alle best practice cyber, ma calato in modo sartoriale sulla specifica realtà. Ogni azienda, infatti, presenta rischi specifici che devono essere identificati, valutati e ridotti in modo sostenibile.
Per affrontare queste sfide, occorre avere un approccio basato su una visione olistica, per definire i processi, agire in modo sostenibile, prioritizzare e decidere dove investire nel modo corretto le proprie risorse economiche. La cybersecurity va considerata un processo, perché necessita di azioni incrementalmente complesse e continuamente aggiornate, proprio a causa della elevata dinamicità del cybercrime che evolve ad un ritmo vertiginoso. Questo rende la cybersecurity un processo oneroso sotto vari punti di vista, e come tale difficile da sostenere nel tempo. Le nuove minacce alla sicurezza e le problematiche legate alle tecnologie emergenti devono essere comprese e gestite assieme alle opportunità che ne derivano. Parlare di sostenibilità della cybersecurity significa quindi non soltanto riferirsi agli aspetti “energivori”, ma approcciare la tematica anche e soprattutto in termini di sostenibilità di governance, tecnologica, economica, di processo, umana e di conoscenza necessaria.
Su cosa focalizzare il lavoro per affrontare i rischi cyber?
Consapevolezza e strategia. La comprensione del rischio effettivo e potenziale è la leva che servirebbe a PMI, grandi imprese e Pubbliche Amministrazioni per definire priorità di investimento nella protezione del proprio patrimonio informativo aziendale. Le imprese dovrebbero poi chiedersi se hanno agito in modo strategico, affrontando il problema non solo con la “tattica” giusta (ad esempio, l’introduzione di un intervento quick-win per consentire ai dipendenti di lavorare in smart working all’avvio della pandemia), ma con la giusta visione di insieme (ad esempio, chiedersi se con lo smart working sistematico dei dipendenti si sono aggiunte falle di sicurezza e in quali “touchpoint” dell’azienda).
Elemento umano e allenamento. L’elemento umano è centrale nell’approccio alla cybersecurity, perché occorre agire su diversi soggetti: su chi può subire un attacco cyber (i dipendenti), chi deve difendere l’azienda da un attacco (Security Incident Response Team) e chi deve decidere, a livello di top management aziendale, in merito a quali investimenti introdurre per ridurre il rischio cyber e agire di fronte a un attacco cyber già avvenuto. Inoltre, gli interventi formativi indirizzati ai tre target possono essere di diverso tipo: azioni di awareness verso i dipendenti e di training / learning by doing verso i tecnici. Infine, per consentire di mettere in piedi un piano formativo strutturato e sostenibile, il CISO non deve lavorare isolato, ma deve essere “interconnesso” con il resto dell’azienda e le altre figure apicali. L’obiettivo delle iniziative di sicurezza informatica non deve quindi essere centrato solo sul testare la corretta configurazione tecnologica delle difese aziendali, ma anche sul comprendere la preparazione del team di Security Incident Response Team e, in generale, sullo stimolare la sua “memoria muscolare” (o la agilità cognitiva) in situazioni di stress, percepite come un vero e proprio attacco. In tal senso quando si parla di human element della sicurezza occorre considerare la sua importanza sia come elemento di attacco che team di difesa.
Interdisciplinarità e aggiornamento costante delle competenze. Tutte le figure professionali debbono essere coinvolte nei processi di sicurezza aziendale, la sicurezza è di e coinvolge tutti e non è solo appannaggio delle figure tecniche. Alcune azioni da introdurre per aumentare la resilienza ai rischi cyber richiedono interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline (ad esempio, non solo “tecnicismi cyber”, ma anche competenze in ambito di scienze comportamentali e marketing). Inoltre, non tutte le professioni evolvono così rapidamente come la sicurezza informatica. Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone. In un’ottica di sostenibilità della cybersecurity occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, tutte coinvolte nella cybersecurity, proprio alla luce della interdisciplinarità citata poco prima. È un processo complesso che richiede tecniche di formazione ed apprendimento efficaci.
Comunicazione. Uno degli elementi critici nelle organizzazioni complesse è la comunicazione con gli stakeholder interni o esterni. È necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva e i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso viene demandato ad altri, al DPO, o che affronta il CISO stesso, senza una specifica preparazione, o con interazioni non strutturate e non con cadenza regolare.
Elemento umano e allenamento. L’elemento umano è centrale nell’approccio alla cybersecurity, perché occorre agire su diversi soggetti: su chi può subire un attacco cyber (i dipendenti), chi deve difendere l’azienda da un attacco (Security Incident Response Team) e chi deve decidere, a livello di top management aziendale, in merito a quali investimenti introdurre per ridurre il rischio cyber e agire di fronte a un attacco cyber già avvenuto. Inoltre, gli interventi formativi indirizzati ai tre target possono essere di diverso tipo: azioni di awareness verso i dipendenti e di training / learning by doing verso i tecnici. Infine, per consentire di mettere in piedi un piano formativo strutturato e sostenibile, il CISO non deve lavorare isolato, ma deve essere “interconnesso” con il resto dell’azienda e le altre figure apicali. L’obiettivo delle iniziative di sicurezza informatica non deve quindi essere centrato solo sul testare la corretta configurazione tecnologica delle difese aziendali, ma anche sul comprendere la preparazione del team di Security Incident Response Team e, in generale, sullo stimolare la sua “memoria muscolare” (o la agilità cognitiva) in situazioni di stress, percepite come un vero e proprio attacco. In tal senso quando si parla di human element della sicurezza occorre considerare la sua importanza sia come elemento di attacco che team di difesa.
Interdisciplinarità e aggiornamento costante delle competenze. Tutte le figure professionali debbono essere coinvolte nei processi di sicurezza aziendale, la sicurezza è di e coinvolge tutti e non è solo appannaggio delle figure tecniche. Alcune azioni da introdurre per aumentare la resilienza ai rischi cyber richiedono interdisciplinarità, perché il cybercrime stesso agisce con attacchi che si basano sull’amalgama di molte discipline (ad esempio, non solo “tecnicismi cyber”, ma anche competenze in ambito di scienze comportamentali e marketing). Inoltre, non tutte le professioni evolvono così rapidamente come la sicurezza informatica. Nessuno può permettersi di rimanere indietro nella gestione della propria cybersecurity che passa, innanzitutto, dalle persone. In un’ottica di sostenibilità della cybersecurity occorre tenere allineate ed aggiornate le competenze di un gran numero di figure professionali, tutte coinvolte nella cybersecurity, proprio alla luce della interdisciplinarità citata poco prima. È un processo complesso che richiede tecniche di formazione ed apprendimento efficaci.
Comunicazione. Uno degli elementi critici nelle organizzazioni complesse è la comunicazione con gli stakeholder interni o esterni. È necessario ottimizzare la comunicazione tra i gruppi dirigenziali, i comitati consultivi, i team di leadership esecutiva e i CISO, le vittime, anche utilizzando la stampa ed i canali social. Un compito che spesso viene demandato ad altri, al DPO, o che affronta il CISO stesso, senza una specifica preparazione, o con interazioni non strutturate e non con cadenza regolare.
Enrico Frumento
Cybersecurity Domain Expert, Cefriel
Massimiliano Colombo
Business Developer, Cefriel