Un nuovo approccio alla cybersecurity per un mondo interconnesso

Un nuovo approccio alla cybersecurity per un mondo interconnesso

25 Maggio 2018 0 Di Yuri Poletto

All’aumentare della pericolosita’ delle minacce informatiche, l’approccio tradizionale alla gestione dei cyber risk non funziona piu’.

Fino a poco tempo fa, le istituzioni finanziarie e i governi erano i bersagli principali degli attacchi cyber. Oggigiorno, con internet che diventa sempre piu’ parte integrate del business di organizzazioni di ogni tipo e dimensione, la minaccia e’ diventata universale. Consideriamo il caos causato da tre eventi recenti. Dal 2011 al 2014, le principali società energetiche in Canada, Europa e Stati Uniti sono state attaccate dal gruppo di cyber spionaggio Dragonfly. Nel maggio 2017, il ransomware WannaCry ha tenuto in ostaggio organizzazioni pubbliche e private nel settore delle telecomunicazioni, della sanità e della logistica. Anche nel 2017, il ransomware NotPetya ha attaccato le principali aziende europee in un’ampia varietà di settori. E nel 2018, Meltdown e Spectre si sono rivelati probabilmente le più grandi minacce informatiche di sempre, dimostrando che le vulnerabilità non riguardano solo il software ma anche l’hardware.

Non c’è da stupirsi, quindi, se i risk managers ora considerino il cyber risk la più grande minaccia che si trovano ad affrontare. Secondo un recente sondaggio condotto da McKinsey, il 75% degli esperti considera la sicurezza informatica come una priorità assoluta. Questo è vero anche per settori come quello bancario e automobilistico, che si potrebbe pensare che in questo momento siano maggiormente preoccupati per altri rischi tipici del loro business emersi in tempi recenti.

Ma con l’aumentare della consapevolezza, cresce anche la confusione. Gli executives aziendali sono sopraffatti dalla sfida posta dai cyber risk. In base al sondaggio di McKinsey solo il 16% di loro afferma che le proprie aziende sono ben preparate per affrontare i rischi informatici. La minaccia e’ destinata a peggiorare, in quanto la crescita nella maggior parte delle industrie dipende dalle nuove tecnologie, come l’intelligenza artificiale, gli advanced analytics e l’Internet of Things (IoT), che porteranno nuovi benefici ma esporranno le aziende e i loro clienti a nuovi rischi cyber.

Quindi cosa dovrebbero fare gli executives? Mantenere la calma e ignorare il problema? Questa non è un’opzione evidentemente. In base alla sua esperienza di lavoro con le principali aziende multinazionali e con i piu’ grandi esperti di cyber security, McKinsey ha visto applicare un nuovo approccio che può proteggere le aziende dal cyber risk senza imporre restrizioni eccessive alle loro attività.

L’esperienza di una compagnia di assicurazioni operante a livello internazionale da’ un’idea del potenziale di questo nuovo approccio. Questa compagnia aveva stanziato 70 milioni di dollari per un programma cybersecurity. A distanza di un anno dall’avvio del progetto, solo una minima parte delle misure pianificate era stata implementata. Le business unit aziendali hanno messo sotto pressione il dipartimento IT per dare la priorità alle implementazioni IT che per loro erano piu’ urgenti, come una campagna di vendita e alcuni nuovi report, a scapito delle misure di sicurezza, come la crittografia delle e-mail e l’autenticazione a più fattori. Le business unit hanno inoltre contestato le restrizioni derivanti dalle misure di sicurezza informatica, come gli sforzi supplementari che sono stati introdotti nella prevenzione della perdita di dati e le limitazioni sull’utilizzo di fornitori esterni in aree critiche.

Per riportare in pista il suo programma di sicurezza informatica, la società ha fatto un passo indietro, identificando innanzitutto i suoi più preziosi “gioielli della corona”. Inoltre ha istituito un nuovo modello di governance per la sicurezza informatica che ha autorizzato il team centrale a supervisionare tutti gli sforzi di cybersecurity all’interno dell’azienda. Poiché i responsabili delle business unit sono stati coinvolti nell’analisi, hanno accolto favorevolmente le iniziative richieste. Non solo il programma ha accelerato l’implementazione, ma ha anche portato a notevoli risparmi sui costi del piano originale.

 

Far girare le ruote

Ecco alcuni dei principali problemi e le trappole piu’ insidiose che le aziende si trovano ad affrontare.

L’aumento della complessita’ rende le aziende piu’ vulnerabili

Mentre gli hacker stanno affinando le loro competenze, le aziende diventano sempre piu’ digitali, e questo le rende più vulnerabili agli attacchi informatici. I principali asset aziendali, dai nuovi progetti di prodotto alle reti di distribuzione ai dati dei clienti sono ora a rischio. Le catene del valore digitale stanno diventando sempre più complesse, utilizzando la semplicità di una connessione digitale per legare migliaia di persone, innumerevoli applicazioni e una miriade di server, workstation e altri dispositivi.

Le aziende potrebbero avere un firewall all’avanguardia e l’ultimo software per il rilevamento dei malware. E potrebbero avere procedure di sicurezza ottimizzate e processi di risposta agli incidenti. Ma che dire dei fornitori esterni, che potrebbero essere l’anello più debole della loro catena del valore? O delle agenzie creative e di design, che hanno accesso alla proprietà intellettuale dell’azienda (IP)? Potrebbero aver firmato un accordo di non divulgazione, ma le aziende possono essere certe che la sicurezza informatica dei loro fornitori è all’altezza? Il punto d’ingresso per gli hackers può essere banale come una fotocamera con collegamento Wi-Fi utilizzata per scattare foto ad un evento aziendale. Alcuni casi recenti di furto di proprietà intellettuale hanno riguardato servizi di post-produzione di terzi con standard di sicurezza informatica inferiori rispetto a quelli dei committenti.

Milioni di entry point da difendere

In passato, il cyberrisk ha colpito principalmente i computer e server aziendali. Ma man mano che l’IoT cresce, e sempre più aziende collegano i loro sistemi di produzione a Internet, il numero di dispositivi vulnerabili e con essi i rischi aumentano  drammaticamente. In passato, una grande rete aziendale poteva avere tra 50.000 e 500.000 endpoint; con l’IoT, il sistema si espande a milioni o decine di milioni di endpoint. Sfortunatamente, molti di questi sono vecchi dispositivi con sicurezza inadeguata o nessuna sicurezza, e alcuni non sono nemmeno piu’ aggiornabili. Entro il 2020, l’IoT può comprendere fino a 30 miliardi di dispositivi, molti dei quali al di fuori del controllo aziendale. Le automobili intelligenti, le case intelligenti e gli abiti intelligenti sono vulnerabili a malware in grado di rendere possibili attacchi DDoS. Entro il 2020, il 46% di tutte le connessioni Internet sarà machine-to-machine, senza operatori umani, e questo numero continuerà a crescere. E, ovviamente, miliardi di chip hanno dimostrato di essere vulnerabili agli attacchi Meltdown e Spectre, punti deboli che devono essere affrontati.

Le principali trappole da evitare

La sicurezza informatica aziendale sta lottando per stare al passo con il ritmo incalzante del cambiamento nel cybercrisk. McKinsey ha individuato i seguenti tre problemi ricorrenti:

  • Delegare il problema all’IT.
    Molti top manager trattano il cyberrisk come un problema tecnico, e lo delegano al reparto IT. Questa è una reazione naturale, dato che la sicurezza informatica presenta molti aspetti di tipo tecnico. Ma difendere un’azienda è diverso da proteggerne i server. La difesa di un’azienda richiede una conoscenza approfondita dei valori a rischio, che deriva dalla conoscenza delle priorità di business, del modello di business e della catena del valore, e della cultura, ruoli, responsabilità e governance aziendali. L’IT da solo non può evidentemente farsene carico.
  • Sprecare risorse.
    Altre aziende investono ingenti risorse reclutando hackers white hat di alto profilo, pensando in questo modo di far sparire la minaccia. Ma anche i migliori hacker non hanno la possibilità di anticipare e respingere decine di migliaia di attacchi su milioni di dispositivi in una rete complessa.
  • Trattare la questione come un problema di compliance.
    Alcune aziende introducono nuovi protocolli di sicurezza informatica e checklist un giorno sì e uno no. Ma questi sforzi spesso causano un’indebita attenzione alla compliance formale piuttosto che alla reale capacità resilienza. Anche quando tutte le caselle nella checklist del CISO sono spuntate, la compagnia potrebbe non essere meno vulnerabile agli attacchi informatici di prima.

 

Un nuovo approccio

McKinsey ha osservato che alcuni dei migliori team di cybersecurity all’interno delle principali organizzazioni operanti a livello globale adottano i seguenti principi:

  • Il cyberrisk deve essere trattato come un problema di risk management, non un problema IT
    Il cybercrisk è molto simile a qualsiasi altro rischio aziendale complesso, critico, e non finanziario. Gli elementi chiave della sua gestione comprendono la definizione delle priorità, la determinazione della propensione al rischio di un’azienda (la sua disponibilità ad accettare alcuni rischi) e la definizione di iniziative per ridurre al minimo i rischi. Inoltre, le aziende devono mettere in atto una struttura organizzativa e un approccio di governance che portino trasparenza e consentano la gestione dei rischi in tempo reale.
  • Le aziende devono affrontare il cybercrisk in un contesto aziendale
    Gli esperti tecnici non possono risolvere il problema senza comprendere i requisiti commerciali e organizzativi sottostanti. Le aziende tendono a investire eccessivamente in gadget tecnici e a ridurre gli investimenti in attivita’ di sempificazione e nella copertura coerente dell’intera catena del valore, come la gestione del rischio dei fornitori. Il risultato è un sistema inefficiente.
  • Le aziende devono cercare di mitigare il cybercrisk su più livelli
    Dati, infrastrutture, applicazioni e persone sono esposti a diversi tipi e livelli di minacce. Creare un registro completo di tutte queste risorse è noioso e richiede molto tempo. Le aziende dovrebbero sfruttare strumenti automatizzati per catalogare le proprie risorse, per meglio focalizzarsi su quelle a maggior rischio.
  • L’adattamento è essenziale
    Prima o poi, ogni organizzazione sarà colpita da un attacco informatico. L’organizzazione, i processi, l’IT, l’OT e i prodotti dell’azienda devono essere rivisti e adattati man mano che le minacce informatiche si evolvono. In particolare, le aziende devono mettere a punto strutture e processi di business continuity e di crisis-management per far fronte ai cambiamenti nel livello delle minacce.
  • ll cyberrisk richiede una governance completa e collaborativa
    Tradizionalmente, molte aziende distinguono tra sicurezza fisica e sicurezza delle informazioni, tra IT e OT, tra gestione della continuità aziendale e protezione dei dati, e tra sicurezza interna ed esterna. Nell’era digitale, queste divisioni sono obsolete. La frammentazione delle responsabilità può mettere a rischio l’intera organizzazione. Per ridurre le ridondanze, accelerare le risposte e aumentare la resilienza complessiva, le aziende devono rivolgersi a tutte le componenti aziendali interessate dalle minacce informatiche, vale a dire tutte le business units, nonché i fornitori e i clienti. Mentre può essere difficile, se non impossibile, proteggere un’azienda contro gli attacchi più avanzati, la governance sistematica è la migliore assicurazione contro la maggior parte degli attacchi quotidiani.

Le aziende che adottano questi principi tendono ad essere piu’ resilienti agli attacchi rispetto alle altre. La simulazione di scenari di attacco contribuisce ad aumentare la consapevolezza del cyberrisk e ad infondere un senso di urgenza, concentrandosi sul mindset dei potenziali attaccanti e sul concetto di anello più debole nella catena di difesa. Attraverso adeguati programmi di formazione, questo tipo di pensiero viene distribuito a tutta l’azienda, assicurandosi che le competenze vengano passate da esperto a esperto.

Questo nuovo approccio fa anche un uso migliore delle risorse e dei fondi per la sicurezza informatica. Il semplice riorientamento degli investimenti in attività veramente cruciali può far risparmiare fino al 20% dei costi di sicurezza informatica. Nell’esperienza di McKinsey, fino al 50 percento dei sistemi di un’azienda non sono critici dal punto di vista della sicurezza informatica. McKinsey ha anche notato che il costo di implementazione di una determinata soluzione di sicurezza può variare di cinque volte rispetto a società simili, il che suggerisce che molte aziende stanno rinunciando a considerevoli opportunita’ di efficientamento.

Altri vantaggi includono una riduzione delle interruzioni delle operazioni aziendali, che spesso le iniziative di cybersecurity comportano. Inoltre, coinvolgendo gli imprenditori fin dall’inizio, le aziende possono accelerare significativamente la progettazione e l’implementazione della loro architettura di cybersecurity.

 

Costruire la resilienza un passo alla volta

Le strategie di cybersecurity successo sono costruite un passo alla volta, basandosi su una comprensione completa dei processi aziendali rilevanti e sul mindset dei potenziali aggressori. Tre passaggi sono particolarmente cruciali: dare un ordine di priorita’ alle risorse e ai rischi, migliorare i controlli e i processi, e creare una governance efficace.

Dare una priorita’ ai rischi e agli asset.
Le aziende possono iniziare facendo il punto sulle loro capacità di affrontare i cyber risk e confrontandole con i benchmark del settore. Con questa conoscenza, possono impostare obiettivi realistici per il loro livello di resilienza. Le visioni generiche di diventare i campioni mondiali di cybersecurity di solito non sono produttive. Piuttosto, l’aspirazione dovrebbe essere adattata all’industria e all’attuale livello delle minacce specifiche.

Quasi tutte le aziende sono esposte ad attacchi automatici e, indirettamente, ad attacchi a livello di settore. Oltre a queste minacce non specificate, la rilevanza di altre categorie di attacco differisce in modo significativo a seconda del settore e delle dimensioni e della struttura dell’azienda. Prima di investire nei sistemi di cybersecurity, gli executives aziendali dovrebbero cercare di chiarire i rischi più rilevanti.

 

Passando agli asset, le aziende devono sapere cosa proteggere. Strumenti automatizzati possono aiutare i responsabili a inventariare tutti gli asset connessi alla rete aziendale (cioè IT, OT e IoT). Con un po ‘di lavoro extra, possono persino catalogare tutte le persone che hanno accesso alla rete, indipendentemente dal fatto che si trovino sul libro paga dell’azienda o lavorino per un fornitore, un cliente o un fornitore di servizi. L’inventario delle risorse e il registro delle persone possono essere studiati per aiutare le aziende a stabilire le priorità delle loro iniziative di sicurezza e la loro risposta agli attacchi e alla loro capacita’ di riprendere l’attivita’ dopo l’attacco.

Stabilire controlli differenziati e rendere piu’ efficienti i processi
L’implementazione di controlli indifferenziati su tutti gli asset è un fattore chiave alla base degli sprechi di risorse e della perdita di produttività. Non tutti gli asset aziendali richiedono gli stessi controlli. Più l’asset è critico, più forte dovrebbe essere il controllo. Esempi di controlli forti includono l’autenticazione a due fattori e il controllo in background dei dipendenti che hanno accesso a risorse critiche.
Allo stesso modo, i processi possono essere resi più efficienti. La tradizionale attenzione posta al rispetto della conformità ai protocolli di sicurezza e alla compilazione di checklist non è più adatta al nuovo panorama delle minacce informatiche, se mai lo fosse stata. Le aziende devono adottare un nuovo approccio alla gestione dei rischi, adeguato all’era digitale nella quale viviamo, per far fronte al numero sempre crescente di minacce. E in un mondo in cui scarseggiano i talenti digitali e ancora di piu’ le capabilities di cybersecurity, le aziende dovrebbero creare una rete di partner per colmare le loro lacune interne. Dovrebbero inoltre rivedere la propria strategia di gestione dei partner, controllando quali processi possono essere esternalizzati e quali dovrebbero essere gestiti internamente per proteggere la proprietà intellettuale o per evitare rischi elevati.

Consolidare l’organizzazione e stabilire una governance a livello aziendale
La maggior parte delle attuali strutture organizzative di sicurezza sono ancora guidate dai pericoli di tipo analogico. Le strutture e i processi decisionali risultanti sono inadeguati per gestire i cyberrisk. Una funzione di sicurezza informatica all’avanguardia dovrebbe colmare le divisioni storiche di responsabilità tra sicurezza fisica, sicurezza delle informazioni, business continuity e crisis management, per ridurre al minimo i conflitti di interesse e la duplicazione dei processi.
Per essere efficace, l’organizzazione di sicurezza ha bisogno di una struttura di governance a livello aziendale, costruita su una forte cultura incentrata sui cyberrisk. La governance di IT, OT, IoT e dei prodotti dovrebbe essere consolidata in un unico modello operativo che copra l’intero sistema aziendale, comprese le terze parti. L’unità di cybersecurity dovrebbe essere responsabile della sicurezza informatica a livello aziendale e:

  • essere guidata da un CSO esperto e di alto livello con una linea di riporto diretta al consiglio di amministrazione
  • gestire il budget complessivo del cybersecurity
  • essere responsabile dell’attuazione di un portafoglio di iniziative
  • riferire regolarmente sullo stato di avanzamento della bonifica dei rischi al consiglio di amministrazione e alle altre parti interessate (questo compito
  • potrebbe essere svolto dal responsabile dei rischi (CRO))
  • mantenere il diritto di veto su tutte le decisioni relative al cyberrisk, come l’outsourcing, la selezione dei fornitori e le eccezioni ai controlli di sicurezza
  • costruire campagne di sensibilizzazione e programmi di formazione, e aggiornarle regolarmente per coprire le minacce più recenti (questo compito potrebbe essere svolto dal CRO)
  • stabilire strutture di comunicazione e incentivi chiari ed efficaci per l’applicazione dei controlli di sicurezza informatica
  • organizzare simulazioni di attacco e crisi frequenti e realistiche all’interno dell’organizzazione, coinvolgendo i partner e altri attori del settore
  • istituire canali di comunicazione efficienti con le forze dell’ordine e le autorità di regolamentazione

 

(Post ispirato ad un articolo di McKinsey, consultabile qui)

 


Iscriviti alla nostra newsletter

Condividi il post