La resilienza contro i cyberattacchi è fondamentale per mantenere attiva l’operatività di un’azienda in caso di attacco. Questo articolo illustra gli approcci pratici per rafforzare la cyber resilienza e riassume i passaggi e le misure più importanti in una lista di controllo.
Settembre 2024, Testo Andreas Heer 4 Min.
Le domande sulla capacità di resistenza a un cyberattacco sono quantomai frequenti: come posso garantire l’operatività dopo un attacco ransomware o in caso di attacco DDoS? Sono interessato da nuove falle nella sicurezza e forme di attacco? Quale impatto hanno? Le risposte a queste e altre domande sulla cyber resilienza di un’azienda, invece, sono un po’ più difficili da trovare. Portano a conoscere la propria cybersecurity posture, lo stato attuale di protezione.
Questo articolo illustra gli approcci pratici per rafforzare la cyber resilienza. I passaggi principali sono riassunti in una lista di controllo alla fine del testo.
L’analisi dello stato attuale è fondamentale per individuare e risolvere le lacune nella propria difesa informatica. «Monitoriamo lo stato attuale delle minacce, eseguiamo costantemente analisi dei rischi e convalidiamo le nostre misure di sicurezza», Marco Wyrsch, Chief Security Officer (CSO) di Swisscom, riassume così questo passaggio.
Dietro a tutto questo c’è una serie di misure preventive che comprende tecnologie, processi e persone: ad esempio penetration test, vulnerability scanning o red teaming, per individuare le lacune nell’infrastruttura. Un ruolo importante in tal senso è svolto dalla collaborazione con persone e organizzazioni esterne all’azienda, sottolinea Marco Wyrsch: «Con il nostro programma Bug Bounty otteniamo preziose indicazioni sulle lacune delle nostre stesse offerte, mentre lo scambio di informazioni con i partner ci fornisce spunti che possiamo far confluire nella nostra cyber defence.»
Nel complesso, questo monitoraggio permanente della situazione e dell’infrastruttura fornisce una varietà di segnali. «È una vera sfida», ammette Marco Wyrsch. «Procediamo quindi in modo orientato al rischio e puntiamo su strumenti che ci aiutino a stabilire le giuste priorità.»
Da queste priorità derivano misure che vengono classificate e attuate secondo le fasi del Cybersecurity Framework (CSF) del NIST. «Si tratta di misure organizzative, procedurali e tecniche, ma anche di misure che riguardano il potenziale dei collaboratori», spiega Marco Wyrsch. Al centro ci sono le persone, sottolinea il CSO di Swisscom: «Vogliamo mettere i collaboratori nelle condizioni di svolgere il loro lavoro in modo sicuro. Così creiamo ancora una volta sicurezza per i collaboratori stessi e costruiamo una resilienza che non riguarda solo la tecnologia, ma arriva fino a ogni singolo collaboratore.»
Per la protezione tecnica, Marco Wyrsch punta su approcci al passo coi tempi come la Security by Design o la Defence in Depth a più livelli. «Si ricorre sempre più spesso anche ad approcci zero trust», aggiunge.
A più livelli sono anche gli approcci per il riconoscimento e la reazione agli incidenti, chiamati Threat Detection and Response. «In questo ambito operiamo un’ottimizzazione costante», afferma Marco Wyrsch. «Da un lato, per essere sempre al passo con la tecnologia e con lo stato attuale delle minacce. Dall’altro, per poter offrire ai collaboratori addetti alla cybersicurezza un ambiente di lavoro interessante, in cui devono occuparsi il meno possibile di incidenti banali.» Il trattamento di tali incidenti viene ove possibile automatizzato e quanto meno pre-smistato ed elaborato mediante Machine Learning o intelligenza artificiale generativa.
Come le misure di cybersicurezza vengono attuate a diversi livelli, anche la loro implementazione e il loro ulteriore sviluppo si svolgono in diversi settori aziendali e informatici. Questa collaborazione intersettoriale è necessaria affinché la cultura della sicurezza venga vissuta in tutta l’azienda, sottolinea Marco Wyrsch: «La collaborazione è fondamentale per il successo delle misure di sicurezza e per la creazione di un’organizzazione resiliente. Senza le persone che quotidianamente attuano, sviluppano e gestiscono le misure adeguate, la scalabilità necessaria non sarebbe possibile.»
A causa del numero crescente di normative, la cybersicurezza sta diventando sempre più importante anche dal punto di vista della compliance e quindi da una prospettiva legale. Marco Wyrsch descrive così il ruolo: «Spesso la Security funge da ponte tra le unità operative come l’IT e i diversi settori giuridici per soddisfare i requisiti di compliance, stabilendo una cyberdifesa efficace e resiliente con misure basate sul rischio.»
Il fattore umano svolge un ruolo non solo come «first line of defence», ma anche come fattore di rafforzamento della cyber resilienza. «Grazie alla stretta collaborazione possiamo garantire che la nostra strategia informatica sia completa e ancorata a tutti i livelli dell’azienda», afferma Marco Wyrsch. Ciò include il coinvolgimento del management, che definisce le priorità in materia di sicurezza.
Ma anche le misure migliori non servono a nulla se non vengono regolarmente testate e adattate ove necessario. I cyberattacchi reali fungono anche da banco di prova, afferma Marco Wyrsch: «I nostri piani di Incident Response vengono così impiegati ripetutamente, e in questo modo sono sia messi in pratica che testati.»
Questo vale almeno per le forme più comuni di attacchi, come ransomware, phishing o DDoS. Tuttavia, le imprese devono essere pronte ad affrontare anche gli scenari meno frequenti. «Le testiamo, ad esempio, nell’ambito di Red Teaming, o con altri metodi come i Tabletop Exercises», spiega Marco Wyrsch. «Tuttavia, gli scenari più rari rappresentano una sfida a essere sempre pronti e avere sempre pronti i piani in una versione relativamente aggiornata.»
Verificare e adeguare ripetutamente le misure è fondamentale per una cyber resilienza efficace. Perché il dinamismo da parte degli hacker è elevato. I criminali informatici sono ingegnosi quando si tratta di sviluppare nuove forme di attacco e scardinare le misure di protezione esistenti. A ciò si aggiungono nuove lacune, a cui la cyberdifesa deve rispondere. Inoltre, con l’aumento dell’uso di servizi cloud e SaaS cresce la complessità, e con essa il rischio di errori di configurazione.
Essere sempre preparati non è un compito facile, come afferma Marco Wyrsch: «Mettere a disposizione risorse finanziarie e umane sufficienti per implementare e mantenere tutte le misure di sicurezza necessarie è spesso una sfida.» E poiché anche la protezione migliore può essere compromessa da un comportamento umano sbagliato, anche la Security Awareness è un tema costante. «Dobbiamo promuovere l’argomento costantemente e aiutare attivamente i collaboratori a svolgere il loro lavoro in modo sicuro», commenta Marco Wyrsch.
Preservare la cyber resilienza è un compito continuo. Marco Wyrsch riassume la ricetta come segue: «Ci evolviamo continuamente, mettiamo in discussione la situazione esistente e cerchiamo di adattare il più possibile le nostre risorse alle minacce, in modo da rendere l’azienda resiliente agli cyberattacchi.»