La cyber resilienza nella pratica: strategie di successo e best practice

La resilienza contro i cyberattacchi è fondamentale per mantenere attiva l’operatività di un’azienda in caso di attacco. Questo articolo illustra gli approcci pratici per rafforzare la cyber resilienza e riassume i passaggi e le misure più importanti in una lista di controllo.

Settembre 2024, Testo Andreas Heer           4 Min.

Le domande sulla capacità di resistenza a un cyberattacco sono quantomai frequenti: come posso garantire l’operatività dopo un attacco ransomware o in caso di attacco DDoS? Sono interessato da nuove falle nella sicurezza e forme di attacco? Quale impatto hanno? Le risposte a queste e altre domande sulla cyber resilienza di un’azienda, invece, sono un po’ più difficili da trovare. Portano a conoscere la propria cybersecurity posture, lo stato attuale di protezione.

Questo articolo illustra gli approcci pratici per rafforzare la cyber resilienza. I passaggi principali sono riassunti in una lista di controllo alla fine del testo.

La preparazione: determinare la cybersecurity posture

L’analisi dello stato attuale è fondamentale per individuare e risolvere le lacune nella propria difesa informatica. «Monitoriamo lo stato attuale delle minacce, eseguiamo costantemente analisi dei rischi e convalidiamo le nostre misure di sicurezza», Marco Wyrsch, Chief Security Officer (CSO) di Swisscom, riassume così questo passaggio.

Dietro a tutto questo c’è una serie di misure preventive che comprende tecnologie, processi e persone: ad esempio penetration test, vulnerability scanning o red teaming, per individuare le lacune nell’infrastruttura. Un ruolo importante in tal senso è svolto dalla collaborazione con persone e organizzazioni esterne all’azienda, sottolinea Marco Wyrsch: «Con il nostro programma Bug Bounty otteniamo preziose indicazioni sulle lacune delle nostre stesse offerte, mentre lo scambio di informazioni con i partner ci fornisce spunti che possiamo far confluire nella nostra cyber defence.»

Nel complesso, questo monitoraggio permanente della situazione e dell’infrastruttura fornisce una varietà di segnali. «È una vera sfida», ammette Marco Wyrsch. «Procediamo quindi in modo orientato al rischio e puntiamo su strumenti che ci aiutino a stabilire le giuste priorità.»

L’attuazione: rafforzare la cyber resilienza 

Da queste priorità derivano misure che vengono classificate e attuate secondo le fasi del Cybersecurity Framework (CSF) del NIST. «Si tratta di misure organizzative, procedurali e tecniche, ma anche di misure che riguardano il potenziale dei collaboratori», spiega Marco Wyrsch. Al centro ci sono le persone, sottolinea il CSO di Swisscom: «Vogliamo mettere i collaboratori nelle condizioni di svolgere il loro lavoro in modo sicuro. Così creiamo ancora una volta sicurezza per i collaboratori stessi e costruiamo una resilienza che non riguarda solo la tecnologia, ma arriva fino a ogni singolo collaboratore.»

Per la protezione tecnica, Marco Wyrsch punta su approcci al passo coi tempi come la Security by Design o la Defence in Depth a più livelli. «Si ricorre sempre più spesso anche ad approcci zero trust», aggiunge.

Businesses resist cyberattacks through cyber resilience. The PAC trend study explains how you can make your organisation more resilient.

«Vogliamo mettere i collaboratori nelle condizioni di svolgere il lavoro in modo sicuro. Così creiamo una resilienza che non riguarda solo la tecnologia».

Marco Wyrsch, CSO Swisscom

A più livelli sono anche gli approcci per il riconoscimento e la reazione agli incidenti, chiamati Threat Detection and Response. «In questo ambito operiamo un’ottimizzazione costante», afferma Marco Wyrsch. «Da un lato, per essere sempre al passo con la tecnologia e con lo stato attuale delle minacce. Dall’altro, per poter offrire ai collaboratori addetti alla cybersicurezza un ambiente di lavoro interessante, in cui devono occuparsi il meno possibile di incidenti banali.» Il trattamento di tali incidenti viene ove possibile automatizzato e quanto meno pre-smistato ed elaborato mediante Machine Learning o intelligenza artificiale generativa.

La ricetta del successo: collaborazione tra i settori 

Come le misure di cybersicurezza vengono attuate a diversi livelli, anche la loro implementazione e il loro ulteriore sviluppo si svolgono in diversi settori aziendali e informatici. Questa collaborazione intersettoriale è necessaria affinché la cultura della sicurezza venga vissuta in tutta l’azienda, sottolinea Marco Wyrsch: «La collaborazione è fondamentale per il successo delle misure di sicurezza e per la creazione di un’organizzazione resiliente. Senza le persone che quotidianamente attuano, sviluppano e gestiscono le misure adeguate, la scalabilità necessaria non sarebbe possibile.» 

A causa del numero crescente di normative, la cybersicurezza sta diventando sempre più importante anche dal punto di vista della compliance e quindi da una prospettiva legale. Marco Wyrsch descrive così il ruolo: «Spesso la Security funge da ponte tra le unità operative come l’IT e i diversi settori giuridici per soddisfare i requisiti di compliance, stabilendo una  cyberdifesa efficace e resiliente con misure basate sul rischio.»  

Il fattore umano svolge un ruolo non solo come «first line of defence», ma anche come fattore di rafforzamento della cyber resilienza. «Grazie alla stretta collaborazione possiamo garantire che la nostra strategia informatica sia completa e ancorata a tutti i livelli dell’azienda», afferma Marco Wyrsch. Ciò include il coinvolgimento del management, che definisce le priorità in materia di sicurezza.

Il banco di prova: verifica delle misure 

Ma anche le misure migliori non servono a nulla se non vengono regolarmente testate e adattate ove necessario. I cyberattacchi reali fungono anche da banco di prova, afferma Marco Wyrsch: «I nostri piani di Incident Response vengono così impiegati ripetutamente, e in questo modo sono sia messi in pratica che testati.»

Questo vale almeno per le forme più comuni di attacchi, come ransomware, phishing o DDoS. Tuttavia, le imprese devono essere pronte ad affrontare anche gli scenari meno frequenti. «Le testiamo, ad esempio, nell’ambito di Red Teaming, o con altri metodi come i Tabletop Exercises», spiega Marco Wyrsch. «Tuttavia, gli scenari più rari rappresentano una sfida a essere sempre pronti e avere sempre pronti i piani in una versione relativamente aggiornata.»  

Gli ostacoli: lacune nella cyber resilienza 

Verificare e adeguare ripetutamente le misure è fondamentale per una cyber resilienza efficace. Perché il dinamismo da parte degli hacker è elevato. I criminali informatici sono ingegnosi quando si tratta di sviluppare nuove forme di attacco e scardinare le misure di protezione esistenti. A ciò si aggiungono nuove lacune, a cui la cyberdifesa deve rispondere. Inoltre, con l’aumento dell’uso di servizi cloud e SaaS cresce la complessità, e con essa il rischio di errori di configurazione.

Essere sempre preparati non è un compito facile, come afferma Marco Wyrsch: «Mettere a disposizione risorse finanziarie e umane sufficienti per implementare e mantenere tutte le misure di sicurezza necessarie è spesso una sfida.» E poiché anche la protezione migliore può essere compromessa da un comportamento umano sbagliato, anche la Security Awareness è un tema costante. «Dobbiamo promuovere l’argomento costantemente e aiutare attivamente i collaboratori a svolgere il loro lavoro in modo sicuro», commenta Marco Wyrsch. 

Preservare la cyber resilienza è un compito continuo. Marco Wyrsch riassume la ricetta come segue: «Ci evolviamo continuamente, mettiamo in discussione la situazione esistente e cerchiamo di adattare il più possibile le nostre risorse alle minacce, in modo da rendere l’azienda resiliente agli cyberattacchi.»

Lista di controllo: aumentare la cyber resilienza 

1. Definire la cybersecurity posture attuale

Un Security Assessment aiuta a valutare e verificare le misure esistenti.
L’analisi delle misure di sicurezza del cloud esamina gli ambienti (public) cloud in cerca di lacune.
I Vulnerability Assessment individuano lacune e punti deboli negli ambienti cloud e locali. Gli approcci sono: Penetration Testing, Red Teaming, Tabletop Exercises (TTX).
Un’analisi degli incidenti di sicurezza precedenti rivela dove si nascondono minacce e rischi.

2. Confrontare le prestazioni della cybersicurezza con gli standard industriali

Un benchmark con standard industriali e best practice aiuta a valutare l’efficacia delle misure:
NIST Cybersecurity Framework (CSF)
ISO 27001 (Linee guida per la sicurezza delle informazioni), 27032 (Linee guida per la sicurezza informatica)
CIS Controls (best practice per la cibersicurezza)
Mitre ATT&CK Framework
Direttiva NIS 2, se pertinente

3. Coinvolgere diversi stakeholder

Individuare le esigenze nelle divisioni operative e presso i reparti come IT, Diritto, Compliance e HR.
Chiedere ai collaboratori in merito alla loro comprensione delle disposizioni di sicurezza e sviluppare misure di Security Awareness.
Integrare misure di cybersicurezza come l’Incident Response nel Business Continuity Management e nella gestione dei rischi.
Pianificazione basata sul rischio delle risorse umane e finanziarie e delle misure di cibersicurezza.

4. Effettuare una valutazione del rischio dei fornitori terzi (supply chain)

Valutazione e audit delle misure di sicurezza e dei rischi dei fornitori.
Se possibile, monitoraggio dei rischi per la sicurezza nella supply chain.

5. Documentare e analizzare le conoscenze acquisite

Riepilogare in un report i risultati delle valutazioni, i benchmark e le esigenze degli stakeholder.
Individuare le lacune e le possibilità di miglioramento nella Cybersecurity Posture.

6. Sviluppare una strategia per la protezione di base

Sulla base dei risultati acquisiti di cui al punto 5, sviluppare una strategia di cybersicurezza che copra le esigenze e le aspettative di base.
Allineare la strategia con i requisiti normativi, gli standard industriali e gli obiettivi aziendali.
Dare priorità ai rischi e alle possibilità di miglioramento.

7. Adottare misure per migliorare la resilienza informatica

Migliorare la protezione dalle minacce con misure quali Threat Intelligence e Threat Detection and Response (TDR).
Monitoraggio continuo di configurazioni e infrastrutture cloud con approcci CNAPP come Cloud Security Posture Management (CSPM) e Cloud Workload Protection (CWP).
Training di Security Awareness per i collaboratori.
Definire ruoli e responsabilità del team di cibersicurezza.
Garantire la conformità alle disposizioni normative e legali come LPD, ordinanze FINMA, RGPD o NIS-2.

Ulteriori informazioni