Imprese più forti nella difesa contro i cyberattacchi
Che cos’è la cyber resilienza?
Oggi le infrastrutture complesse e ibride sono la normalità. È allora imperativo adottare un piano di sicurezza informatica capace di rafforzare le difese aziendali contro i cyberattacchi. Ma cos’è effettivamente la cyber resilienza? E le imprese come possono acquisirla?
Text: Andreas Heer, Pictures: Swisscom
15 maggio 2023
Fino a non molto tempo fa, l’obiettivo fondamentale della sicurezza informatica era quello di proteggere da eventuali attacchi informatici l’infrastruttura locale, quindi entro un determinato perimetro. L’evoluzione tecnologica ma anche gli sviluppi sociali quali il cloud o il telelavoro hanno eliminato questi confini. Con gli ambienti ibridi e i dispositivi IoT la complessità cresce e si estende la superficie esposta a possibili attacchi di cybercrime, non da ultimo come effetto di configurazioni errate o lacune nella sicurezza. Si è dunque esposti a rischi maggiori, come anche confermato dallo Swisscom Cyber Security Threat Radar. Anche il numero di cyberattacchi continua ad aumentare, in particolare tramite ransomware. In determinati settori ci si deve confrontare anche con azioni di spionaggio e sabotaggio informatico.
A fronte di tutti questi cambiamenti, il concetto di sicurezza informatica ha subito una trasformazione radicale. Lo scenario predominante ora è «assume breach». E una volta andato a segno l’attacco, l’azienda deve adottare un’altra strategia di difesa. I sistemi aziendali più critici richiedono delle capacità di difesa che permettano di tenere in piedi il business anche in caso di cyberattacco. La resilienza informatica (cyber resilience) è un concetto che riunisce le misure di gestione dei rischi e di sicurezza informatica.
«La cyber resilienza comprende tutte le fasi del framework NIST», afferma Duilio Hochstrasser, specialista in cybersecurity di Swisscom. «Non si tratta solo di provvedimenti tecnici: è una questione che deve interessare l’intera organizzazione e permeare la cultura aziendale». Forse tutto questo vi ricorda qualcosa: la cyber resilienza non è un nuovo modo di intendere la sicurezza informatica, quanto piuttosto un approccio strategico e mirato, basato sulle condizioni e best practice attualmente valide. Il concetto di cyber resilienza si è imposto in seguito alla crescente complessità dei sistemi e ai conseguenti rischi e minacce, che hanno amplificato ulteriormente l’importanza di adottare un approccio di questo tipo.
Come rafforzare la resilienza informatica di un’impresa
Le possibilità di potenziare la cyber resilienza di un’impresa dipendono dalle esigenze delle sue attività produttive. «Le imprese devono prima di tutto individuare i processi e i sistemi che devono potere continuare a funzionare anche dopo un cyberattacco», continua Duilio Hochstrasser. «Stabilito ciò, si desumono le misure di sicurezza del caso.» Questo corrisponde alla prima fase del framework NIST («Identify»).
Tali riflessioni devono coinvolgere anche la gestione dei rischi: come posso ridurre i rischi? Quali sono le misure tecniche e organizzative da includere nel Business Continuity Plan (BCP) per garantire la continuità operativa? Quali alternative esistono quando vengono a mancare le infrastrutture più critiche per le operazioni di business dell’azienda?
«La sicurezza è diventata uno dei principali argomenti di vendita per le applicazioni.»
Duilio Hochstrasser
Su questi presupposti è possibile definire le misure di protezione necessarie. La security è un aspetto sempre più centrale del Lifecycle Management: «Security by Design» indica le misure che possono essere adottate già in un primo stadio dello sviluppo o dell’acquisizione del software. «Shift Left» e DevSecOps indicano approcci che includono gli aspetti di security già nelle prime fasi dello sviluppo del software.
Al più tardi da quando esiste «log4shell» l’attenzione nell’acquisizione del software si è spostata sulla catena di fornitura. Per ridurre il rischio di attacchi sulla supply chain, occorre trasparenza sulle biblioteche impiegate, fa notare Duilio Hochstrasser: «Le aziende richiedono più trasparenza dai fornitori. La sicurezza è diventata uno dei principali argomenti di vendita per le applicazioni». Sapere se il proprio software è oggetto di una falla di sicurezza appena scoperta in una biblioteca, aiuta enormemente a stabilire le misure di protezione necessarie.
La consapevolezza sulla sicurezza aiuta la cyber resilienza
Mentre i provvedimenti tecnici permettono soprattutto di limitare la portata dell’attacco o di attivare una reazione rapida e mirata attraverso la trasparenza, sono i collaboratori stessi a poter sventare i cyberattacchi. Questo vale in particolare per gli attacchi perpetrati con mail di phishing. I collaboratori sensibilizzati tendono a cadere meno nella trappola. «La comunicazione e una formazione regolare, mirata a generare maggiore consapevolezza, sono essenziali per aumentare il grado di resilienza», osserva Duilio Hochstrasser.
Una formazione specifica sul phishing ovviamente non basta. I collaboratori devono sapere a chi potere segnalare i casi più rilevanti per la sicurezza. Questo impone una comunicazione adeguata. E una cultura aziendale che insiste sulla Security. Questo non vale solo per il riconoscimento di mail di phishing, ma anche per le corrette modalità di gestire i dati.
In particolare occorre sapere come gestire informazioni sensibili in archivi sul cloud come SharePoint. Per esempio, può essere utile effettuare una classificazione dei documenti per codificare automaticamente le informazioni riservate e limitarne l’accesso. La gestione corretta delle informazioni da parte dei collaboratori contribuisce ad evitare l’esfiltrazione di dati riservati.
L’adozione di misure tecniche di protezione, una gestione dei rischi adeguata alle esigenze dell’azienda e collaboratori attenti sono gli ingredienti per un’efficace resilienza informatica. Ripetiamo: non è niente di rivoluzionario, semplicemente un proseguimento logico e strategico della cybersecurity, ma che aiuta a incrementare il grado di efficacia delle difese dagli attacchi informatici.