Dieci principi per la cybersicurezza in azienda

La maggior parte delle imprese presta ancora troppo poca attenzione alla sicurezza delle informazioni. Eppure, le sfide in materia di sicurezza aziendale stanno aumentando, non solo a causa del numero, della rilevanza e del livello di sofisticazione dei malintenzionati, ma anche in conseguenza della digitalizzazione dell'economia e degli attuali (positivi) sforzi di trasformazione digitale di molte aziende. L'esplosione della cosiddetta consumerizzazione della tecnologia e la crescita dell'internet delle cose (IoT) hanno portato a una proliferazione di dispositivi connessi che, insieme ai social media e ai volumi di transazioni di e-commerce generati «ovunque e in qualsiasi momento», hanno aumentato radicalmente la quantità di dati quotidianamente a rischio e i punti di vulnerabilità. Le minacce provengono da tutte le direzioni, dagli attacchi del tipo denial of service da parte degli hacktivisti, agli attacchi mirati di ransomware per sottrarre denaro, alle minacce avanzate e persistenti promosse dai governi e finalizzate a violare la proprietà intellettuale.

Negli ultimi anni, ho avuto la fortuna di conoscere e interagire con i professionisti che indirizzano gli sforzi di molte grandi aziende oggi costrette a confrontarsi con le problematiche legate alla cybersicurezza. Di seguito propongo dieci principi che dovrebbero guidare il management nell'aiutare questi professionisti di talento ad affrontare le sfide necessarie a difendere le risorse aziendali di diverso tipo (fisiche, software, dati e persone), mettendo così al riparo le loro organizzazioni da potenziali danni.

Nello scenario contemporaneo, la prima necessità è quella di accettare che non si tratta di «se», ma di «quando» i vostri sistemi verranno compromessi – sono finiti i giorni in cui era possibile essere completamente sicuri e un buon perimetro era sufficiente per evitare le violazioni. Gli attacchi sono diventati semplicemente troppo sofisticati, potenti e numerosi per tenere fuori tutti gli intrusi. Questo non significa che i perimetri e la sicurezza degli endpoint non siano più importanti o che un’«igiene» diligente come il patching non sia fondamentale. Significa solo che, anche se la vostra azienda svolge simili pratiche nella maniera corretta, una buona sicurezza delle informazioni va al di là di questo. Si dovrebbe insistere sul fatto che, ogniqualvolta è possibile, la sicurezza va integrata dall’inizio, non «inchiodata» ex post. Questo vale tanto per un processo aziendale quanto per un componente software o hardware.

Ciò mi porta al secondo principio, vale a dire che è vitale per l'intera azienda sposare l’approccio «identify, protect, detect, respond, recover» (identifica, proteggi, rileva, rispondi, recupera). Dovete sapere quali sono le vostre risorse (hardware, software, dati, informazioni e persone) e quanto sono importanti per la vostra azienda. Dovete sforzarvi di proteggerle, scoraggiando al meglio gli attacchi (di qui la necessità di un buon perimetro). Ma dovete anche essere preparati a rilevare un attacco o un'intrusione, a rispondere e, infine, a riprendervi. In termini militari, create una «difesa in profondità» . Per raggiungere questo obiettivo, la vostra azienda deve adottare una mentalità da combattimento, sviluppando solide capacità di intelligence, monitoraggio e risposta. La maggior parte delle organizzazioni dovrebbe avere un centro operativo di sicurezza (SOC) che sappia che cosa è «normale», un team strutturato di risposta agli incidenti e simulazioni di scenari che coinvolgano il senior management con regolarità. Gli scenari che simulerete di affrontare non corrisponderanno certo esattamente a ciò che realmente accadrà, ma l'aver allenato la vostra prontezza di risposta avrà un valore inestimabile.

Per consentire questo, l'intera azienda deve adottare un approccio unificato e coordinato che riconosca che viviamo in un mondo di convergenza digitale e fisica: e infatti la cybersicurezza e la sicurezza fisica dovrebbero essere in contatto, sforzandosi di supportarsi reciprocamente. Questo coordinamento deve estendersi alla catena del valore dell'azienda, compresi controlli rigorosi sulla sicurezza dei fornitori. Inoltre, tutti devono comprendere che il comportamento umano è l'ingrediente chiave per il successo di uno sforzo di cybersicurezza: consapevolezza, vigilanza, formazione e dialogo continuo sono vitali. Ogni dipendente deve impegnarsi a salvaguardare le informazioni, ma purtroppo è anche necessario monitorare e proteggersi da minacce interne.

Una componente fondamentale della sensibilizzazione e dell'impegno di tutti al rispetto dei suddetti principi è il sostegno al responsabile della cybersicurezza. Ciò può essere segnalato al resto dell'azienda in molti modi, ma deve anche essere fatto capire al responsabile della cyubersicurezza. È importante riconoscere che compliance non è sinonimo di sicurezza – framework come NIST e ISO27001 sono un utile punto di partenza, così come lo sono alcune normative di settore, ma la semplice conformità non garantisce la sicurezza – in effetti la conformità può essere una distrazione se non si sta attenti. Un corollario è che è necessario supportare e spingere il responsabile della cybersicurezza a valutare e misurare le cose che contano effettivamente, non solo alcune statistiche che possono essere facilmente migliorate. È buona norma avere periodicamente uno sguardo anche dall'esterno della propria azienda – ed essere estremamente consapevoli dei cambiamenti nel proprio business che hanno un impatto sulla sicurezza. I malintenzionati collaborano frequentemente tra di loro – dovreste incoraggiare il vostro responsabile della cybersicurezza a fare altrettanto. Dovrebbe promuovere uno sforzo concertato per collaborare, condividere e continuare ad apprendere – con la vostra catena del valore e con i consorzi industriali (come gli Information Sharing and Analysis Centers negli USA), ma anche con associazioni intersettoriali, forze dell'ordine e i Computer Emergency Response Teams (CERT) nazionali e multinazionali, per citarne solo alcuni.

Non ci si può aspettare che la vostra impresa e i vostri collaboratori si impegnino pienamente a meno che non date l'esempio dall'alto. Un impegno genuino e visibile da parte della dirigenza è di vitale importanza, data la posta in gioco in questo mondo digitale. Dovete credere voi per primi che la sicurezza delle informazioni non è «una cosa informatica», perché se la trattate come un problema puramente tecnico, così faranno anche tutti gli altri. Ma, soprattutto, dovete trovare il giusto equilibrio per il vostro business. La cybersicurezza non è diversa dal resto della vostra azienda – si tratta di gestire rischi e ricompense – quindi trovate l’equilibrio che va bene per la vostra azienda. Non si può strangolare la propria attività con le norme sulla sicurezza, o non ci sarà alcuna attività, ma non si può neppure non tenerne conto. Mettete in relazione gli sforzi per la sicurezza con la gestione globale del rischio, con qualsiasi altro centro in cui si valutano i rapporti rischio/rendimento per l'azienda.

Anche se questi sforzi di per sé non garantiscono la vostra sicurezza, sono fondamentali per mettervi nella posizione giusta come organizzazione. Sì, ci sono certamente aspetti tecnici in questo sforzo, ma, senza il giusto approccio, la giusta leadership e le giuste basi culturali, la perfezione tecnica da sola non è, e non sarà, sufficiente.