De rerum securitate

Vi chiederete il perchè di un titolo in latino per una tematica di stringente attualità.
Al di là della curiosità che può suscitare questa scelta (se siete arrivati a leggere fino a questo punto, abbiamo comunque ottenuto il risultato di interessarvi alla tematica), il contenuto di questo articolo non vuole essere tecnologico ma manageriale, quindi seguendo un approccio prettamente logico, così come logica è la lingua di Cicerone.

Partiamo da una definizione mediata da Chat GPT:

La cyber security, nota anche come sicurezza informatica o sicurezza delle tecnologie dell’informazione, è il campo che si occupa della protezione delle reti, dei sistemi e dei programmi informatici dagli attacchi digitali. Gli obiettivi principali della cyber security sono tre:

  • Confidenzialità: garantire che le informazioni sensibili siano accessibili solo a chi è autorizzato a vederle.
  • Integrità: assicurare che le informazioni siano accurate e complete, e che non siano modificate o danneggiate da persone non autorizzate.
  • Disponibilità: assicurarsi che i dati e i servizi siano disponibili per gli utenti autorizzati quando ne hanno bisogno.

La cyber security include una varietà di pratiche di sicurezza per difendere contro minacce come malware, ransomware, attacchi di phishing e altri tipi di exploit che possono compromettere la sicurezza dei dati o interrompere le operazioni. Si avvale di tecnologie come firewall, sistemi di rilevamento e prevenzione delle intrusioni, criptografia, e software di sicurezza, insieme a pratiche di gestione del rischio e formazione degli utenti.

Una volta inquadrato il contesto mettiamoci dal punto di vista delle aziende.

La tematica è intrinsecamente complessa oltre che in continua evoluzione. Non è un caso che i principali esperti di security dal punto di vista tecnologico siano spesso degli ex hacker in una continua escalation tra difese ipotizzate come inviolabili e violazioni delle stesse.

La sua rilevanza aumenta assieme alla portata degli attacchi informatici e soprattutto a quella dei ricatti a cui sono soggette le varie organizzazioni per il rilascio di dati rubati oppure per lo sblocco di processi/sistemi “immobilizzati” in seguito a violazioni dei sistemi di sicurezza.

Questi eventi, ovviamente binari (parliamo di “mi è successo” vs. “non mi è successo”), creano una consapevolezza dei rischi assolutamente a macchia di leopardo all’interno delle varie aziende / organizzazioni.

Parliamo del fattore umano: la presenza di competenze in questo ambito all’interno di aziende / organizzazioni è limitata per tanti motivi, non ultimo il fatto che sono competenze lontane dal core business della maggior parte dei player (il dipartimento IT è spesso considerato un male necessario piuttosto un fattore critico di successo). Sono anche competenze in parte trasversali e comunque più difficilmente sviluppabili in un contesto che non ne avverte l’esigenza fino all’esplosione del problema e che di fatto limita esperienze dirette in questo ambito.

Un’altra grandissima limitazione è data dall’approccio tradizionale alla stesura dei budget aziendali, principalmente legato alla forte storicizzazione delle poste in gioco:

  • al di là delle pressioni per il contenimento dei costi operativi, sempre presenti, è comunque molto più facile aggiungere 20k a una posta di budget con una storia di ricorsività anche di investimenti, piuttosto che introdurre una nuova posta di valore equivalente.
  • (Se poi il valore cresce, la difficoltà aumenta esponenzialmente e la nuova posta diventa il bersaglio preferito del CFO nel raggiungimento dei sui obiettivi di contenimento dei costi)

Si tratta effettivamente di un approccio non estremamente lungimirante, ma è comunque difficilmente bypassabile in assenza di evidenze che, ahimè, spesso giungono assieme a una richiesta di riscatto di dati quando ormai il problema si è manifestato nella sua magnitudine.

Nella nostra esperienza di consulenza, l’esecuzione di un assessment mirato da parte di un team esterno che abbia il bagaglio di esperienze e competenze necessario, è in grado di fornire un risk assessment efficace che si possa poi facilmente convertire in un piano di intervento che evidenzi le priorità e le opportunità relative.

L’assessment dovrà considerare in maniera olistica:

  • (le priorità dettate dal modello di business del cliente)
  • La componente tecnologica
  • La parte normativa
  • Le procedure e le tempistiche di intervento
  • I rischi a cui l’azienda è esposta (e la loro diversa rilevanza in relazione al modello di business)
  • ….
  • Il conseguente piano di intervento

Non è un esercizio banale per complessità e multidisciplinarità dell’approccio, e richiede un buon livello di esperienza e competenza per poter essere efficace e finalizzato al miglioramento dell’organizzazione.

Anche in questo caso, ricorriamo a titolo esemplificativo all’intelligenza artificiale per individuare una lista delle principali aree che solitamente vengono esaminate durante un assessment di cybersecurity – le aree di investigazione si concentrano sui vari aspetti e componenti della rete, dei sistemi e delle politiche di un’organizzazione per identificare vulnerabilità e rischi:

  1. Governance di Sicurezza:
    • Analisi delle politiche e delle procedure di sicurezza.
    • Valutazione della conformità agli standard normativi e alle migliori pratiche del settore.
    • Revisione della formazione e della consapevolezza della sicurezza tra i dipendenti.
  2. Gestione dei Rischi:
    • Identificazione dei rischi di sicurezza legati alle risorse critiche.
    • Valutazione dell’adeguatezza dei controlli esistenti per mitigare i rischi identificati.
    • Esame delle procedure di risposta agli incidenti e di recupero dai disastri.
  3. Asset Management:
    • Inventariazione delle risorse IT, inclusi hardware, software e dati.
    • Valutazione della gestione e della sicurezza degli asset, come il ciclo di vita dell’hardware e la gestione delle licenze software.
  4. Controllo degli Accessi:
    • Esame delle politiche e delle pratiche di autenticazione e autorizzazione.
    • Revisione dei controlli di accesso fisico e logico.
    • Valutazione della sicurezza degli endpoint e dei dispositivi mobili.
  5. Sicurezza della Rete:
    • Analisi della configurazione e della gestione della sicurezza della rete.
    • Valutazione dei firewall, degli switch, dei router e di altri dispositivi di rete.
    • Verifica delle misure di sicurezza per le connessioni wireless e remote.
  6. Sicurezza delle Applicazioni:
    • Analisi della sicurezza delle applicazioni sviluppate internamente e di quelle commerciali.
    • Test di penetrazione e valutazione della vulnerabilità delle applicazioni.
    • Revisione del processo di sviluppo software e delle pratiche di sicurezza nel ciclo di vita delle applicazioni.
  7. Protezione dei Dati:
    • Esame delle pratiche di backup e di ripristino dei dati.
    • Valutazione della criptografia e di altre tecniche di protezione dei dati sensibili.
    • Verifica della conformità con le normative sulla privacy e la protezione dei dati.
  8. Sicurezza Fisica:
    • Valutazione della sicurezza fisica degli edifici e delle aree critiche.
    • Esame delle misure di controllo degli accessi fisici e della sorveglianza.
  9. Monitoraggio e Risposta agli Incidenti:
    • Revisione delle capacità di rilevamento degli incidenti e di monitoraggio della sicurezza.
    • Valutazione dell’efficacia dei processi di risposta agli incidenti e di escalation.
  10. Business Continuity e Disaster Recovery:
    • Esame dei piani di continuità operativa e di recupero dai disastri.
    • Test della capacità dell’organizzazione di ripristinare le operazioni in caso di incidenti gravi.
    • Queste aree coprono un ampio spettro di tematiche e sono fondamentali per assicurare una valutazione completa della sicurezza informatica di un’organizzazione.

A valle dell’esecuzione dell’assessment, della mappatura dei rischi e delle conseguenti priorità di intervento, si pongono a questo punto una serie di valutazioni da intraprendere:

  • La valutazione del costo opportunità di mitigare i rischi evidenziati – ovviamente stiamo parlando di eventi non deterministici, non esiste una soluzione univoca e in alcuni casi si può anche decidere di non intervenire su alcuni dei rischi, per esempio su quelli che non pregiudicano la business continuity.
  • La decisione make or buy e la selezione della misura da mettere in pratica per mitigare ogni singolo rischio (anche nel quadro prettamente tecnologico, ci sono soluzioni di diversi vendor, con differenti livelli di copertura, spesso anche sovrapponibili o alternativi nella difesa dai singoli rischi)

Il quadro normativo vigente prevede ci siano dei fondi a sostegno di queste attività, diversamente modulati nei vari settori – in maniera semplificata:

  • Le organizzazioni facenti parte della pubblica amministrazione hanno possibilità di finanziamenti legate all’attuazione del PNRR (Piano Nazionale di Ripresa e Resilienza).
  • I soggetti privati possono accedere per alcune tipologie di spesa a crediti di imposta previsti dal Piano Nazionale Transizione 4.0.

L’istruzione di queste pratiche di richiesta può richiede una certa familiarità con la materia – in questo senso, la bontà dell’assessment o meglio del team che lo certifica può semplificare molto questo iter.

Want to read more?