Non credo ci possano essere dubbi sul fatto che stiamo vivendo un periodo intenso e coinvolgente in termini di cyber risk e cyber security.
Gli avvenimenti e gli eventi relativi agli attacchi informatici di istituzioni, enti, pubblica amministrazione e aziende degli ultimi giorni e mesi hanno di fatto portato alla ribalta il tema e la problematica del cyber crime e di come il mondo Internet sia un posto pericoloso.
Indice degli argomenti
La democratizzazione della cyber security
Un aspetto sicuramente positivo in termini di sensibilizzazione dei cittadini, uno dei target principali dei criminal hacker. I quotidiani nazionali riportano in prima pagine le notizie di attacchi informatici subiti da istituzioni e aziende blasonate.
I termini data breach, ransomware e data leak sono state sdoganate e se prima appartenevano ed erano “riservate” ad una ristretta schiera di legali e tecnici come se fosse un bene prezioso frutto di un lignaggio di conoscenza, oggi invece sono di fatto diventate di uso comune e non dovremo più stupirci se al bar, accanto alle disquisizioni sui moduli di gioco e analisi tattiche del mondo del calcio, sentiremo parlare di sicurezza preventiva e/o human risk. È la democratizzazione della cyber security.
Stiamo perdendo il focus?
Non ci sono dubbi che questa democratizzazione ha di fatto aperto quest’area, una volta appannaggio solo di esperti tecnici o legali.
Questo, se da un lato può essere positivo, grazie alla maggiore esposizione che la materia sta ricevendo; rischia anche di confondere le acque e di travisare un po’ il messaggio di quello che deve essere il vero scopo di riportare le notizie relative a cyber crime, data breach e via dicendo.
Troppo spesso, recentemente, le storie che leggiamo in merito si trasformano in occasioni per “non” parlare di cyber security, ma per denunciare inadeguatezze, assenza di competenze e l’inefficacia degli strumenti/impianti della vittima di turno.
Il rischio concreto della democratizzazione della cyber security è di trasformarla nell’ennesimo “topic” di cronaca.
Si perde così il vero scopo della cyber security come osservatori e cioè l’analisi di quello che sta accadendo: le minacce, i rischi e i modus operandi vecchi e nuovi dei criminal hacker; avendo piena consapevolezza dei contesti in cui operiamo. La realtà del nostro mondo.
Data breach e ransomware sono in aumento
Il numero crescente di data breach e attacchi di ransomware con il blocco dell’intera business continuity aziendale è di fatto diventato una notizia quotidiana. Non è più una novità. Perché sembra così facile effettuare un attacco informatico e soprattutto perché le aziende non riescono a difendersi in maniera adeguata?
Nel mondo del Cyber Crimine as a Service il livello di abilità richiesto è molto più basso di quanto si possa immaginare, gli attacchi preconfezionati sono venduti a basso prezzo sul Dark Web e sono già pronti all’uso.
Concretamente, questo significa che l’allerta deve essere generale perché l’aumento delle superfici di attacco disponibili ha semplicemente fornito più vittime potenziali ai criminal hacker.
IT Manager e Security Manager sono vittime, non colpevoli
Non credo esista IT Manager o Security Manager che non abbia richiesto budget per fare investimenti sulla cyber security per avere una maggiore sicurezza e la tranquillità di non diventare vittima dei cyber criminali.
Il problema aziendale che viene sempre sollevato è il budget. Lavoriamo tutti con la classica “coperta corta”. I budget sono sempre ridotti e spesso i vari imprenditori e manager, che hanno le chiavi della cassaforte, sono costretti a dover bilanciare e/o accettare i vari rischi tra Business Operation e Business Continuity.
Spesso chi ha il potere decisionale, purtroppo, sottovaluta il rischio cyber e di conseguenza accetta una serie di rischi non avendo ben presente non solo la reale probabilità di accadimento, molto alta, ma soprattutto gli impatti.
Quanto vale un solo giorno di fermo dei sistemi? In caso di attacco ransomware, questo numero moltiplicatelo per i giorni necessari per le attività di bonifica dei sistemi, di ripristino (sperando di avere a disposizione i backup) e di monitoraggio prima di poter riprendere la normale operatività.
Serve un solido Cyber Security Framework
L’altra problematica è sicuramente dovuta alla entropica eterogeneità dei sistemi. Infrastrutture che sono cresciute e stratificate per enne motivazioni differenti che rendono di fatto difficile e complicata la loro gestione tra numero di aggiornamenti e soprattutto dovendo anche affrontare le problematiche di compatibilità e interoperabilità.
Da dove iniziare? Da un Cyber Security Framework solido.
Ma come assicurarsi che il proprio framework sia solido e pronto ad affrontare rischi e minacce cyber? Semplice, attraverso un Cyber Security Framework Checkup che ha l’obiettivo di:
- valutare il Framework in essere;
- effettuare una Gap Analysis tra l’AS IS (sistemi allo stato attuale) e gli standard e best practice di Cyber Security Governance;
- redigere una Road Map.
Per portare a termine questi obiettivi, il Cyber Security Framework Checkup segue cinque fasi separate e ben definite:
- Mapping: questa fase ha la funzione di elencare gli asset aziendali, identificare gli stessi e tutti gli strumenti adibiti alla cyber security aziendale; non solo, vengono determinati gli alert ed Early warning dei Security Asset e infine vengono studiati i processi e le metodologie di gestione. La fase di Mapping permette di determinare il perimetro aziendale, ma anche di valutare e misurare l’efficienza della gestione integrata dei software e strumenti security in essere.
- Asses Threats: la seconda fase è incentrata sull’identificare l’esposizione al cyber risk tecnologico e lo Human Risk attraverso le attività di security testing (Penetration Test, Vulnerability Assessment e Network scan) e attraverso campagne di Phishing Attack Simulation.
- Security KPI: in questo step vengono definiti i Security KPI; quelli già in uso, quelli da applicare e quelli eventualmente da adottare allo scopo di poter determinare nel tempo se le soluzioni di sicurezza a livello preventivo, proattivo e predittivo risultino essere adeguate agli obiettivi aziendali.
- GAP Analysis: La Gap Analysis permette di determinare e confrontare lo stato attuale (AS-IS) del Cyber Security Framework in essere rispetto alle best practice di settore, alle normative vigenti e agli obiettivi stabiliti internamente.
- Road Map: Si tratta del percorso dettagliato di riposizionamento dell’attuale Framework, una sequenza temporale di azioni e interventi da seguire per ottenere la massima Cyber resilience dal proprio Framework. A corredo della roadmap vengono definiti e pianificati i nuovi standard a livello organizzativo, tecnologico, di Know-how e di Policy e Procedure.
Perché, ricordiamolo sempre: «Security is a Process, not a Product» (B. Schneier, 2000).
