Cyber security risk management in azienda, come funziona il modello cooperativo - Cyber Security 360

L'approfondimento

Cyber security risk management in azienda, come funziona il modello cooperativo

L’impatto della digitalizzazione sugli ecosistemi in cui operano le aziende sta portando a un cambio di paradigma del cyber security risk management, orientato più a un modello cooperativo: serve, tuttavia, un cambiamento culturale per la piena implementazione

27 Gen 2021
T
Marco Toiati

Ingegnere, CISO settore bancario

Nel contesto dei complessi ecosistemi in cui operano le aziende, la digitalizzazione ha portato a legami tra player di settori di mercato differenti che collaborano nella realizzazione di prodotti e servizi a valore aggiunto: il diretto legame business-ecosistema determina la necessità di rivedere in modo sostanziale i modelli di valutazione del rischio di sicurezza delle proprie informazioni passando da un modello verticale del cyber security risk management, basato sulla singola realtà aziendale, ad un modello orizzontale, basato sulla cooperazione e sulla condivisione di informazioni a vari livelli (minacce, controlli e via dicendo).

La cooperazione può essere messa in atto a livello di singolo mercato (industry) o anche cross-industry andando a creare meccanismi comuni di protezione dalle minacce e dagli attacchi con una notevole valenza anche dal punto di vista del sistema nazionale e con possibilità di coinvolgimento delle strutture dello Stato preposte ed indicate nel Decreto Legislativo 65/2018 che recepisce la Direttiva NIS.

Il modello di gestione del rischio Stand Alone

Il classico modello di gestione del rischio privacy all’interno di una realtà aziendale è spesso impostato in modo rigidamente verticale, cioè confinato nelle specificità delle attività e dei servizi offerti dall’azienda stessa.

Si tratta dell’approccio più volte trattato in letteratura e ben descritto nelle normative tecniche internazionali emesse da ISO/IEC.

Nella fattispecie della privacy e dei dati personali, si fa spesso riferimento alla normativa ISO/IEC 27001:2013, che da indicazioni in merito alla realizzazione di sistemi di gestione della sicurezza delle informazioni aziendali, ed alla recentissima ISO/IEC 27701:2019 che ne specializza metodologia e controlli al perimetro più ristretto dei dati personali.

L’approccio alla valutazione del rischio riportato nelle normative sopra citate prevede fasi di specifica del proprio contesto (obiettivi, strategie, risk appetite, vincoli ed interdipendenze), fasi di identificazione delle cause di possibile impatto sui dati e delle soluzioni di mitigazione del rischio (minacce, controlli) ed infine fasi di valutazione del rischio, cioè di definizione di una metrica rispetto alla quale poter effettuare una valutazione oggettiva (quindi ripetibile) dell’esposizione aziendale e del possibile impatto derivante, impostando, ove necessario, un piano di gestione del rischio.

L’analisi dell’esposizione aziendale, in particolare, prevede un’attività molto dettagliata che, a partire dagli asset aziendali, arriva ad identificare le minacce, cioè gli elementi (ad esempio eventi naturali, eventi malevoli messi in atto intenzionalmente ecc.) che possono produrre un impatto sugli asset stessi, ed i controlli (implementati o da implementare) che possono mitigare il rischio di esposizione dell’azienda.

Questa attività di analisi segue la comprensione e la formalizzazione del proprio perimetro d’azione (di business, operativo, regolamentare, ecc) ed è fondamentale ai fini di una corretta e, soprattutto, efficace modellazione, ponderazione e valutazione del rischio.

Il principale limite di questa attività consiste nel limitare l’analisi al proprio core-business, arrivando a modellare le interfacce con i processi delle terze parti, ma non considerando come eventuali minacce e/o vulnerabilità di queste ultime possano avere effetto sulla propria esposizione al rischio.

Nuovi modelli di business basati su ecosistema

 Al giorno d’oggi le aziende stanno evolvendo il loro modello di business per andare oltre il proprio core-business ed offrire servizi sempre più innovativi.

I nuovi modelli prevedono l’integrazione di terze parti, non secondo il consueto modello cliente-fornitore ed il concetto di catena del valore, ma in una partnership che consenta di integrare prodotti e servizi per offrire al mercato soluzioni sempre più strutturate, innovative ed aderenti alle esigenze effettive del cliente.

In questo contesto, trova piena realizzazione il  concetto di “ecosistema di business”,  già teorizzato nel 1996 da Moore e definito come “una comunità economica supportata da un’istituzione di organizzazioni ed individui che interagiscono – gli organismi del mondo dell’economia. Questa comunità produce merci e servizi di valore per i clienti, essi stessi parte dell’ecosistema ”.

L’impatto della pandemia sulla cooperazione

L’attuale scenario competitivo in tutti i mercati spinge fortemente le aziende verso un modello di cooperazione. La ricerca di partner di prodotti e servizi, soprattutto con livello elevato di innovazione, è diventato un fattore essenziale per evitare la perdita di valore della propria azienda.

La pandemia di Covid-19 ha ulteriormente accelerato questo fenomeno di cooperazione dal quale spesso dipende la sopravvivenza di ogni singola realtà aziendale, specialmente nel settore delle PMI.

Questa cooperazione si realizza spesso attraverso soluzioni digitali che consentono l’interazione anche a livello di sistemi informatici, esponendo però ad un crescente rischio in ambito cyber security.

Uno studio Accenture Strategy ha mostrato come circa la metà delle aziende italiane si stia fattivamente orientando verso un modello cooperativo. Il 68% degli executive italiani ritiene che la partecipazione ad un ecosistema sia veicolo di innovazione ed il 56% si sta o si è già orientato verso un modello di business basato su ecosistema per essere “disruptive” nel proprio settore di mercato.

Addirittura il 73% dei Business leader italiani concordano sul fatto che nei prossimi cinque anni gli attuali modelli di business saranno superati e ci si orienterà verso gli ecosistemi di business, veri motori del cambiamento ed il 47% prevede una crescita dei ricavi proprio a seguito dell’utilizzo dei nuovi modelli. Marco Morchio Responsabile di Accenture Strategy Italia ha affermato che ci si sta indirizzando “verso un sistema produttivo che premia gli ecosistemi, perché in grado di esprimere un maggior grado di competitività.

Ciò accade per tre motivi: anzitutto, perché come vedremo gli ecosistemi godono di effetti di network, che ne determinano la crescita in valore; e che sono tanto più importanti quanto più aziende si associano alla rete.

In secondo luogo perché il nuovo prodotto-servizio, reso possibile dall’interazione tra soggetti di settori diversi, attiva una domanda inespressa.

In terzo luogo perché gli ecosistemi consentono di affrontare meglio la concorrenza internazionale a cui ci si pone non più come singola azienda ma come insieme organizzato. Pertanto, crediamo che il modello sarà quello vincente nel prossimo futuro”.

Perché serve una rivoluzione culturale

Lo stesso studio tuttavia evidenza come l’adozione di un modello basato su ecosistema richieda, al contempo, anche l’adozione di una nuova mentalità nel bilanciamento tra gestione dell’attuale ed esplorazione del nuovo, nella distribuzione delle risorse e più in generale della gestione.

Come si afferma nello studio, “per creare valore le aziende hanno bisogno di un forte modello di business, che identifichi chiaramente clienti, mercati, canali e revenue model”.

Questa rivoluzione culturale ancora stenta ad affermarsi in Italia, al punto che molti degli intervistati non hanno ottenuto una crescita del fatturato nelle previsioni: il 68% delle aziende ha previsto un tasso di crescita del 3-4%, ma solo il 38% lo sta ottenendo; solo il 15% delle aziende sta ottenendo dagli ecosistemi una crescita del 5% o superiore.

Dal punto di vista tecnologico, la rivoluzione digitale ha portato allo sviluppo di servizi innovativi che possono fungere da acceleratore del cambiamento.

L’impiego di nuove tecnologie che vanno dal cloud ai social, dal mobile all’IoT, sino ad arrivare al Machine Learning e, più in generale, all’Intelligenza Artificiale ha fornito un valido veicolo di collaborazione tra aziende e fornitori di servizi abilitando la nascita di nuovi servizi di business.

La nascita di veri e propri “ecosistemi digitali” sta andando di pari passo all’evoluzione dei nuovi modelli di business fornendo strumenti realizzativi snelli e molto potenti, ma rendendo allo stesso più vulnerabili le organizzazioni coinvolte a causa del maggiore livello di esposizione.

L’evoluzione dei modelli di business in ottica ecosistema apre scenari del tutto nuovi dal punto di vista dell’analisi del rischio di cyber security.

I consueti modelli basati sull’identificazione delle minacce e dei controlli devono necessariamente tenere in considerazione le nuove modalità di integrazione e devono evolvere verso una più efficace comunicazione, e conseguente scambio informativo, tra i player dell’ecosistema, al fine di definire strumenti comuni alla base della valutazione del rischio dell’ecosistema stesso.

Si passa dall’analisi del rischio della singola azienda ad una valutazione più estesa del rischio di ecosistema.

Ecosistema e superficie d’attacco

Dal punto di vista della cyber security, l’evoluzione verso scenari di cooperazione basati su ecosistemi di business aumenta in modo esponenziale l’esposizione agli attacchi.

Dallo studio Accenture risulta che le aziende che si orientano verso l’adozione dei nuovi modelli di business riscontrano, di conseguenza, un crescente aumento del livello di risorse impiegate sul versante della sicurezza.

Solamente il 29% degli executive di business ed IT intervistati dichiara che i partner commerciali sono aderenti ai propri standard di sicurezza. Una percentuale senza dubbio molto bassa: la cooperazione deve essere basata su un “modello di fiducia” e questa si raggiunge soltanto definendo standard e livelli di sicurezza comuni e mettendo in atto meccanismi reciproci di monitoraggio e di auditing continuo che consentano di rilevare e controllare nel tempo l’effettiva esposizione al rischio.

Questa situazione è spesso determinata dal fatto che le aziende sono focalizzate principalmente sull’analisi e sul monitoraggio dei propri rischi operativi interni secondo l’approccio classico alla risk analisys.

Gli attacchi sfruttano spesso proprio questa situazione, puntando a compromettere l’intero servizio e non solo una parte di esso e sfruttando veicoli d’attacco che possono coinvolgere uno o più player coinvolti nell’erogazione del servizio stesso. Le aziende coinvolte in un ecosistema, non possono limitarsi a governare il proprio “orticello” ma devono necessariamente attrezzarsi per assorbire anche parte del rischio derivante dai propri partner commerciali.

L’ecosistema amplifica, quindi, la “superficie d’attacco” cioè il livello di esposizione ad attacchi di cyber security e questo deve comportare l’adozione di tecniche e di strumenti per la modellazione delle minacce, la definizione ed implementazione dei controlli e la  gestione degli incidenti molto più sofisticati e trasversali.

A riprova di quanto appena considerato, uno studio condotto nel 2019 da IBM Security in collaborazione con Ponemon Institute dal titolo “Cost of Data Breach Report 2019” mostra che tra i fattori che contribuiscono al costo di un data-breach i primi cinque riguardano il coinvolgimento di terze parti, la mancata compliance normativa, la migrazione estesa al cloud, la complessità dei sistema e la tecnologia operativa. In particolare le terze parti influiscono per circa il 9% sul costo totale connesso al data breach.

Info sharing e resilienza

Alla luce di quanto appena esposto, appare evidente che un ecosistema di business, specialmente se implementato attraverso l’impiego di soluzioni e servizi digitali, debba comportare anche l’adozione di un modello collaborativo di gestione del rischio basato sulla definizione di standard di sicurezza comuni e, soprattutto, su un modello di comunicazione e scambio di informazioni (o info-sharing).

L’adozione di uno standard di sicurezza comune deve essere alla base della collaborazione; la definizione di tale standard, le modalità di implementazione e di controllo devono essere elemento essenziale dei contratti di collaborazione tra le aziende coinvolte nell’ecosistema.

Rientra tra questi accordi anche quanto previsto dall’art.28 del Regolamento Europeo 679/2016 (GDPR) che disciplina i rapporti tra controparti nel caso di trattamento di dati personali.

Progettare la collaborazione ponendo un livello comune di sicurezza, standard implementativi e protocolli di comunicazione è alla base di una proficua ed efficace collaborazione nell’ambito dell’ecosistema.

Le funzioni di sicurezza e i CISO (Chief Information Security Officer) devono quindi essere parte integrante del processo di evoluzione verso un ecosistema di business.

Lo studio Accenture indica che tale coinvolgimento non è ancora pienamente realizzato dal momento che solo nel 38% dei casi i CISO vengono coinvolti già dalla definizione di nuove opportunità di business. Molte aziende si stanno dotando di organizzazioni in tal senso: ad esempio GE ha deciso di assegnare un CISO a ciascuna region e business unit per assicurare una comunicazione più tempestiva e capillare; AT&T ha definito un Security Advisory Council cioè un board formato da funzioni di business e di sicurezza che si riunisce regolarmente per discutere le principali evidenze che insistono sull’organizzazione.

L’importanza della condivisione delle informazioni

Altro elemento essenziale è la condivisione delle informazioni necessarie per la valutazione del rischio. Lo scambio di dati (nel rispetto dei vincoli di riservatezza e del segreto industriale) deve riguardare a esempio le minacce relative a ciascun attore dell’ecosistema.

La condivisione dei modelli di valutazione delle minacce consentirebbe di mettere a punto scenari di analisi molto più sofisticati valutando l’esistenza di veicoli d’attacco proprio legati alle dinamiche ed alla complessità dell’ecosistema che in un approccio classico “stand alone” non sarebbe possibile identificare.

Ulteriore elemento di integrazione sono i controlli, cioè le misure messe in atto per la mitigazione del rischio. Condividere le informazioni a questo livello consentirebbe la realizzazione di presidi di sicurezza distribuiti con una maggiore efficacia in fase di prevenzione e di risposta agli attacchi.

Condividere minacce e relative contromisure consente anche la messa a punto di piani di gestione del rischio con approccio proattivo dal momento che è possibile effettuare una valutazione del rischio esaustiva che tenga in considerazione l’intera complessità dell’ecosistema.

Ne risulta quindi rafforzato il livello di prevenzione. Anche del punto di vista della reattività, la condivisione delle informazioni consente di intervenite con tempi estremamente più contenuti e, soprattutto, tenendo in considerazione l’intero servizio end-to-end aumentando il livello di resilienza e la qualità e “robustezza” del servizio offerto al cliente finale.

Soluzioni tecnologiche per il Security Information Sharing

La tecnologia attuale risulta essere sufficientemente matura da poter supportare la nascita di piattaforma di Threat Intelligence e conseguente analisi e gestione del rischio cyber nell’ambito di un ecosistema, così come definito nella parte iniziale del presente articolo.

Naturalmente la sola tecnologia non è sufficiente e deve essere accompagnata dalla definizioni di metodologie, organizzazioni e processi a supporto. Di seguito si analizzano le principali soluzioni tecnologiche presenti sul mercato dell’IT e della cyber security.

Il mercato, allo stato attuale, offre due tipologie di piattaforme per la  Cyber Threat Information Sharing: MISP (Malware Information Sharing Platform) e TIP (Threat Intelligence Platform). Le due piattaforme possono essere entrambe utilizzate per realizzare un modello di cooperazione a livello di ecosistema; tuttavia nella prassi, il loro utilizzo è spesso differente, come indicato di seguito:

  • MISP: piattaforma usata principalmente per lo scambio delle informazioni e per l’arricchimento e correlazione dei dati esterni. La piattaforma utilizza il linguaggio STIX (Structured Threat Information Expression) ed i servizi TAXII (Trusted Automated Exchange of Indicator Transformation) solo per lo scambio delle informazioni immagazzinate in formato JSON proprietario ed è usata normalmente come storage di dati e correlazione di IoCs (Indicatori di compromissione). Allo stati attuale questa piattaforma è utilizata in special modo dalle Pubbliche Amministrazioni per lo scambio di IoCs e link con le altre agenzie Europee.
  • TIP: piattaforma utilizzata principalmente per condividere informazioni, per l’arricchimento, la correlazione e l’analisi / investigazione di dati interni ed esterni di un’organizzazione. Questa piattaforma utilizza TIX/TAXII e viene spesso utilizzata come storage di dati e come soluzione per attività di indagine. TIP viene utilizzata principalmente da società private per la comunicazione di IoC e per l’integrazione delle strutture tecniche/organizzative deputate alla gestione della cybersecurity (es. SIEM, SOC).

Le due tecnologie, di fatto, se opportunamente integrate consentono di coprire in modo esaustivo il processo di Cyber Threat Intelligence, consentendo la comunicazione e la condivisione di informazioni sulle minacce, il relativo impatto e le azioni di contenimento. 

Lo scenario futuro

Il cambiamento di paradigma deve sfruttare lo stesso meccanismo di cooperazione messo in atto per l’erogazione dei servizi. Tale meccanismo va esteso mettendo a fattor comune gli elementi che possono compromettere la sicurezza dell’ecosistema.

Si tratta quindi di condividere le variabili che influenzano il rischio per la sicurezza creando una sorta di “community” tra le entità coinvolte nell’ecosistema e strutturando un modello di comunicazione efficace, tempestivo e soprattutto esaustivo.

L’efficacia del modello risiede principalmente nella condivisione di informazioni utili a garantire un presidio tempestivo delle principali minacce, mettendo in atto contromisure strutturate ogni volta che si presenti una nuova minaccia all’esterno dell’ecosistema che possa comprometterne la complessiva integrità.

Negli ultimi anni si è sentito spesso parlare di “Cyber Threat Intelligence” cioè di quell’insieme di tecniche e soluzioni che abilitano la raccolta di informazioni sulle minacce di Cyber Security e la loro analisi.

Quanto sopra può essere realizzato sia a livello di singolo settore di mercato sia cross-industry, cioè coinvolgendo in tutto o in parte organizzazioni coinvolte nell’ecosistema ed orientate all’erogazione dei servizi a valore aggiunto.

Le associazioni di categoria possono, a loro volta, fungere da acceleratori di questo fenomeno predisponendo standard organizzativi e tecnologici ma anche soluzioni a supporto del nuovo modello.

Inoltre, ciò potrebbe rappresentare un patrimonio informativo fondamentale per il più ampio ecosistema Paese, arrivando ad arricchire e complementare le strutture di presidio della sicurezza dei “servizi essenziali” italiani previste dalla Direttiva NIS.

BIBLIOGRAFIA

  • Modelli di Business Agili – Ecosistemi: la base della crescita futura – Accenture Strategy
  • Ecosistemi di innovazione e start-up d’impresa. Come cambiano le imprese nell’era della open innovation – Angela Sansonetti, Carlo Maria Medaglia – Eurilink Editore
  • Il futuro ruota intorno agli ecosistemi di Business – Filippo Astone e Marco De Francesco – Industria Italiana
  • Ecosistema innovazione: il report 2018 sull’impatto degli incubatori e acceleratori italiani – StartupItalia
  • Una gestione del rischio coerente e condivisa dà potenza al business – Raffaela Citterio – Soiel International
  • Nis: al via le linee guida su gestione rischio e notifica incidenti – Sistema di Informazione per la Sicurezza della Repubblica
  • CERT_Agid – Agenzia per l’Italia Digitale – Sito Web Istituzionale
  • Decreto Legislativo 18 maggio 2018, n. 65 – Gazzetta Ufficiale
  • Direttiva UE 2016/1148 -EUR Lex
  • MISP ovvero Malware Information Sharing Platform
  • Exploring the opportunities and limitations of current Threat Intelligence Platforms – ENISA

@RIPRODUZIONE RISERVATA

Articolo 1 di 5