Oggigiorno per le moderne aziende i rischi cyber possono essere un angolo cieco e riconoscerli non è semplice. I consigli di amministrazione aziendali sono sempre più impegnati nello sviluppare la propria conoscenza di come questi rischi cyber siano gestiti all’interno dell’organizzazione. Questo trend è allineato alla maggiore consapevolezza dell’impatto che gli attacchi informatici possono avere sulle vittime.
I team di cyber security – nonostante spesso vengano messi in secondo piano – hanno il compito di sostenere la sicurezza aziendale quotidianamente e allo stesso tempo devono essere pronti e preparati per affrontare eventuali attaccanti all’interno del proprio perimetro. Bilanciare le criticità di sicurezza tra i progetti in corso e le responsabilità nel day-by-day, con la preparazione alla risposta agli incidenti è un compromesso difficile da ottenere. Spesso ai team di security vengono assegnate attività volte ad aumentare i risultati in determinati ambiti come “policy” o “governance” ma poi qual è il reale impatto sull’azienda?
In primo luogo è importante sapere che il rischio informatico non è differente da altri rischi aziendali. Si tratta di un aggregato di minacce e vulnerabilità presenti in un’azienda, ognuna delle quali, se sfruttata, potrebbe causare perdite finanziarie, danni alla reputazione e problematiche normative.
“Rischio e minaccia sono due termini differenti ed è molto importante, a livello cyber, non utilizzarli in maniera intercambiabile”, dichiara Gabriele Zanoni, Consulting Country Manager Mandiant Italia. “In Mandiant, spesso, ci troviamo a dover riadattare i dialoghi con i clienti per meglio separare e affrontare i due elementi come correlati ma ben distinti”.
Quando si parla di vulnerabilità, l’attenzione dovrebbe concentrarsi su quali tecnologie o processi le aziende hanno creato o utilizzato, che siano potenzialmente esposte ad “opportunità” di abuso. Le minacce dovrebbero poi essere associate ai potenziali vettori o metodi di attacco per verificare come le vulnerabilità possano essere sfruttate.
Quando si deve comunicare l’impatto, Mandiant suggerisce di utilizzare la semplicità in modo da ottenere l’attenzione del Board su come il rischio informatico viene gestito. Questo riduce al minimo la complessità e permette di focalizzarsi sulle fasi di reporting, indirizzando direttamente al management le informazioni sugli impatti più rilevanti.
Voi Technology, azienda svedese di micro-mobilità che offre servizi di sharing, si fa promotrice del movimento della “Città in 15 minuti” impegnandosi in una serie di iniziative volte a ripensare la mobilità cittadina per far fronte alle sfide improrogabili imposte dal cambiamento climatico.
“Un problema comune che riscontriamo abitualmente quando incontriamo i clienti, è che spesso le organizzazioni sospendono le discussioni inerenti a come ridurre il rischio informatico, a come identificare quali controlli di sicurezza siano in uso, a come verificarne la loro validità nel tempo e come mostrare che il ritorno degli investimenti in materia di sicurezza sia stato massimizzato”, aggiunge Zanoni.
Questo si verifica spesso quando non è presente un allineamento chiaro all’interno dell’organizzazione su quello che è di valore per l’azienda. In mancanza di allineamento nei diversi dipartimenti aziendali, Mandiant riscontra spesso un aumento delle domande sugli investimenti in materia di sicurezza e di domande sul rischio organizzativo che purtroppo restano senza risposta. I team di sicurezza devono considerare e comprendere appieno il ROI e chi non presta a questo tema la sufficiente attenzione, tende maggiormente a non essere in grado di motivare e sostenere le loro decisioni sugli investimenti al management.
Come pianificare un viaggio nel cyber risk
“Il rischio informatico è una tematica ampia e profonda e non esiste un singolo processo, tecnologia o soluzione che lo guidi. I programmi basati sulla maturità aziendale in termini di sicurezza informatica danno un contributo fondamentale alla direzione generale di un programma di sicurezza ma non dovrebbero esserne l’unico motore. Un programma ideato correttamente deve prevedere un coordinamento delle diverse capacità e richiedere non solo un allineamento all’interno della propria organizzazione ma deve tenere conto del panorama delle minacce che è in continua evoluzione”, aggiunge Zanoni.
Mandiant ha indicato alcuni punti chiave da ricordare quando si deve sviluppare un programma efficace:
- Comprendere ciò che conta di più – È necessario che l’organizzazione si prenda il tempo necessario per comprendere quali risorse aziendali critiche siano le più esposte ad un possibile impatto negativo e che, se compromesse, interrompano la business continuity.
- Definire e allineare le diverse tolleranze ai cyber risk in tutta l’organizzazione – Sviluppare una visione dall’alto del rischio informatico, chiarire i requisiti per i report, stabilire e implementare regole per la tolleranza dei rischi.
- Identificare e modellare i rischi impattanti sulle architetture di sicurezza che proteggono i sistemi critici – Scomporre i sistemi mission-critical nei loro componenti e collegamenti, identificare le minacce e le vulnerabilità, assegnare i rischi per ogni minaccia e allineare le regole dell’organizzazione in base al possibile impatto.
- Identificare i rischi informatici e i fornitori chiave– Individuare i partner e le organizzazioni con cui si collabora maggiormente ed eseguire una due diligence per valutare i rischi di tali integrazioni della propria supply chain dato che potrebbero esporre l’azienda e innalzarne il profilo di rischio a livelli non accettabili.
- Riconoscere le vulnerabilità e allinearsi alle regole del rischio organizzativo – È necessario collegare le vulnerabilità alle relative possibilità di sfruttamento e indentificare se possono essere usate per la compromissione dei sistemi critici, verificando al contempo il rispetto alle regole definite per il rischio informatico.
- Validare le capacità di sicurezza – Verificare le iniziative del programma di sicurezza esistente rispetto alle best practice e confermare eventuali deviazioni dalle pratiche standard in base al proprio settore di business e le nazioni in cui si opera.
“Sviluppare la maturità aziendale riguardo al rischio informatico non è una pratica possibile dall’oggi al domani, ma è un processo continuo che si realizza passo passo”, conclude Zanoni. “Grazie alle nostre attività consulenziali, in Mandiant aiutiamo le organizzazioni a ottenere un approccio migliore per identificare, mappare e ridurre i rischi in modo significativo e metodico”.
Per gestire con successo un rischio informatico, le organizzazioni devono ripensare e identificare meglio le minacce e fare in modo che le informazioni raccolte integrino e informino il profilo di rischio operativo. Spesso questa visione è mancante nella maggior parte dei programmi aziendali visionati da Mandiant.
Una corretta gestione del rischio informatico ha l’obiettivo di aiutare a mostrare minacce e vulnerabilità a cui l’organizzazione dovrebbe prestare maggiore attenzione a causa della loro pericolosità e possibilità di creare un impatto significativo e un reale rischio per l’azienda.
