L'adozione crescente di tecnologie digitali in tutte le pieghe delle organizzazioni aziendali porta inevitabilmente con sé non solo delle opportunità in termini di agilità, velocità e innovazione, ma anche una sensibile crescita delle vulnerabilità. Superfici di attacco sempre più ampie e confini sempre meno definiti obbligano di fatto le imprese a confrontarsi con un panorama di rischi cyber in continua evoluzione. La comprensione e la gestione di queste minacce richiedono un approccio olistico e ben informato, fondamentale per mantenere l'integrità e la fiducia nell'ambiente digitale.
L’importanza della cyber resilienza
È su questi aspetti che si è concentrata la ricerca "Cybernomics 101", condotta da Barracuda, realtà internazionale specializzata nello sviluppo di soluzioni di sicurezza per e-mail, applicazioni, reti e dati, in collaborazione con il Ponemon Institute.
Lo studio si è posto l’obiettivo su un aspetto chiave della sicurezza in ambito aziendale: l'importanza di adottare strategie di cyber resilienza che vadano oltre le semplici misure di prevenzione.
Le aziende devono sviluppare capacità non solo di difesa, ma anche di risposta e recupero efficaci. Prevenzione e rilevamento degli incidenti rimangono un pilastro fondamentale delle strategie di sicurezza, ma non bastano. Molte organizzazioni sono vittime di attacchi ripetuti, specialmente se non hanno affrontato le cause principali del primo incidente subito, né hanno identificato i punti di debolezza e le vulnerabilità che hanno permesso che si verificasse. Ciò che invece conta è come ci si prepara, si resiste, si risponde e si recupera rispetto a incidenti non solo possibili, ma oggi sempre più probabili.
Ed è proprio da qui che è partita la ricerca.
La situazione nel comparto retail
Le realtà del settore del retail non sono fiduciose quanto quelle dei servizi finanziari rispetto alla loro postura di sicurezza complessiva: a fronte di un 42% di rispondenti che valuta efficace la propria postura, troviamo un buon 39% che si colloca nella parte più bassa della scala di valutazione. C’è una sorta di dualismo del quale non si può non tenere conto. Lato corporate, le sedi centrali sono generalmente dotate delle tecnologie più recenti, data center e misure di sicurezza e protezione.
Ma poi esistono i centri di distribuzione e spedizione, le supply chain, i punti di vendita al dettaglio, che potrebbero utilizzare tecnologie completamente diverse o soffrire di un retaggio legacy difficile da rimuovere. Non è un caso che, in questo settore, le criticità maggiori dal punto di vista della governance siano rappresentate proprio dalla capacità di avere un quadro preciso di tutti i soggetti interni ed esterni all’organizzazione che hanno accesso a dati sensibili e confidenziali e di far aderire anche le terze parti alla policy adottate internamente.
Un’autovalutazione sulla propria cyber resilienza
È stato chiesto ai partecipanti – tutti specialisti di sicurezza aziendale – di fare un’autovalutazione rispetto alla loro cyber resilienza, ovvero alla loro capacità di gestire efficacemente i rischi, le vulnerabilità e gli attacchi informatici. Fatte salve le realtà del mondo Finance, che nel 55% dei casi valuta la propria postura di sicurezza come altamente efficace, nelle altre realtà, retail incluso, emerge più di una perplessità.
In generale, la sfida principale sembra essere strettamente legata alla governance e nello specifico alla mancanza di politiche e programmi di sicurezza coerenti su scala aziendale.
Molte preoccupazioni riguardano anche la sicurezza delle supply chain e l’eventualità che qualcuno, al di fuori dell'organizzazione, potrebbe avere accesso ai dati sensibili o confidenziali - entrambe aree di rischio significativo e obiettivi primari per i cyberattacchi.
Come descrivereste il vostro approccio ai piani di incident response?
48% - piano di incident response applicato in modo coerente in tutta l’organizzazione
25% - piano di incident response presente ma non applicato in modo coerente
19% - piano di incident response informale
8% - nessun piano di incident response
15% - piano di incident response presente ma mai testato
Il valore della trasparenza e della formazione
Va detto che l'implementazione di politiche coerenti può rappresentare un vero mal di testa organizzativo per i team di sicurezza. Non è solo una questione tecnologica. Spesso è difficile far accettare politiche restrittive – come l'accesso "just-in-time" o "least privilege" – a chi ha sempre avuto accesso libero a determinate applicazioni o dati. Analogamente, non tutti i dipendenti e collaboratori sono consapevoli non solo delle policy di sicurezza adottate in azienda, ma anche di come e in quale misura si applichino ai loro sistemi o ruoli.
La mancanza di consapevolezza e di conoscenza rappresenta un ostacolo all’efficacia dell'implementazione delle policy stesse e accresce. La vera sfida nella governance della sicurezza è la capacità di essere aperti e trasparenti con dipendenti e collaboratori in merito alle policy, a chi si applicano, alla loro importanza. Fondamentale è accompagnare le azioni prescrittive con attività di formazione e informazione regolari. È importante essere reattivi ai cambiamenti e rivedere e aggiornare regolarmente le politiche di sicurezza, in modo che siano allineate con le minacce in evoluzione e le esigenze aziendali.
Ma ci sono altre sfide che i responsabili della sicurezza devono affrontare. Nelle realtà di più piccole dimensioni spesso devono fronteggiare il problema della sottovalutazione del rischio da parte del management, mentre nelle realtà più grandi budget e competenze restano i due punti di attenzione più importanti.
L’importanza dei piani di incident response
Per quanto riguarda i piani di incident response, circa metà di tutte le organizzazioni intervistate, indipendentemente dal settore o dalla dimensione, ne sono dotate, applicandoli in modo coerente in tutta l'organizzazione, e li testano formalmente almeno una volta all'anno. Tuttavia, le buone notizie finiscono qui.
Resta infatti un quarto di realtà che non effettua mai i test, considerati onerosi e “di disturbo” al regolare svolgimento delle attività, e non sono poche (una su dieci) le realtà che addirittura ammettono di non averne uno.
È evidente che se un'organizzazione non ha un piano su come reagire in caso di incidenti di sicurezza, rischia di trovarsi in una posizione precaria, senza sapere come reagire agli eventi. Di converso, effettuare simulazioni aiuta le aziende a migliorare la loro capacità di rilevare, rispondere, mitigare e apprendere da incidenti di sicurezza.
Una metodologia per prepararsi alla cyber resilienza
Per facilitare la comprensione dei rischi attuali e della postura di sicurezza della propria azienda, può essere utile adottare una metodologia in quattro fasi
- identificazione delle minacce (eventi o circostanze che possono danneggiare processi, beni, individui o altre organizzazioni),
- identificazione delle vulnerabilità (debolezze che espongono l'organizzazione o l'asset a potenziali sfruttamenti),
- valutazione della probabilità (frequenza con cui può verificarsi uno scenario di rischio) e del rischio stesso (potenziale di un esito avverso).
Una volta valutato il livello di rischio, si può decidere il livello di protezione necessario: ad esempio, una protezione elevata comporta restrizioni significative, ma assicura una sicurezza quasi totale; al contrario, una protezione bassa garantisce una maggiore semplicità d’uso, ma aumenta l’esposizione ai rischi. Si tratta comunque di un primo assesment di cyber resilienza, che consente di pianificare un percorso per raggiungere gli obiettivi desiderati e di gestire i rischi e che aiuta a prendere decisioni informate su come gestirli o mitigarli.
