Sotto il fuoco incrociato di Cyber Crime e Cyber Espionage, le aziende dovrebbero dimostrare una progressiva capacità di reazione, adottando modelli organizzativi nuovi e impiegando ruoli chiave, come il Chief Information Security Officer (anche CISO).
Dati alla mano, sabotaggio e spionaggio cyber costituiscono due forme di attacco informatico in costante aumento: a rischio Cyber Security sono i dati e le informazioni aziendali, riconosciuti – oggi più che mai – come il vero patrimonio aziendale. Ecco allora perché, definire politiche di data protection è diventato fondamentale, per il successo e la tutela di ogni azienda. Ed ecco anche spiegato il perché, rispetto alla moltitudine di altri professionisti specializzati in security, sta acquisendo un ruolo di primaria importanza il Chief Information Security Officer, il Responsabile per la sicurezza delle informazioni, in grado di definire la giusta strategia di protezione di questi asset aziendali e di mitigare i possibili rischi informatici: un approccio strutturato, con visione di lungo periodo basata sui possibili impatti e con la necessaria pianificazione finanziaria, si rende indispensabile per affrontare in modo efficace le sfide che attualmente il mercato propone.
La cyber security, d’altra parte, non è più soltanto un tema tecnologico di competenza ICT, ma una vera e propria sfida strategica, dal carattere marcatamente finanziario. La considerazione da cui si deve partire è che le informazioni sono un indiscusso asset aziendale. «Qualcuno mi dovrà spiegare perché i dati non compaiono mai come voci di bilancio, come invece avviene per marchi e brevetti – ironizza Alessio Pennasilico, Information & Cyber Security Advisor in P4I-Partners4Innovation – Quel che è certo è che le informazioni hanno un loro valore e la costruzione di una corretta strategia di cyber security deve partire proprio dalla valorizzazione dei dati da proteggere. Questo significa, anzitutto, avere chiaro quali informazioni detiene l’organizzazione, quali sono i dati da proteggere e che natura hanno, dove sono e chi ne è responsabile».
Who's Who
Alessio Pennasilico
Oltre a questo, è indispensabile poter valorizzare anche il danno associato ad un eventuale incidente. La raccolta delle informazioni di contesto, infatti, deve portare alla realizzazione di una Analisi Quantitativa del Rischio dalla quale sia possibile evincere, in termini economici, i rischi analizzati, e così fornire alla Direzione una risposta alla domanda: quanto costa un incidente?
Come valutare il costo di un eventuale incidente
«Molte informazioni sugli impatti sono già presenti in azienda, ad esempio il costo di un fermo della produzione, altre possono essere facilmente calcolate, come l’ingaggio di professionisti esterni o l’acquisto di materiali nuovi, altre, infine, possono essere approssimate in fasce, quali la responsabilità verso terzi o i danni per mancata erogazione di servizio, l’applicazione di sanzioni o i danni reputazionali. La corretta stima di un danno, insomma, prevede almeno la somma di tutti i danni diretti, indiretti e da responsabilità», spiega Pennasilico.
Una volta valorizzati danni e informazioni, come deve procedere il Chief Information Security Officer per adottare una politica della security intesa come disegno strategico a lungo termine, in grado di garantire la sicurezza anche durante il cambiamento?
Remediation & Improvement Plan
Conoscendo l’impatto, si possono individuare le possibili cause di tali incidenti (i.e comportamenti illeciti, commessi da soggetti terzi o risorse interne all’azienda, condotte negligenti o imprudenti, errori o eventi naturali) e si possono definire, in accordo con la strategia finanziaria aziendale, gli interventi tecnologici e organizzativi da intraprendere per minimizzare la probabilità di accadimento o il danno subito. In pratica, si deve definire un Remediation & Improvement Plan, sulla base del rapporto costi/benefici specifici per la propria azienda, rispetto allo scenario globale ed al contesto di riferimento, in accordo con il risk appetite definito dalla Direzione.
Questo comporta altresì che si dovrà tenere monitorato in modo costante lo scenario contingente, al fine di rimodulare il Piano, in caso di sopravvenute necessità.
Diventa indispensabile, infatti, saper riconoscere le nuove minacce, intercettare i sempre più avanzati vettori di attacco, ma anche individuare le costanti evoluzioni normative, orientate all’adozione di misure intese a rafforzare la sicurezza cibernetica. Un esempio per tutti é il Regolamento europeo Cybersecurity Act, di ormai prossima pubblicazione, che si affiancherà, ed in parte sarà complementare, alla prima normativa in materia di sicurezza cibernetica introdotta a livello dell’Unione, ossia la Direttiva NIS del 2016.
Allo stesso modo, è necessario mantenere attivo l’equivalente di un “osservatorio aziendale permanente” su possibili evoluzioni di metodologie, strumenti di gestione e strumenti tecnologici (hardware, programmi, servizi) al fine di assicurarsi di avere sempre a disposizione i più adatti a mitigare i propri scenari di rischio.
«Ci sono due ulteriori fattori determinanti, di cui il CISO deve tener conto nella propria strategia: il fattore tempo e la resilienza a incidenti così gravi da poter essere definiti crisi», afferma l’esperto
Circa il fattore tempo, come confermato nell’edizione annuale del 2019 CISO Benchmark Study di Cisco, condotto su un campione di 3200 CISO di 18 Paesi nel mondo, tra cui l’Italia, il 48% degli intervistati ha citato l’importanza dei “tempi di remediation”, rispetto al 30% dell’edizione precedente. E proprio nel considerare questo aspetto, va detto che, gli strumenti automatici (come i vulnerability scan) quanto gli strumenti di verifica e controllo (penetration test, gap analysis, assessment, audit…) sono un ottimo ausilio per l’identificazione ed il contrasto di molte minacce, ma troppo spesso le evidenze di tali attività vengono gestite dopo settimane o mesi, se vengono gestite.
«Dovrebbe essere maggiormente chiaro, nel definire le politiche di verifica, ed in particolare quelle del vulnerability management, che l’obiettivo principale non é verificare il più spesso possibile, ma riuscire a gestire la maggior quantità di segnalazioni nel minor tempo possibile», riferisce Pennasilico.
La collaborazione fra Chief Information Security Officer e le altre funzioni aziendali
Relativamente a possibili stati di crisi, invece, il Chief Information Security Officer dovrà fornire la più ampia collaborazione per la realizzazione della politica di Business Continuity e la relativa Business Impact Analysis, per poi supportare l’IT nell’implementare il conseguente Disaster Recovery. “Questo è uno dei tanti esempi in cui il CISO non è l’unico decisore, ma uno degli attori che si deve coordinare sinergicamente con altre funzioni aziendali, al fine di comprendere il contesto, stabilire una strategia, implementarla e verificarne l’efficacia. In progetti simili, il CISO deve collaborare attivamente con le funzioni di ICT, Safety, Marketing, Compliance, HR, Finance, etc. così che ognuno possa contribuire e gestire gli aspetti di propria competenza», conclude l’esperto.
Per i non esperti di information security, infatti, è importante non cadere nell’errore di attribuire troppa fiducia alla tecnologia. Una strategia efficace di Information Security, infatti, deve tener conto della competenza e della consapevolezza di tutti gli attori coinvolti, dagli utilizzatori interni, fino al personale di Clienti, Partner e Fornitori.
Compito del Chief Information Security Officer, quindi, deve essere il motore che avvia un processo di creazione di tale cultura della sicurezza, cercando di uniformarla, innalzandola continuamente, rispetto a tutti gli stakeholder coinvolti. Nel processo di creazione di tale Information & Cyber Security Awareness, possiamo dire che il CISO abbia un ruolo anche sociale.
La rubrica “Sicurezza nell’era della Digital Transformation”
Questo articolo rientra nella rubrica curata dagli esperti legali di P4I-Partners4Innovation che fa il punto sulle figure professionali, sui framework normativi e su come affrontare l’avanzata delle nuove tecnologie gestendone i rischi.
Leggi anche
Garantire sicurezza nell’innovazione: i 10 elementi che lo rendono possibile
