Qualsiasi azienda, ma verrebbe da dire qualsiasi persona, oggi non può prescindere dall’adozione di strumenti adeguati di cybersecurity. L’aumento esponenziale degli attacchi informatici, rilevato ogni anno ad esempio da Clusit (Associazione italiana per la sicurezza informatica), non rappresenta soltanto un attentato alla sfera della privacy ma, nel caso delle imprese, costituisce una vera e propria minaccia agli asset aziendali e al business medesimo. Ecco perché le organizzazioni devono mettere in campo una strategia con una forte componente proattiva, che miri cioè a prevenire gli attacchi cyber e gli incidenti informatici. Dipenderà anche da questa strategia la capacità di reagire più velocemente e di mitigare gli effetti di un attacco qualora si verifichi.
Quando nasce la cybersecurity?
Sebbene la cybersecurity sia diventata una buzzword in questi ultimi anni, anche in seguito ad alcune violazioni eclatanti riportate dai media generalisti, i suoi albori si possono far risalire agli inizi degli anni Settanta.
È del 1971, infatti, la creazione di Creeper, il primo virus che aveva l’obiettivo di testare il sistema Arpanet, l’antenato di Internet. La sua genesi è strettamente legata alle contromisure, vale a dire alla realizzazione di un antivirus, Reaper, in grado di rintracciare ed eliminare l’antagonista. Da allora, lo scenario delle minacce si è arricchito di modalità sempre nuove, ognuna delle quali ha portato con sé una pericolosità supplementare.
In questo scenario, le tecniche di attacco sono diverse, con una tassonomia che può variare in funzione dei criteri di analisi. Clusit per il 2021 ha identificato 8 macro categorie, in cima alle quali si posiziona il malware, responsabile del 41% degli attacchi accaduti l’anno scorso. A loro volta, le macro-categorie sono suddivise in 59 sottocategorie, indice del fatto che la cybersecurity ormai è diventata un ambito nel quale non c’è più spazio per l’improvvisazione.
Quando si verificano gli attacchi informatici?
Tra le categorizzazioni possibili degli attacchi informatici, Gartner propone uno schema riepilogativo di quelli più comuni.
Phishing e attacchi basati sul Social Engineering
Gli attaccanti ingannano gli utenti con credenziali di accesso fittizie, spingendoli a compiere azioni che aprono loro la porta in maniera tale da trasferire informazioni e dati all’esterno (Data Exfiltration).
Rischi dei servizi connessi a Internet e al Cloud
Queste minacce riguardano l’incapacità di aziende, partner e fornitori di proteggere adeguatamente i servizi Cloud o altri servizi Internet come, ad esempio, la mancata gestione della configurazione.
Compromissione degli account collegati a password
Gli utenti non autorizzati utilizzano software o altre tecniche di hacking per identificare password comuni e utilizzate di default per accedere a sistemi, dati o risorse riservate.
Uso improprio delle informazioni
Gli utenti autorizzati diffondono inavvertitamente o deliberatamente le informazioni a cui hanno legittimo accesso, aprendo la strada a un loro uso improprio.
Attacchi legati alla rete e Man-in-the-Middle”
Avvengono quando gli aggressori intercettano il traffico di rete non protetto, reindirizzandolo o interrompendolo a causa della mancata crittografia dei messaggi all’interno e all’esterno del firewall di un’organizzazione.
Sono quelli in cui partner, fornitori o software di terzi vengono compromessi, diventando così un vettore per attaccare o per esfiltrare informazioni dai sistemi aziendali.
Attacchi Denial of Service (DoS)
Gli attaccanti sovraccaricano i sistemi aziendali, provocando un arresto o un rallentamento temporaneo. Anche gli attacchi DDoS (Distributed DoS) puntano a raggiungere lo stesso scopo, ma con l’ausilio di una rete di dispositivi.
Ransomware
È un malware che infetta gli apparati di un’organizzazione e limita l’accesso ai dati fino a quando non venga corrisposto un riscatto all’autore dell’attacco. Spesso è abbinato alla minaccia di diffondere o rivendere i dati nel Dark Web se non si paga il riscatto.
I 5 pilastri di una strategia di cybersecurity
Alla luce di quanto detto sopra, come si costruisce una strategia di cybersecurity per la propria azienda tendendo conto di 5 fattori imprescindibili?
Conoscere il panorama delle minacce informatiche
Quali sono le categorie di minacce informatiche a cui oggi si è più esposti? Tra quelle ricordate da Gartner, ce ne sono alcune che possono danneggiare in particolare l’impresa perché la sua situazione si presta a una maggiore vulnerabilità? Ad esempio, uno Smart Working diffuso potrebbe esporre al phishing, così come un mancato controllo degli endpoint potrebbe facilitare l’ingresso di un malware. Si tratta di un panorama in costante aggiornamento rispetto al quale bisogna essere preparati.
Valutare la propria maturità in termini di cybersecurity
La consapevolezza dei rischi deve andare di pari passo con una valutazione oggettiva della propria maturità dal punto di vista della sicurezza informatica. Esistono alcuni strumenti a tal proposito, come il framework dell’agenzia statunitense NIST (National Institute of Standards and Technology), che permettono di fare una fotografia della situazione reale. Il loro utilizzo può aiutare l’azienda a sapere qual è il livello di protezione garantito dalle policy, dai sistemi e dalle tecnologie attualmente in uso.
Definire una strategia idonea di cybersecurity
Le due attività precedenti servono a determinare in che modo raggiungere gli obiettivi strategici attraverso risorse e strumenti dedicati. Sono anche il fondamento su cui l’IT deve coinvolgere il top management dell’azienda per indirizzare gli investimenti nel potenziamento delle competenze interne, nel coinvolgimento di partner esterni o nel mix delle due soluzioni.
Documentare la strategia di cybersecurity
Tutte le azioni che si riferiscono alla cybersecurity devono essere accuratamente documentate attraverso valutazioni di Risk Assessment, piani, policy, linee guida e procedure che da un lato descrivano in dettaglio la loro corrispondenza con gli obiettivi che si intendono conseguire, dall’altro individuino i vari profili di responsabilità. E poiché la cybersecurity riguarda tutte le persone che lavorano in azienda, la formazione va considerata parte integrante della strategia.
Monitorare e, quando occorre, aggiornare
Lo sviluppo e l’implementazione di una strategia di cybersecurity è un processo continuo che va rivisto periodicamente mediante audit interni ed esterni, test ed esercitazioni che simulino ciò che accadrebbe in circostanze realmente critiche. Al mutare delle minacce, devono cambiare anche le misure di contrasto, altrimenti un modello di cybersecurity obsoleto renderebbe vani gli sforzi compiuti fino a quel momento per mettere in sicurezza dati e sistemi aziendali.
Chi è il responsabile della sicurezza delle informazioni?
Ai fini di una strategia efficace di cybersecurity, il suo presidio dovrebbe essere appannaggio di una figura ad hoc come quella del CISO (Chief Information Security Officer). Il CISO non va confuso con il DPO (Data Protection Officer), il profilo previsto nel GDPR in taluni casi come soggetto obbligatorio affinché l’azienda sia conforme al regolamento europeo sulla privacy. A differenza del DPO, infatti, il CISO non vigila tanto su dei requisiti di compliance, ma svolge compiti che vanno dall’assessment della sicurezza e del rischio cyber fino alla definizione delle policy per tutta l’azienda. L’ultima edizione dell’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano, oltre ad aver registrato nel 2021 un incremento del 13% del mercato italiano della cybersecurity ha anche evidenziato la crescita della presenza formale del CISO, con quasi la metà (il 46%) delle aziende che ormai se ne avvale. Segno di un interesse per i temi della cybersecurity che si sta facendo strada anche tra le società italiane, seppure la spesa del nostro Paese risulti ancora la più bassa all’interno del G7.
Le attività fondamentali per la sicurezza informatica
Una strategia di cybersecurity non può ovviamente prescindere da una serie di attività e di tecnologie che includono la sicurezza della rete, degli endpoint, delle applicazioni e dei dati. A cui va associata la gestione dell’identità e degli accessi, nonché un’architettura Zero Trust che sostituisca la cosiddetta “fiducia implicita”. Quest’ultima si basa sul presupposto che siccome un utente si trova all’interno del perimetro aziendale, allora ne deriva la certezza sulla sua identità. L’approccio Zero Trust, invece, si basa sull’autenticazione multifattoriale reiterata, a prescindere da dove si trovi l’utente.
Non esiste, tuttavia, tecnologia sicura che possa prescindere da una cultura della cybersecurity in cui i dipendenti per primi sono sensibilizzati a tenere comportamenti in linea con la mitigazione del rischio informatico. Se anche fosse vero quello che a suo tempo affermò John Chambers, ex CEO di Cisco («Ci sono soltanto due tipi di aziende: quelle che sono state hackerate e quelle che ancora non se ne sono accorte»), ciò non significa che si possa rinunciare a una strategia efficace di prevenzione dagli attacchi cyber. Una strategia al centro della quale, insieme alle tecnologie, vanno poste competenze e persone.