Una proposta globale per tendere alla Cyber Resilience
L’inserimento di una serie di impegni rilevanti del Piano Nazionale di Ripresa e Resilienza (PNRR) sul tema della Trasformazione Digitale è la conferma che l’esecutivo Draghi ha posto tale obiettivo tra le priorità dell’azione di governo per il rilancio dell’economia. A mano a mano che nelle organizzazioni si consolida il concetto che i dati rappresentano il fattore critico di successo nel supportare le loro business unit e le loro funzioni, aumentano le minacce informatiche e, di conseguenza, cresce la consapevolezza e la responsabilità che il mantenimento sicuro di tali dati deve espandersi oltre l’ambito IT.
È difficile immaginare un anno più impegnativo del 2020 per la sicurezza dei dati. La pandemia ha fatto sì che milioni di lavoratori in tutto il mondo svolgessero improvvisamente, con l’ausilio di strumenti insicuri e senza un’adeguata formazione, la propria attività da casa. Si è registrata una crescita esponenziale di tutti i tipi di attacchi cyber, in particolar modo sono aumentate le minacce verso i database aziendali e governativi, alcune provenienti da state actors altamente sofisticati, che, in alcune zone, hanno stravolto l’operatività e le catene di approvvigionamento e, di conseguenza, messo in ginocchio interi settori dell’economia.
Dopo un anno di osservazione ed analisi delle azioni di risposta a questa tempesta perfetta di minacce informatiche, emergono due intuizioni chiave correlate tra loro: da un lato è impensabile immaginare la cybersecurity come un complesso di strumenti e regole statiche e inviolabili, mentre occorre ragionare in termini di cyber resilience, ovvero la capacità di resistere ad interruzioni impreviste dei processi digitali; dall’altro lato è evidente che questa tematica non è più esclusivamente responsabilità della funzione IT. Piuttosto, man mano che i dati diventano più pervasivi tra le operazioni e le funzioni per il miglioramento delle performance aziendali, le organizzazioni hanno bisogno di un approccio completo alla resilienza informatica. In particolare, hanno bisogno di un piano chiaro su come gestire tutti gli aspetti e le responsabilità interfunzionali per mantenere tali dati al sicuro.
Le interruzioni continuano a crescere
La maggior parte delle organizzazioni era impreparata alla pandemia e al conseguente passaggio dagli uffici fisici al lavoro da casa. Le aziende e gli enti hanno permesso ai dirigenti di trovare soluzioni e prendere accordi ad-hoc per soddisfare le esigenze dei propri collaboratori. Di conseguenza, i team IT spesso non sapevano quali dispositivi venivano utilizzati dai lavoratori, quali applicazioni si trovavano su tali dispositivi, se avessero le patch di sicurezza appropriate, quale tipo di sicurezza veniva utilizzata per le connessioni Wi-Fi o la prevalenza di altri dispositivi connessi, come le console di gioco e gli smart home device, ecc.
Il risultato del ricorso a questo approccio, implementato per supportare la business continuity, ha portato ad un aumento esponenziale del rischio cyber. Gli attacchi informatici sono aumentati del 400% nel 2020 rispetto agli anni precedenti, principalmente a causa di operatori inesperti che sfruttano ambienti di lavoro virtuali e infrastrutture IT mal protette che sono state adattate al volo per le nuove esigenze lavorative. In media, le aziende spendono centinaia di migliaia di euro per affrontare e risolvere questo tipo di attacchi e, spesso, questo danno rappresenta per molte piccole e medie imprese un rilevante fattore di crisi economica con il conseguente aumento del rischio di fallimento.
L’attacco subito dal governo e dalle principali aziende statunitensi che utilizzano il software della SolarWinds è stato devastante e, allo stesso tempo, allarmante. La backdoor distribuita con un aggiornamento del software Orion ha esposto per otto mesi i dati sensibili di quasi 18.000 organizzazioni che sfruttano il predetto software per l’IT management e il Network monitoring. Non è escluso che l’hack non abbia consentito l’apertura di altri percorsi di accesso per futuri altri attacchi. Questo caso ha evidenziato, per chi non lo avesse già preso in considerazione, la forte criticità in tema cyber security legata alle IT supply chain. Spesso, l’entità dei danni che si espandono attraverso le catene di approvvigionamento potrebbe non essere rilevata per mesi, se non per anni.
Non si può più tornare indietro. I dati rappresentano un elemento chiave del vantaggio competitivo per le aziende di tutti i settori e per i governi, il ritmo della digitalizzazione non farà che accelerare questo processo. Allo stesso tempo, le minacce di interruzioni di servizio e gli attacchi deliberati per violare l’integrità e la riservatezza mettono sempre più a rischio i dati. Data questa complessità, le aziende devono cambiare prospettiva di visione, hanno bisogno di un approccio globale alla resilienza informatica che si basi sull’intera gestione dei dati (data management), quindi non più solo sugli aspetti tecnici dell’infrastruttura IT, e si estenda a tutti i ruoli dell’intera organizzazione.
L’importanza del Data Management
Il data management abbraccia i processi di accesso, archiviazione, organizzazione e gestione dei dati creati e raccolti da un’organizzazione. Le aziende devono garantire che i dati siano accessibili, comprensibili, collegati, affidabili e protetti. Inoltre, i dati devono essere sicuri in transito da un punto A ad un punto B attraverso una rete di computer o un’infrastruttura IT, perché spesso le interfacce di rete sono i principali punti di vulnerabilità per gli attaccanti.
Per affrontare la gestione dei dati all’interno di un’organizzazione in maniera produttiva, affidabile e sicura occorre rispondere a diversi quesiti critici:
- Da dove provengono e dove risiedono i dati utilizzati all’interno dell’organizzazione, ad esempio nei database o in un data warehouse o un data lakes?
- Con quale frequenza i dati vengono modificati e come si muovono nel tempo all’interno dell’organizzazione?
- Chi (come i membri dello staff IT) o Cosa (dispositivi internet-of-things o processi di altre reti) ha accesso ai dati?
- Come vengono utilizzati i dati? Ad esempio, sono trasformati prima di essere utilizzati oppure alimentano i sistemi critici dell’azienda in forma grezza?
- In una situazione di crisi, come una catastrofe naturale, è possibile accedere facilmente ai dati oppure bloccarli per impedire che siano persi?
- Se l’organizzazione dovesse affrontare un attacco informatico, come verrà effettuato il controllo dei dati per determinare il livello di compromissione? In che modo l’organizzazione traccia il flusso di dati contaminati attraverso l’architettura IT?
Nell’affrontare tutti questi interrogativi, le aziende devono trovare il giusto equilibrio tra l’obiettivo di rendere accessibili i dati, in modo che le business unit e le funzioni aziendali possano utilizzarli per creare valore, e, al contempo, garantirne la sicurezza in termini di integrità, riservatezza, disponibilità, autenticità e non ripudio. Inoltre, devono comprendere il panorama delle potenziali minacce e prepararsi a gestirle, in termini di rilevamento rapido, risposta efficace e ripresa efficiente. Poiché questo approccio manageriale richiede un impegno significativo, sia in fase di pianificazione che di esecuzione e controllo (si suggerisce l’adozione di metodi di gestione iterativi a miglioramento continuo come il ciclo di Deming), è necessario coinvolgere l’intera organizzazione, non solo per renderla responsabile e consapevole dei rischi cyber, ma per condividere la strategia aziendale.
Un approccio interfunzionale alla Cyber Resilienza
L’elemento cardine che occorre affrontare per realizzare una resilienza informatica efficace consiste nel disporre di tutti i dati che riguardano la rete aziendale, quindi non solo sui dispositivi e sulle applicazioni che i dipendenti utilizzano ogni giorno, e fornirli ai Team IT e della Sicurezza. Ciò richiede una pianificazione che consenta di modellare gli scenari per rivelare come e per cosa vengono acceduti i dati, insieme a tutti i possibili punti di contatto del network aziendale (ad esempio includere anche i nodi della supply chain). Si tratta di un livello significativo di situational awareness e richiede un impegno attivo interfunzionale tra i vari ruoli chiave aziendali.
Si propone, a titolo semplificativo, un elenco delle principali attività che potrebbero essere delegate alle principali figure aziendali per definire le componenti essenziali di un processo di cyber resilience:
- Chief data officer (CDO). Il CDO ha la responsabilità generale delle decisioni a livello esecutivo sulla gestione dei dati, sia durante l’operatività, che in caso di una possibile violazione. Un compito chiave che può svolgere il CDO è la creazione e la gestione delle classificazioni e categorizzazioni dei dati per i processi essenziali dell’azienda e dei sistemi associati.
- Amministratore dei dati. La catalogazione dei dati arriva al CDO attraverso gli amministratori dei dati all’interno di ogni business unit, ognuno dei quali ha una conoscenza diretta dei requisiti del proprio reparto. Conoscono i dipendenti che richiedono l’accesso a dati specifici, a quali sistemi o feed dovrebbero avere accesso e in che modo sarebbero influenzate le performance operative se alcuni dati non fossero disponibili o contaminati. Gli amministratori dei dati convalidano anche l’accuratezza dei dati, facilitano gli scambi con altre entità e mappano il flusso di dati.
- Team IT. Il team IT, inclusi gli ingegneri della sicurezza informatica e gli architetti IT, sono i gatekeepers dei dati. Definiscono i percorsi in base ai quali i dati entrano ed escono dai sistemi aziendali e l’insieme dei protocolli di sicurezza per ottenere l’accesso. In particolare, il team IT forma anche il personale sulla gestione dei dati, tra cui le policies per il lavoro da casa, i vincoli dei dispositivi, le regole per la gestione dell’hardware di proprietà dell’azienda e l’accesso alle reti fisiche e dati.
- Responsabile HR. La funzione HR dispone delle informazioni relative alle autorizzazioni di sicurezza e agli orari di lavoro, le policies e i requisiti per il lavoro da remoto. Queste informazioni consentono ai team di sicurezza informatica di identificare rapidamente le anomalie nell’accesso dei lavoratori ai dati critici e, cosa più importante, di dare priorità all’accesso per determinate persone e processi di lavoro in seguito ad un attacco informatico o alla business continuity in generale.
- Responsabile legale. La funzione legale (compreso il personale che si occupa di acquisizioni e partnership) si coordina con il CDO per garantire che i fornitori abbiano regole che stabiliscono i tempi di risposta in caso di crisi. Inoltre, il team legale fornisce consulenza sulle responsabilità dell’organizzazione e sul diritto di accedere ai dispositivi di proprietà personale compromessi, al fine di identificare potenziali vulnerabilità.
- Altri consulenti. La resilienza informatica richiede un supporto non convenzionale di un’ampia gamma di consulenti aggiuntivi. Ad esempio, gli analisti possono applicare modelli di analisi sui dati utilizzati per tenere traccia della progressione delle minacce e prevedere in che modo le postazioni compromesse possono influire su una rete. Gli ingegneri del software possono valutare le vulnerabilità nel software prima che sia implementato. Gli ingegneri delle utility, che in genere lavorano con infrastrutture fisiche come le centrali elettriche, possono aiutare le organizzazioni a sviluppare piani di ridondanza e di alimentazione alternativa nel caso in cui perdano le connessioni primarie. Infine, i consulenti esterni possono collaborare, sia come attaccante che come difensore, nelle simulazioni di crisi per individuare le vulnerabilità, oltre ad applicare le best practices provenienti da altre fonti esterne per aumentare le difese di un’organizzazione.
Ovviamente, per completare il processo di cyber resilience è necessario disporre della tecnologia adeguata che consente di raccogliere, elaborare ed analizzare velocemente grandi quantità di dati, provenienti da fonti interne ed esterne, e cercare di prevedere l’insorgere di situazioni critiche per la business continuity. A tal riguardo si ricorre, sempre più spesso, all’applicazione di tecniche di Machine learning e di A.I. poiché la pianificazione della resilienza informatica richiede, oltre che analisti di minacce qualificati, anche strumenti algoritmici avanzati come quelli messi a disposizione dall’apprendimento automatico e dall’intelligenza artificiale. Queste soluzioni sono in grado di individuare e selezionare sempre più rapidamente anomalie e minacce emergenti rispetto agli operatori umani e a costi nettamente inferiori.
Il crescente volume di dati scambiato tra le varie funzioni aziendali, i dispositivi e le reti crea un’opportunità di crescita e di valore per le aziende che hanno necessità di interagire con i fornitori, i clienti e gli altri stakeholders. Tuttavia, questa opportunità rappresenta un nuovo rischio di minacce informatiche per l’organizzazione. Se le organizzazioni implementassero una governance della gestione dei dati, adottassero un approccio interfunzionale alla resilienza informatica e applicassero le tecnologie fondamentali per la messa in sicurezza dei dati (come ad esempio la crittografia, la segmentazione, le regole di accesso selettivo, le ridondanza), sarebbero meglio attrezzate per proteggere uno degli asset più preziosi: i loro dati. Inoltre, sarebbero in grado di comprendere le potenziali minacce e agire di conseguenza in tempi rapidi. Potrebbero assumere il controllo delle eventuali crisi, adattarsi, agire in base alle informazioni il più complete possibile, comunicare bene e ispirare fiducia basandosi sul fatto che la loro operatività non verrà interrotta e le informazioni rimarranno al sicuro.
Nel panorama attuale, alcune organizzazioni si troveranno ad affrontare una situazione di incertezza quasi totale per quanto riguarda il prossimo futuro. Tuttavia, coloro che guarderanno avanti e agiranno in modo proattivo, saranno in una posizione di vantaggio non solo per sopravvivere, ma per crescere e sfruttare le nuove opportunità, indipendentemente da ciò che verrà.
Conclusione
Un’organizzazione che intende avviare un percorso di Digital Transformation affidabile non deve più osservare la Cyber Security come un requisito, ma deve includere le strategie di sicurezza tra gli obiettivi di business per realizzare con successo la propria missione.
Finché la sicurezza sarà trattata a margine degli asset fondamentali di un’organizzazione, ci sarà sempre una minaccia che mina al buon funzionamento attraverso attacchi informatici. Chi effettuerà investimenti nella sicurezza informatica, al fine di tenere il passo con la velocità e l’urgenza della trasformazione digitale, potrà cambiare per sempre la sicurezza dei dati.
Sfruttiamo la Digital Transformation per ottenere la Cyber Resilience.