vincenzo calabro'
  • computer engineer
  • cyber security analyst
  • digital forensics analyst
  • lecturer | speaker | trainer

Article. What i write

Strategia di cybersecurity in azienda

Pubblicato il 30 aprile 2022
Nel contesto attuale, caratterizzato da una crescente frequenza degli attacchi informatici, diventa essenziale che le organizzazioni adottino una strategia di cybersecurity efficace. Questa strategia deve basarsi sulla comprensione del contesto sia interno sia esterno dell’organizzazione, al fine di individuare i potenziali rischi e minacce cyber che potrebbero compromettere il raggiungimento degli obiettivi aziendali.
La giusta strategia di cybersecurity si basa sui principi di risk management, business continuity e la cui intersezione è propedeutica a garantire la cyber resilience: vediamo come implementarla in azienda.
Vincenzo Calabro' | Cybersecurity in azienda, come adottare la giusta strategia

Perché la cybersecurity fondamentale per le organizzazioni

Una strategia di cybersecurity stabilisce le basi per il programma di sicurezza di un’organizzazione, consentendo ad essa di adattarsi continuamente alle minacce e ai rischi emergenti. Di fatto una strategia di cybersecurity ben strutturata è in grado di garantire:
  • La protezione dei dati: le aziende gestiscono una grande quantità di dati sensibili e riservati, tra cui informazioni sui clienti, registri finanziari, ricerche proprietarie e segreti commerciali. Le misure di cybersecurity aiutano a prevenire accessi non autorizzati, violazioni e fughe di dati che possono comportare notevoli danni finanziari e reputazionali.
  • La continuità aziendale: gli attacchi informatici possono interrompere le operazioni aziendali, causando tempi di inattività, perdita di entrate e maggiori costi di ripristino. Implementare solide misure di cybersecurity è cruciale per assicurare la continuità operativa dell’azienda, dato che consentono di mantenere la disponibilità dei sistemi e dei servizi, riducendo al minimo l’effetto degli incidenti informatici.
  • La gestione della reputazione: una violazione dei dati o un attacco informatico può danneggiare gravemente la reputazione di un’azienda ed erodere la fiducia dei clienti. Dimostrare un impegno nei confronti cybersecurity può migliorare la reputazione del marchio e attrarre clienti che danno priorità alla sicurezza nella scelta di prodotti o servizi.
  • La conformità legale e normativa: molti settori sono soggetti a normative sulla protezione dei dati e a standard di conformità (ad esempio GDPR,DORA, NIS2, ecc), la cui non conformità può comportare gravi sanzioni e conseguenze legali per le organizzazioni. Pertanto, una cybersecurity efficace contribuisce a rendere le organizzazioni maggiormente conformi alle normative del settore di appartenenza.
  • La tutela della proprietà intellettuale: La cybersecurity è fondamentale poiché protegge la proprietà intellettuale e impedisce il furto o l’accesso non autorizzato alle informazioni proprietarie. Ciò preserva il vantaggio competitivo dell’azienda, garantendo che i risultati delle attività di ricerca e sviluppo rimangano sicuri e confidenziali.
  • La protezione finanziaria: gli attacchi informatici possono portare a perdite finanziarie attraverso il furto di fondi, attività fraudolente e pagamenti di riscatti. Implementare robuste misure di cybersecurity è essenziale per mitigare il rischio di perdite finanziarie causate da minacce informatiche.
  • La sicurezza della catena di fornitura: Le imprese sono parte di complesse catene di approvvigionamento, dove i punti di vulnerabilità nella cybersecurity di un’organizzazione possono influenzare altre entità. Implementare una solida strategia di cybersecurity è quanto mai cruciale per proteggere l’intero ecosistema delle organizzazioni così interconnesse.
  • La produttività e la fiducia dei dipendenti: Il personale – soprattutto quando si lavora da remoto- deve poter operare e poter accedere a informazioni sensibili per svolgere le proprie attività in un ambiente sicuro. Ciò favorisce la fiducia tra il personale e permette di lavorare in modo produttivo, senza preoccupazioni riguardo alla sicurezza dei dati.
  • L’innovazione e la crescita: Il processo di digitalizzazione in corso e l’ampio utilizzo di tecnologie intelligenti pongono l’accento sull’importanza per le organizzazioni di garantire la cybersecurity. Allo stesso tempo, l’adozione di tecnologie sicure consente l’implementazione di nuovi modelli e tecnologie aziendali senza compromettere la sicurezza.
  • La fiducia del cliente: i clienti si aspettano che i loro dati siano gestiti in modo responsabile e sicuro. Dimostrare un impegno nei confronti della cybersecurity aiuta a costruire e mantenere la fiducia con i clienti, oltre a garantire relazioni con i clienti a lungo termine

Creare un piano di sicurezza informatica

Ogni organizzazione ha esigenze uniche, quindi non esiste un approccio universale per la creazione di una strategia di cybersecurity. Tuttavia, qualsiasi organizzazione può attraverso i seguenti passaggi sviluppare e attuare una strategia di cybersecurity efficace.

Effettuare una valutazione del rischio in termini di cybersecurity

È essenziale seguire un IT security risk assessment per consentire all’organizzazione di valutare, identificare e adattare la propria strategia di sicurezza globale. Questo processo è fondamentale anche per ottenere l’approvazione della direzione aziendale per l’assegnazione delle risorse necessarie e l’implementazione delle soluzioni di sicurezza appropriate. Inoltre, una un risk assessment completo aiuta a determinare il valore dei diversi tipi di dati prodotti e archiviati all’interno dell’organizzazione. Di fatto, senza tale valutazione, diventa estremamente difficile stabilire le priorità e assegnare le risorse tecnologiche dove sono più necessarie.
Inoltre, Si tratta altresì di identificare le fonti di dati più preziose per l’organizzazione, dove sono archiviate, oltre alle vulnerabilità associate per valutare accuratamente il rischio.
Di seguito l’elenco delle aree che costituiscono fonti per la valutazione:
  • Risorse – I sistemi di tracciamento delle risorse (un repository contenente tutte le risorse, ad esempio workstation, laptop, sistemi operativi, server, dispositivi mobili di proprietà aziendale) permettono di identificare le risorse.
  • Classificazioni dei dati – Si tratta di conoscere la tipologia di dati dell’organizzazioni, suddivisi in:
    • Dati Pubblici – Qualsiasi dato condiviso pubblicamente, ad esempio contenuto del sito Web, informazioni finanziarie disponibili al pubblico o qualsiasi altra informazione che non avrebbe un impatto negativo sull’azienda in caso di violazione.
    • Dati Riservati – Dati che non devono essere condivisi con il pubblico. I dati riservati possono essere utilizzati con terze parti o, in casi limitati, resi disponibili a soggetti giuridici esterni, ma richiederebbero un accordo di non divulgazione (No Disclosure agreement – NDA) o altre protezioni per impedire l’accesso ai dati.
    • Dati solo per uso interno – Simili ai dati riservati, ma che non devono o non possono essere condivisi con terze parti.
    • Proprietà intellettual – Dati critici per il core business e che, in caso di violazione, danneggerebbero la competitività dell’azienda
      • .
    • Dati riservati in base alla conformità – Dati che devono essere rigorosamente controllati. L’accesso e l’archiviazione di queste informazioni devono essere conformi al quadro in cui rientrano.
  • Mappatura delle risorse – Si tratta di fare un censimento dei vari asset presenti nell’organizzazione in termini di:
    • Software – Mantenere un archivio per il software aziendale autorizzato.
    • Sistemi –Mappare le risorse su un sistema o proprietario della risorsa utilizzando, ad esempio, un database di gestione centrale (Central Managed Data Base – CMDB).
    • Utenti – Catalogare gli utenti in base ai ruoli, utilizzando un sistema di Active Directory che definisce la modalità con cui vengono assegnate agli utenti tutte le risorse di rete attraverso i concetti di: account utente, account computer, cartelle condivise, stampanti di rete ecc. .
    • Identità – Garantire e monitorare regolarmente le assegnazioni agli utenti in base al loro ruolo o alla funzione.
  • Identificare le minacce – Si tratta di comprendere l’origine delle minacce in termini di:
    • Asset e fornitori: collaborare con i team legali per identificare i contratti con terze parti, incluso ad esempio l’elenco di attività NDA.
    • Infrastruttura esterna e interna : identificare tutti i punti di ingresso e uscita della rete
    • Punti di connessione tra i vari ambienti- I punti di connessione tra gli ambienti devono essere gestiti garantendo che i diagrammi di rete siano sempre accessibili e aggiornati. Nel caso di operazioni basate sul cloud, è altrettanto importante avere a disposizione i diagrammi dell’infrastruttura cloud.
  • Dare priorità ai rischi – Si tratta di:
    • Eseguire un’analisi dell’impatto aziendale (Business Impact Analysis -BIA) per identificare i sistemi critici e i proprietari dei dati.
    • Creare e mantenere un registro dei rischi per identificare i sistemi o le risorse che rappresentano il rischio più elevato per la riservatezza, l’integrità e la disponibilità dei sistemi dell’organizzazione.
  • Ridurre la superficie di attacco della organizzazione attraverso:
    • Implementazione della segmentazione della rete
    • Test di penetrazione
    • Gestione delle vulnerabilità

Impostare i propri obiettivi di sicurezza

Una componente chiave della strategia di cybersecurity è di garantire che sia in linea o al passo con gli obiettivi aziendali. Ne consegue che l’organizzazione, dopo aver stabilito gli obiettivi aziendali, può iniziare l’implementazione di un programma proattivo di cybersecurity, partendo dall’identificazione delle varie aree che possono aiutare nella creazione degli obiettivi di cybersecurity. Ovvero si tratta di:
  • Determinare la maturità della propria sicurezza – Si tratta di svolgerele seguenti attività:
    • Valutazione del proprio programma di sicurezza : si tratta di esaminare l’architettura, gli incidenti registrati passati e recenti, le violazioni , oltre a verificare le prestazioni del sistema di identità, accesso e gestione .
    • Verifica delle metriche : rivedere gli accordi sul livello di servizio (SLA) o gli indicatori chiave di prestazione (KPI).
    • Valutazione dello stato attuale di maturità: misurare la maturità in base alla capacità di cybersecurity dell’organizzazione, utilizzando uno strumento di autovalutazione.
  • Comprendere la propensione al rischio dell’organizzazione – Il registro dei rischi e i risultati di un’analisi dell’impatto aiuteranno a determinare come e a cosa dare priorità in termini di cybersecurity.
  • Determinare aspettative in modo oggettivo – Si tratta di tenere prendere consapevolezza della propria capacità organizzativa in termini di:
    • Risorse – Verificare la disponibilità di competenze interne per raggiungere gli obiettivi strategici di cybersecurity e, in caso contrario, se si ha a disposizione il budget sufficiente per assumere un fornitore di servizi di sicurezza gestiti (Managed Security Service Provider – MSSP).
    • Tempistiche – È importante definire le fasi chiave di ciascun obiettivo e informare regolarmente le parti interessate sullo stato di avanzamento.
    • Budget – Si devono esaminareattentamente i risultati dell’ IT security risk assessment dato che il budget dipende dall’esito della valutazione che determina se è necessario acquisire sistemi aggiuntivi per ridurre o mitigare il rischio.
    • Capacità di esecuzione – È importante, una volta chiarite le aspettative, valutare lo stato delle risorse per verificare se raggiungibili.

Valutare la propria tecnologia

Un altro componente chiave della strategia di cybersecurity è la valutazione della tecnologia. Ovvero, dopo aver identificato gli asset, si tratta di verificare la tecnologia a disposizione soddisfa le best practice di sicurezza, capire come funziona sulla rete e da chi viene gestita all’interno dell’azienda.
Ovviamente, le tecnologie invecchiano o evolgono e ciò rappresenta un costo per le aziende. Pertanto, occorre effettuare un assessment ponderato per dare priorità alle tecnologie con un impatto più significato per l'abbattimento del rischio cyber e, contestualmente, monitare l'efficacia e il mercato dei vendor.
Un azienda che opera nel digitale non può non avere un strumento di Backup robusto, un software di Identity and Access Management, un sistema per il monitoraggio degli endpoint e, infine, tenere aggiornati i sistemi.

Selezionare un framework di sicurezza

Oggigiorno, sono disponibili sul mercato molteplici framework atti a creare e supportare la strategia di cybersecurity. Ogni organizzazione può selezionare il framework più consono, in linea con i propri obiettivi ed esigenze sulla base de: irisultati della valutazione del rischio di cybersecurity, la valutazione delle vulnerabilità; i test di penetrazione. Il framework di sicurezza permetterà di disporre di informazioni sui controlli necessari per monitorare e misurare continuamente il livello di sicurezza della propria organizzazione.

Verifica delle politiche di sicurezza

L’obiettivo delle politiche di sicurezza è affrontare le minacce e implementare strategie di cybersecurity. Un’organizzazione può dotarsi di una politica di sicurezza generale, oltre a considerare sotto-politiche specifiche per affrontare le varie tecnologie in uso nell’organizzazione. Si consiglia una revisione periodica approfondita delle politiche di sicurezza per garantirne l’aggiornamento a fronte delle minacce in evoluzione.
Inoltre, è altrettanto importante formare i dipendenti sui principi di sicurezza utilizzando:
  • Piattaforma che gestisca campagne di phishing
  • Applicazioni di formazione sulla sensibilizzazione alla sicurezza
  • Eventi periodici di sensibilizzazione

Creare un piano di risk management

La creazione di un piano di risk management è una componente essenziale della strategia di cybersecurity. Tale piano fornisce l’identificazione e l’analisi dei potenziali rischi cyber che potrebbero potenzialmente avere effetti negativi sull’organizzazione, prima che essi si verifichino. Di seguito si forniscono alcune delle best practice in termini di politiche che possono essere incorporate nel piano di risk management e, precisamente:
  • Politica sulla privacy dei dati: fornisce la governance relativa al trattamento dei dati aziendali gestiti e protetti correttamente.
  • Politica di conservazione dei dati : stabilisce come, dove e per quanto tempo archiviare i vari tipi di dati aziendali.
  • Politica sulla protezione dei dati : stabilisce come l’azienda gestisce i dati personali dei propri dipendenti, dei clienti, dei fornitori e delle altre terze parti.
  • Piano di risposta agli incidenti : delinea le responsabilità e le procedure da seguire per garantire una risposta rapida, efficace e ordinata in caso di incidenti di sicurezza.

Implementare la strategia di sicurezza

Si tratta di definire le priorità per gli interventi correttivi a livello strategico e di assegnare compiti ai team, stabilendo tempi di intervento realistici per la revisione della strategia e per le correzioni necessarie.

Monitorare e aggiornare la strategia di sicurezza

È fondamentale monitorare e testare regolarmente la strategia di sicurezza e, se necessario, aggiornarla per assicurare che gli obiettivi rimangano adeguati al panorama delle minacce.

Come creare un team di risposta agli incidenti di cybersecurity

L’istituzione di un team di risposta agli incidenti di cybersecurity è un passo cruciale in qualsiasi organizzazione per gestire e mitigare efficacemente le violazioni e gli incidenti di sicurezza, garantendo così il successo della strategia di cybersecurity. Di seguito viene presentata una roadmap per avviare questo processo.
  • Definire obiettivi e ambito: delineare chiaramente gli obiettivi e l’ambito del team di risposta agli incidenti. Inoltre, si tratta di determinare i tipi di incidenti che saranno gestiti, il livello di competenza richiesto e le responsabilità principali del team.
  • Identificare le parti interessate: identificare le principali parti interessate dei vari dipartimenti – tra cui IT, legale, comunicazione, gestione e unità aziendali pertinenti – che dovranno fornire input e supporto durante gli incidenti.
  • Assegnare ruoli e responsabilità: definire ruoli specifici all’interno del team di risposta agli incidenti, i.e. responsabile degli incidenti, analisti tecnici, consulente legale, specialista delle comunicazioni, ecc. dato che è fondamentale che ciascun ruolo abbia responsabilità ben definite.
  • Reclutare e formare i membri del team – Selezionare i membri del team in base alla loro competenza ed esperienza in settori quali: sicurezza informatica, IT, medicina legale, legale e comunicazione. È importante, altresì, fornire ad essi la formazione necessaria per garantire che siano preparati per gestire gli incidenti.
  • Stabilire la struttura di reporting – Determinare la struttura di reporting all’interno del team e il modo in cui si interfaccia con il senior management, oltre a creare canali di comunicazione chiari per il flusso di informazioni durante gli incidenti cyber.
  • Sviluppare un piano di risposta agli incidenti – Elaborare un piano completo agli incidenti cyber che fornisca procedure dettagliate passo dopo passo per individuare, analizzare e mitigare gli incidenti, assicurando il ripristino dei servizi. Inoltre, il piano dovrebbe comprendere protocolli di comunicazione, procedure di escalation e istruzioni tecniche.
  • Definire i livelli di gravità degli incidenti – Creare un sistema per classificare gli incidenti in base alla loro gravità, consentendo di assegnare priorità e dedicare risorse appropriate a ciascuno di essi.
  • Implementare il rilevamento e il monitoraggio degli incidenti – Impostare strumenti e sistemi per il rilevamento e il monitoraggio degli incidenti in tempo reale. Ciò potrebbe includere sistemi di rilevamento delle intrusioni, informazioni sulla sicurezza, sistemi di gestione degli eventi (Security Information and Event Management – SIEM) e altre soluzioni di monitoraggio.
  • Creare canali di comunicazione- Stabilire canali di comunicazione interni affinché il team di risposta agli incidenti possa condividere rapidamente informazioni e aggiornamenti. Inoltre, è importante definire il modo in cui il team comunicherà con parti esterne (i.e. le forze dell’ordine, i clienti e il pubblico).
  • Simulare esercitazioni ed esercizi table top – Condurre regolarmente esercitazioni simulate di risposta agli incidenti ed esercizi table top che aiutano i membri del team a mettere in pratica i loro ruoli, a identificare le lacune nel piano di risposta, oltre a migliorare il coordinamento.
  • Coordinarsi con la funzione legale e di compliance – Assicurarsi che il piano di risposta agli incidenti sia conforme ai requisiti legali e normativi, oltre a coinvolgere consulenti legali per affrontare eventuali questioni giuridiche derivanti dagli incidenti.
  • Assicurare budget e risorse – Garantire che il budget e le risorse necessarie per strumenti, formazione, personale e qualsiasi altro requisito del team di risposta agli incidenti siano disponibili e adeguati.
  • Miglioramento continuo – Dopo ogni incidente, condurre una revisione post-incidente per valutare i successi e gli aspetti migliorabili, utilizzando tali informazioni per raffinare il piano di risposta agli incidenti e potenziare le capacità del team.
  • Rimanere aggiornati: Le minacce alla cybersecurity evolvono rapidamente; pertanto, è essenziale tenere il team di risposta agli incidenti costantemente aggiornato sulle ultime minacce, vulnerabilità e migliori pratiche tramite formazione continua e scambio di conoscenze.
  • Rivalutazione regolare – Rivedere e aggiornare periodicamente il piano di risposta agli incidenti per riflettere i cambiamenti in termini di tecnologia, di personale e di scenario delle minacce informatiche.