Sono le cinque del mattino e il direttore generale di una piccola realtà riceve una telefonata in cui apprende che intere parti del sito aziendale sono irraggiungibili. Si tratta di un problema di sicurezza, ma quale? Dove cercare la falla? I pilastri per gestire la sicurezza di una organizzazione sono tre, quando si parla di dati e patrimonio informativo. La confidenzialità, l’integrità e l’accessibilità. Quale di questi è venuto meno? Tutelare le risorse significa anche impedirne l’alterazione, la modifica o la cancellazione da parte di soggetti non autorizzati. Chi può in teoria cancellare parti di un intero sito? Un dipendente, ad esempio, uno sviluppatore che ha lasciato da poco l’organizzazione, in contrasto con la proprietà. Forse si tratta di un caso limite, ma il tema della revoca dell’accesso è reale. E rivela uno dei potenziali problemi quando si parla di cybersicurezza: guardare a orizzonti ampi (spionaggio industriale, malware, apt) e non considerare chi può far danno in casa.
Eppure, è risaputo che, intenzionalità a parte, l’errore umano spalanca la porta agli incidenti sulla sicurezza e le azioni inappropriate hanno un impatto, anche finanziario, su tutta l’organizzazione.
Non basta però reperire la migliore tecnologia sul mercato per pensare di essere al riparo da ogni minaccia? Come gli addetti ai lavori sanno bene, pensare alla cybersicurezza come insieme di tool per anticipare ogni potenziale tempesta equivale a poter pensare di indirizzare il vento. Ma le aziende che hanno della cybersicurezza una visione di processo, e non di prodotto, hanno tutte le potenzialità per orientare le vele e questo dovrebbe essere il loro obiettivo realistico.
Processi, non prodotti
Ma in che modo? Un primo passo è proprio quello di chiedersi cosa significa pensare alla sicurezza come processo e non come prodotto. Anche perché questi ultimi cambiano costantemente: il divario di potenzialità tra una realtà grande e una piccola può farsi ampio rispetto alla proposta di mercato e all’accelerazione tecnologica incessante. Tuttavia, alcuni capisaldi sono comuni per tutte le aziende che vogliono strutturare una cyberstrategy adeguata e coerente:
- La capacità di avere una piena conoscenza degli asset aziendali;
- Una visione olistica dei processi digitali e fisici interni;
- L’implementazione delle opportune misure per individuare le criticità o risolverle;
- La compliance con le normative;
- La promozione di una security awareness tra il personale, non solo per responsabilizzarlo ma anche per motivarlo.
Per realizzare quindi un’efficacia strategia aziendale sulla sicurezza, da cosa partire? Dalla conoscenza della propria cybersecurity posture.
Lo stato della propria arte
La security posture è di per sé “lo stato di sicurezza delle reti, delle informazioni e dei sistemi di un’azienda in base alle risorse (ad es. persone, hardware, software, politiche) e alle capacità di gestire la difesa e di reagire ai cambiamenti”. Ogni azienda deve costruire le strategie per garantire sicurezza a tutte le sue risorse, dai dati agli asset nodali per il funzionamento e la continuità operativa del business. Ma non si può negare che la cybersecurity posture è strettamente connessa anche a soggetti terzi, come dipendenti, fornitori, provider cloud e perfino i clienti. Con tutti bisogna tenere un approccio proattivo.
Il primo step è essere consapevoli della propria cybersecurity posture, che orienterà quindi tutte le decisioni da prendere per evitare rischi o, quantomeno, limitare i danni operativi e reputazionali connessi alle falle nella sicurezza. Una visione errata dei processi, dei ruoli e delle funzioni sul fronte della sicurezza determineranno la costruzione di una strategia inadeguata e, in alcuni casi, investimenti sbagliati, con tempo di perdita e denaro. Ogni azienda ha i suoi gioielli della corona e i sistemi di sicurezza devono tenere conto di questo aspetto.
L’asset più sensibile di una clinica saranno i dati dei pazienti; una startup innovativa deve proteggere in primis la proprietà intellettuale; un player di servizi finanziari ha nelle transazioni il suo punto debole; le società che ne acquisiscono altre potrebbero esporre il fianco a minacce inedite e confrontarsi con contesti normativi diversi in materia di protezione dei dati.
Un viaggio complesso
Stabilire le priorità, identificare i rischi, adottare un giusto framework di sicurezza, dotarsi di strumenti, competenze e ruoli è quindi un vero e proprio journey. Trovare un partner in grado di offrire il suo know per valutare e correggere la cybersecurity posture efficiente può fare la differenza. La verifica degli standard esistenti investe in prima battuta la governance, le policy, i processi, per individuare i punti di forza e di miglioramento. Per colmare i gap è necessario individuare le vulnerabilità e le criticità, a diversi livelli, dall’analisi superficiale delle reti allo scandaglio delle vulnerabilità sospette con relativi stress test.
Ma le mancanze non vanno colmate solo sul fronte degli strumenti e delle prassi, ma anche delle informazioni e delle competenze a tutti i livelli dell’organizzazione: le figure di vertice, come il Ciso e il Dpo, possono apportare competenze trasversali, oltre che doti manageriali e di leadership. Ma non possono supplire i limiti conoscitivi di tutta l’organizzazione che deve essere guidata, con i giusti strumenti, alla maggiore consapevolezza possibile.