Per le aziende di oggi, il cui contesto competitivo va sempre più digitalizzandosi, la capacità di salvaguardare le informazioni e i sistemi informatici è vitale; serve un vero e proprio “sistema immunitario” che neutralizzi gli attacchi malevoli. Ma per realizzarlo, le organizzazioni devono capire fino in fondo il valore dell’It e i rischi a esso connessi (soprattutto legati a dati, informazioni e identità), modellando la propria capacità di difesa senza compromettere o impattare negativamente il business, oggi innegabilmente innervato di tecnologia.
Un ‘sistema perfetto’ è utopistico, non esiste la sicurezza al 100%, ciascuna impresa dovrebbe determinare il proprio ‘grado/fattore di protezione’; gli analisti di Bcg – Boston Consulting Group, Stefan Deutscher, Walter Bohmayr, William Yin e Massimo Russo nel loro articolo intitolato ‘Cybersecurity meets It Risk Management – A corporate immune and defense system’ ci aiutano a definire il percorso da intraprendere.
Chi è ‘a rischio’?
“I bersagli di hacker e cyber-criminali non sono i sistemi in sé quanto le informazioni che transitano lungo i processi aziendali attraverso i sistemi”, osservano gli analisti di Bcg. “E il valore di tali informazioni si trova ‘negli occhi di chi guarda’, illegittimamente dall’esterno”. Come possono essere carpite informazioni del cui valore l’azienda-vittima è ben conscia, così possono essere trafugati o danneggiati dati ritenuti non strategici ma che invece l’hacker reputa importanti: “I piani strategici relativi al mercato di un’azienda, la produzione, le politiche di pricing sono indubbiamente beni di elevato valore, ma ci sono moltissimi altri dati che apparentemente si potrebbero considerare ‘meno importanti’ ma che agli occhi del concorrente o di un criminale potrebbero risultare ‘ad alto potenziale’”.
Il cerchio delle organizzazioni ‘a rischio’ di fatto continua ad ampliarsi e oggi nemmeno le Pmi, tradizionalmente meno soggette ad attacchi mirati di cybercrime, possono considerarsi al riparo da tali minacce. L’ampio utilizzo dei dispositivi mobili ha innegabilmente ampliato le opportunità di attacco non solo perché con tali device si accede ai servizi ‘ospitati’ nei data center aziendali, ma perché spesso sono proprio questi ‘oggetti’ attraverso i quali si eseguono dei veri e propri processi critici di business (pensiamo al controllo da remoto, via mobile o portale web, di apparecchiature o macchine e linee produttive); scenario che diventa ancor più critico e vulnerabile, in generale, se pensiamo agli impatti di fenomeni come l’IoT e quello ad esso strettamente connesso delle Smart Machine (compresi sistemi fisici come i Robot governati via software).
Focus su tecnologia, costi e potenziali impatti negativi
“Per elevare il ‘grado/fattore di protezione’ della propria azienda è necessario concentrare gli forzi indirizzando lo sguardo attraverso differenti lenti e punti di osservazione”, scrivono gli analisti nell’articolo citato. “Tre quelli più importanti: tecnologia, costi e potenziale impatto negativo sull’azienda”.
Riuscire a scegliere la tecnologia più corretta non è mai semplice; il primo passo è “la comprensione e la quantificazione del valore dei rischi che un’azienda vuole contrastare; dopodiché vanno identificate le tecnologie disponibili sul mercato trovando il giusto mix tra firewall, sistemi di rilevamento e prevenzione delle intrusioni, protezione dalla perdita dei dati, controllo degli accessi e delle identità, ecc. Non solo, l’utilizzo delle tecnologie va compreso anche in funzione delle normative nazionali, internazionali e quelle specifiche del settore di mercato di appartenenza o nel quale si opera”.
Il costo per la sicurezza è un altro di quegli elementi chiave da prendere in considerazione: “Un’azienda deve capire preventivamente qual è il rischio massimo (di reputazione, operativo o finanziario, compresi i ‘costi di bonifica’) che è disposta a correre e, quindi, misurare il valore marginale della ‘protezione aggiuntiva’ che dovrà essere acquisita attraverso un investimento (economico, di ruoli, di competenze, ecc.)”, è lo spunto di riflessione offerto dagli analisti. “Ciascuna azienda dovrebbe quindi decidere il proprio livello di spesa ottimale in base alla strategia di business e alla tolleranza del rischio. Sembrerebbe una valutazione ragionevolmente semplice ma la maggior parte delle aziende non procede secondo queste logiche”. Infine, andrebbe preso in considerazione il potenziale impatto negativo verificabile a seguito di un attacco o a fronte di un rischio non mitigato, comprese le conseguenze in termini di ‘remediation’.
Cybersecurity e It Risk Management come un tutt’uno
Il fatto che gli analisti focalizzino così ampiamente l’attenzione sul concetto di rischio è perché, a loro avviso, per poter sviluppare quel robusto ‘sistema immunitario dell’It’ di cui si è parlato all’inizio, la Cybersecurity deve essere gestita come componente di una più ampia strategia di It Risk Management (figura 1).
Partendo da questo presupposto, secondo gli analisti esistono 6 categorie di rischi It:
- il rischio relativo alla sicurezza informatica nel senso più stretto: ad esempio, quali sono i rischi di un criterio di gestione delle password inappropriato o delle patch di software e firmware non aggiornate?
- il rischio connesso all’It operation e alla business continuity: qual è, per esempio, il rischio di una banca se il proprio sistema di pagamento non risulta performante rispetto alle esigenze della clientela?
- il rischio inerente i progetti e gli investimenti It: cosa succede se il servizio non viene rilasciato nei tempi prestabiliti?
- il rischio concernente l’outsourcing o il cloud: cosa accade se il fornitore non rispetta gli Sla? Quali sono gli impatti sulla propria azienda a fronte di un attacco o di un disservizio nel datacenter del proprio provider?
- il rischio di compromettere la reputazione aziendale: cosa succede se una banca o una società Telco sbaglia ad inviare gli estratti conto o le bollette? Che accade se il sito web non funziona e se la situazione si ripete più volte?
- il rischio riguardante la protezione dei dati e la tutela della privacy: che conseguenze potrebbe avere la pubblicazione da parte di hacker dei dati dei pazienti di una clinica? Cosa succede se i dati archiviati in cloud finiscono in un’area geografica sconosciuta?
Partendo quindi dalla consapevolezza di quali sono e come possono essere classificati i rischi, suggerisce BCG, “il primo passo per sviluppare un piano di difesa unificato è comprendere ed identificare quali sono i rischi cui un’azienda è soggetta”.
Il secondo step è quello di determinare quale delle quattro strategie di gestione del rischio (elusione, trasferimento, mitigazione, assorbimento) possa essere applicata per ciascuna delle categorie di minaccia identificata nella prima fase (ogni categoria di rischio avrà, in base agli obiettivi dell’azienda e alla propria specifica focalizzazione su tecnologie, costi e potenziali danni – come specificato nel paragrafo precedente – la propria strategia di difesa abbinata).
“Infine, si dovrà stabilire, dal punto di vista procedurale e operativo, come integrare tali strategie di gestione del rischio all’interno dei processi It e di business”, concludono gli analisti.