Dopo anni di budget cospicui rivolti ad acquistare tecnologie all’ultimo grido e risultati talvolta insoddisfacenti, è giunto il momento sia per i responsabili della sicurezza che per quelli aziendali di rivedere le priorità degli investimenti in sicurezza informatica come parte dell’approccio strategico di business aziendale. La sicurezza informatica deve diventare uno degli elementi costituenti della strategia di business in modo che qualsiasi rischio di sicurezza sia correttamente pesato e pensato all’interno dell’intero sistema di gestione aziendale.
Volendo quindi definire delle priorità strategiche a cui seguano azioni operative efficaci, abbiamo domandato a Luca Bonora, Business Developer Manager delle soluzioni di AI di Cyberoo che ci ha aiutato a costruire un decalogo delle esigenze e degli interventi operativi che dovrebbero avere la precedenza in un piano strategico che tenga conto della cyber security come di un fattore abilitante.
Un problema di conoscenza e di gestione
Da quando la digitalizzazione ha iniziato a permeare il mercato cambiando il modo di lavorare nell’industria e nel commercio, le strategie di business non hanno quasi mai tenuto conto in modo appropriato della sicurezza informatica. Anche oggi, in molti consigli di amministrazione e nei board dei direttori sono pochi coloro che si possono dire esperti di cyber security. Questa mancanza di conoscenza dell’ambito della security non consente di comprendere in pieno i rischi e soprattutto gli impatti sul business che possono abbattersi in caso di effrazione digitale e conseguente furto di dati aziendali e personali. Per troppi anni il tema della sicurezza è stato affrontato come una sfida puramente tecnica dettata dalla tecnologia e dalle normative.
Un altro elemento molto importante della strategie di cyber security riguarda il modello organizzativo che, secondo Andrea Antonielli Ricercatore dell’Osservatorio Cybersecurity & Data Protection, School of Management Politecnico di Milano, deve essere costituito “da un’organizzazione con ruoli di governance e indirizzo che sia in grado di sviluppare una strategia ben delineata e di allinearla alle esigenze del business” (fonte: Gestione della cyber security all’interno delle aziende: scelte organizzative).
Per una gestione strategica e tattica si possono adottare framework appositi di governance ma naturalmente è necessario saper definire gli obiettivi da raggiungere e poi adottare un modello di gestione che sia una leva di controllo efficace. Un esempio di questo tipo è il Framework nazionale per la cybersecurity che basato sul NIST ne ha adottato l’impostazione ed è stato pubblicato in versione rinnovata con gli aggiornamento dei controlli GDPR.
Un ulteriore strumento è il COBIT Framework (Control Objectives for Information and related Technology, modello per la gestione della Information and Communication Technology (ICT) in azienda n.d.r.) che può rivelarsi un valido supporto perché consente di valutare se è in atto un efficace governo della funzione IT (IT governance), allineata al business e/o di fornire una guida per instaurarlo. La versione ultima del COBIT, la 5, (COBIT 5) ha anche una versione specifica per la Cybersecurity proprio per tenere conto della governance ottimale della sicurezza allineata agli obiettivi di business. Il COBIT 5 è costituito da 5 obiettivi e 7 abilitatori e tutti insieme permettono di governare l’azienda tenendo conto di tutti i suoi costituenti (processi, struttura organizzativa, cultura etica e comportamenti, Principi e policy, informazioni, servizi e persone).
Il decalogo delle priorità
La prima parola chiave da cui far scaturire tutto il resto è “Cyber Resilienza”. Infatti, è necessario porre la dovuta attenzione nel rimanere operativi durante una violazione informatica quando dovesse verificarsi (ormai evento quasi certo), perché “restare in vita”, in termini di business, riesce solo a chi sa mantenere i suoi sistemi operativi, anche sotto attacco. Naturalmente il concetto di Cyber Resilienza andrebbe declinato, in quanto rappresenta un processo trasversale a tutta l’azienda che abbraccia persone, procedure e asset e come tale nulla deve essere dimenticato in un piano composito omnicomprensivo.
Un punto di partenza assolutamente imprescindibile è avere la consapevolezza di cosa accada all’interno della propria infrastruttura, eventualmente aumentando progressivamente tale consapevolezza. In effetti molte organizzazioni non si rendono conto di essere attaccati, se non quando i sistemi sono stati completamente bloccati (attacco DDOS o ransomware). Non di meno, è cruciale saper intervenire in modo appropriato. Poter intercettare l’inizio di una violazione informatica, significa saper collezionare dati appropriati in grado di notificare un warning (sistemi XDR, eXtended Detected & Response, eventualmente evoluti e dotati di machine learning) e rappresenta una valida tattica di applicazione alla strategia della resilienza. Invece, sapere intervenire significa avere un team di esperti in azienda o in outsourcing, capaci h24x7 di mitigare ed effettuare una pronta risoluzione del problema, mantenendo i sistemi informatici in vita e allo stesso tempo ripulendo “l’infezione”. Soluzioni che possono risultare efficaci sono quelle di tipo MDR (Managed Detection & Response) ma anche iniziare da un XDR è un primo passo per sapere si essere attaccati. Luca Bonora Specifica che in Cyberoo il sistema XDR è Cypeer una soluzione evoluta che va oltre il SIEM tradizionale o gestito mentre la soluzione MDR comprende anche il CSI, un sistema di intelligence e il SOC center attivo h24x7.
Il secondo punto è conoscere l’avversario e quindi capire le tipologie di attacco perpetrate dagli eventuali attaccanti rispetto alla propria organizzazione, perché possono esserci specificità secondo il tipo di azienda e anche attacchi personalizzati alle peculiari caratteristiche del target di attacco. È anche molto importante conoscere il tipo di vettore di attacco, il tipo di malware utilizzato, perché in questo modo, anche la difesa può prepararsi al meglio ed eventualmente può adeguarsi facendo uso di tecniche simili: un esempio è l’utilizzo di tecniche ingannatorie, che sono adottate per molti tipi di attacchi ma che costituiscono anche una efficace difesa. L’ideale è avere un sistema di threat intelligence capace di conoscere, identificare e classificare attaccanti, tipi di attacchi, malware, vettori di attacco. Molti strumenti oggi utilizzano il MITRE Att&ck framework che è una tassonomia costantemente aggiornata di informazioni di questo tipo utilizzabile per riconoscere e completare il quadro informativo effettuando enrichment appropriata a fronte di indizi di violazione da confermare.
Il punto numero tre riguarda la capacità di indirizzare in modo molto puntuale i budget. Il CISO deve poter essere in condizione di non chiedere da fondi altrui, ma deve poter contare su un budget suo. In parte questo dipende dalla posizione del CISO rispetto al CIO e ai direttori IT, ovvero dipende dall’impostazione organizzativa e dalle logiche aziendali.
Il quarto posto riguarda l’allineamento degli obiettivi di sicurezza informatica a quelli di business. Questo permette di equiparare gli investimenti di sicurezza agli altri abilitanti per l’azienda ed evita di considerarli come spese eventualmente sacrificabili in tempi di crisi o se i budget si prosciugano durante l’anno. Non di meno, si evita che la security sia addirittura dimenticata quando invece oramai dovrebbe essere considerata come un fattore abilitante.
Il punto cinque riguarda la valutazione e rivalutazione periodica dei rischi di sicurezza poiché questo è parte integrante del conoscere la propria organizzazione (punto due) ma consente anche di misurare e di adeguare le difese alle effettive necessità. Si tratta in sostanza di un abilitatore alla dimensione tattica per avviare interventi operativi in modo sensato, appropriato e misurato, controllando l’abbattimento del rischio iniziale per raggiungere il livello di rischio residuo ed eventualmente consente di valutare se trasferire questo rischio rimanente mediante polizza assicurativa.
Il punto sei è la naturale conseguenza del punto due e cinque perché riguarda la visibilità in tempo reale dei sistemi informativi. A questo fine, è necessario mettere in campo una analisi oggettiva dei potenziali violazioni ed effrazioni alla superficie di attacco aziendale in modo da prevedere un piano di difesa strategico, per avere una visibilità in tempo reale della rete. Il continuos monitoring è importante anche per identificare subito il MTTR (Mean Time To Repair, il tempo minimo di manutenzione per ricostituire un asset o item del sistema n.d.r.), e per effettuare il rilevamento automatizzato. Per analizzare la grande quantità di dati (log, file etc) è molto importante e sfidante elaborare questi dati adottando logiche di machine learning (capacità di apprendimento automatizzata n.d.r.) che riconoscono i comportamenti normali per la singola tipologia di azienda, associabili a comportamenti standard e imparano a distinguerli dai comportamenti inusuali segnalando con notifiche di allerta. Si parla in questo caso di behavioural systems. A volte sono anche associati a sistemi di I. A. (Intelligenza Artificiale) che consiste di algoritmi capaci di effettuare deduzioni nell’ambito di una specifica ontologia ovvero di contesto di lavoro.
Come punto sette suggerisco di effettuare la verifica delle identità in relazione al perimetro dei sistemi aziendali per individuare chi fa cosa e da dove lo fa. Questa conoscenza consente di sapere chi opera con quali privilegi di accesso e su quali sistemi. Effettuare il controllo delle identità richiede la capacità di identificare che chi fa una determinata azione, sia proprio lui e non qualcuno al suo posto. Anche in questo caso ed ai fini della robustezza dei controlli, i sistemi behavioural possono essere di supporto, identificando le caratteristiche degli addetti autorizzati e identificando eventuali comportamenti fuori standard.
Una adeguata attenzione all’aggiornamento dei sistemi rappresenta l’ottavo punto. Mantenere aggiornati i sistemi non è banale e si rende necessario definire un processo per evitare buchi di vulnerabilità. Infatti, i problemi di patching possono affliggere i sistemi proprietari per le specifiche modifiche al codice che possono rendersi necessarie, ma questo richiede l’ulteriore verifica che con tali modifiche non sia possibile sfruttare le patch in modo malevolo. Purtroppo, esiste ancora una gran quantità di patch non applicate e di sistemi che quindi, risultano ancora vulnerabili. Parimenti è necessario porre la giusta attenzione nell’uso corretto degli strumenti a disposizione per evitare errori di configurazione, di parametri, di permessi e quindi è ulteriormente appropriato dotarsi di opportuni controlli che rientrano nel concetto di implementazione della robustezza.
Se in azienda non ci sono risorse opportune, capaci degli skill necessari, allora il punto nove riguarda la scelta di partner validi per implementare servizi managed. Raramente una infrastruttura IT, nelle aziende di medie dimensioni, riesce a dedicarsi verticalmente alla Cyber Security ovvero non sempre le persone sono esclusivamente dedicate ad attività di security e formate in modo riservato e specifico a questi ruoli, spesso il personale dedicato alla security, anche in una azienda anche corporate, deve effettuare turni con costi aggiuntivi e infine il personale specializzato deve continuamente essere formato sulle ultime minacce e tipologie di difesa. Uno dei modi per contenere i costi ed efficientare la resa, è avere un partner dedicato ai MSS (Managed Security Services). Il ROI dovrebbe essere immediatamente evidente. L’altro aspetto di convenienza è di tipo tecnico e riguarda Hardware e software che l’outsourcer utilizza per erogare il servizio. Collegato all’adozione di un partner c’è la capacità di sceglierlo fra i molti sul mercato. È necessario in questo senso valutare la numerosità delle risorse del suo SOC, se ne ha uno, il valore del fatturato annuo sulla Cyber Sicurezza, informazioni sui casi risolti e dei risultati ottenuti, la qualità e quantità delle certificazioni, ed eventuali referenze. Ad esempio, noi di Cyberoo specifica Luca Bonora, abbiamo partner importanti che ci hanno scelto come outsourcer per servizi MSS: NPO, Retelit, RiccaIt. Infine, laddove risulti difficile misurare si può consultare “chi misura per te”, ad esempio Gartner nella categoria MDR sta valutando i diversi player e periodicamente emette un quadrante di valutazione.
Infine, al punto dieci è importante il riesame periodico di tutti gli andamenti correlati alla sicurezza mediante l’adozione di indicatori di performance e framework adatti.
Articolo frutto di una partnership editoriale con Cyberoo
