La postura digitale di sicurezza comincia dal cyber risk assessment

Quando il general manager, o addirittura il CEO, di un’azienda riceve la telefonata del responsabile dell’ufficio IT fuori dall’orario di lavoro, la possibilità che debba preoccuparsi è piuttosto alta. Non è affatto inconsueto, infatti, che il tema della chiamata possa essere una violazione, magari di quelle che rendono irraggiungibile gran parte del sito aziendale. 

Il problema, ovviamente, non è solo dell’ufficio IT, che ha il compito di risolvere il problema sul piano pratico individuando il punto vulnerabile che ha permesso ai cyber criminali di entrare nel sistema. Ma tutti, dalle figure di vertice al dipendente entrato in azienda da pochi giorni, hanno bisogno di capire come e perché si sia verificato un evento le cui conseguenze dannose non si limitano all’azienda stessa, ma investono i suoi fornitori e i suoi clienti, i dati dei quali possono essere stati sottratti o violati dagli attaccanti. Comprendere questo punto è funzionale al disegno di una postura digitale di sicurezza adeguata ed efficace.


L’azione preventiva: il risk assessment 

L’azienda, ben prima dell’intervento in caso di attacco, è chiamata a lavorare per garantirsi un'adeguata postura di sicurezza. In tema di dati e informazioni, i pillar sui quali si articola la gestione di ogni organizzazione sono tre, espressi dall’acronimo CIA: Confidenzialità, Integrità, Accessibilità. Su ognuno di essi deve concentrarsi il lavoro preventivo dell’intera organizzazione, non solo degli uffici deputati alla gestione dell'Information Technology e della sicurezza informatica; anche il board, infatti, è coinvolto nel percorso verso il traguardo del maggior tasso di protezione da eventi dannosi. 

Il suo compito, tuttavia, non può limitarsi a stanziare le risorse per assicurarsi la migliore tecnologia presente sul mercato. La formazione di un insieme di tool con l’obiettivo di anticipare ogni potenziale disastro è un’attività sterile, che comporta solo un esborso economico. La realtà è più complessa e chiede un cambio di prospettiva: smettere di considerare la cybersecurity come un tema di prodotto e cominciare a vederla nell’ottica di un processo. Questa è l’essenza del cyber risk assessment.


Il cyber risk assessment e la postura digitale di sicurezza 

I prodotti cambiano, i processi restano. I primi, come è noto, sono investiti da un’accelerazione tecnologica costante e repentina, elemento che amplia il divario tra le realtà che riescono a tenerne il passo (assicurandosi le tecnologie più aggiornate) e quelle che non hanno i mezzi per farlo. I processi, invece, cristallizzano elementi validi per tutti, definendo i capisaldi di un assessment efficace. Alcune delle best practice sono:  

- La piena conoscenza degli asset dell’organizzazione;
- La visione olistica dei processi digitali e fisici interni; 
- L’implementazione delle misure più opportune per individuare i problemi e risolverli;
- Il rispetto delle normative di settore;
- La promozione della security awareness tra i dipendenti, sia nell’ottica della formazione sia in quella della motivazione.

Il cyber risk assessment è al contempo premessa e parte integrante della postura digitale di sicurezza. Quest’ultima può essere definita come lo stato dell’arte aziendale su reti, informazioni e sistemi individuato sulla base delle risorse esistenti (persone, hardware, software, policy), rispetto ai quali si determina la capacità di reazione agli eventi e di gestione della difesa. In questo rientrano anche i soggetti terzi (fornitori, provider, clienti), verso i quali è necessario adottare lo stesso approccio proattivo.

Un cyber risk assessment adeguato si riflette sulla correttezza dei processi, dei ruoli e delle funzioni. E, in ultima analisi, sulla costruzione di una strategia di sicurezza basata sulla postura digitale migliore. Ciò fa sì che uno dei presupposti più importanti del cyber risk assessment sia la piena consapevolezza di quale tra gli asset aziendali sia il più sensibile e meritevole di protezione. Per esempio, una startup a forte carica innovativa tutelerà in primis l’innovazione, mentre un ospedale sarà concentrato sui dati dei pazienti. E una banca aggiungerà le transazioni online ai dati stessi.


Un’attività complessa che coinvolge tutti i livelli

Priorità, rischi, framework, strumenti, ruoli e competenze: la definizione di questi aspetti, verificati alla luce degli standard esistenti, costituisce il cuore dell’assessment e della determinazione della corretta postura digitale di sicurezza. Se, come detto, non è possibile limitarsi solo all’ambito del prodotto, va sottolineato che anche il lavoro sul processo richiede un coinvolgimento globale, non limitato solo ai CIO, ai CISO e alle figure più competenti sul fronte tecnologico. La consapevolezza deve essere di tutta l’organizzazione, così che ognuno apporti il proprio tassello di conoscenza e renda più sicuro il business e il lavoro di tutti.