Secondo Gartner, l’88% dei consigli di amministrazione ritiene la Cybersecurity un elemento di rischio per il business aziendale e non più un mero rischio tecnologico.
Le minacce informatiche hanno infatti un impatto sull’operatività dell’azienda, sulla sicurezza dei siti produttivi, sulla sicurezza dei dipendenti, sulla privacy di tutte le persone e le organizzazioni che in modo diretto o indiretto hanno relazioni con l’azienda.
La quantificazione dei rischi
I danni economici derivanti da un attacco sono direttamente connessi al blocco dell’operatività, ma posso estendersi al pagamento di un riscatto, nel caso di attacchi ransomware, alla perdita di reputazione nel caso in cui l’azienda non intervenga tempestivamente o non comunichi correttamente con tutti gli stakeholder, fino ad arrivare ai costi di ripristino per danni alle attrezzature e agli impianti, nel caso in cui l’attacco sia mirato agli stabilimenti produttivi.
In uno scenario in cui la media mensile di attacchi gravi a livello globale è passata da 139 a 232 in soli cinque anni la quantificazione del rischio, ovvero la stima in euro dei costi dei diversi tipi di attacco, è essenziale per prendere decisioni informate e predisporre i necessari piani di difesa con una valutazione rischio – beneficio basata su dati economici realistici.
(fonte Clusit – Survey su 1610 professionisti IT provenienti da 106 Paesi https://clusit.it/rapporto-clusit/)
La collaborazione tra CISO e CFO diventa sempre più necessaria: da un lato servono infatti le competenze tecniche per conoscere ed individuare le minacce informatiche e le vulnerabilità aziendali, dall’altro occorre che la direzione finanziaria supporti i necessari investimenti in sicurezza, pur in un contesto economico dove le risorse sono limitate.
Le principali fonti di rischio
(fonte Clusit – Survey su 1610 professionisti IT provenienti da 106 Paesi https://clusit.it/rapporto-clusit/)
L’adozione di tecnologie sempre più interconnesse e l’utilizzo degli stessi dispositivi per uso personale ed aziendale ha portato enormi benefici in termini di velocità ed efficienza, ma ha allargato enormemente la superficie di attacco da parte di attori malevoli.
La mitigazione del rischio
Riduzione della superficie di attacco
Per la maggior parte dei responsabili CISO, l’adozione di tecnologie e procedure per la gestione degli accessi è quindi la priorità, questa si traduce in:
- Strumenti di governance ed amministrazione delle identità (IGA) basati sul corretto bilanciamento tra la possibilità di accesso ai dati tarata sui diversi profili aziendali, l’analisi della storicità degli accessi, il controllo delle attività degli utenti, la definizione di diversi livelli di autorizzazione all’utilizzo dei dati;
- Gestione degli accessi privilegiati (PAM) con la creazione di account temporanei che dispongono dei diritti sufficienti all’attività da svolgere e che vengono eliminati al momento del log-out;
- Sistemi di autenticazione multi-fattore (MFA) che aggiungono livelli di difesa di fronte a password compromesse;
- Sistemi di autenticazione Single Sign-On (SSO), riducendo il numero di password da gestire e controllare e riducendo il rischio che gli utenti utilizzino più volte password simili e quindi più semplici da intercettare;
- Attività di formazione continua sui dipendenti, comprensiva di periodiche simulazioni di attacco per verificare il reale livello di consapevolezza di ogni utente
Il Backup dei dati
Di pari passo con la limitazione dei possibili punti di attacco, per i CISO la priorità è la protezione dei dati tramite il Backup. Tuttavia anche i sistemi di backup possono essere oggetto di attacco; diventa quindi necessario:
- limitare gli accessi ai sistemi di backup,
- prediligere soluzioni di backup immutabile,
- proteggere fisicamente i backup in luoghi idonei e/o nel Cloud,
- crittografare i backup per renderne più difficile l’estrazione dei dati nel caso di accessi non autorizzati,
- pianificare backup periodici e controllare regolarmente lo stato dei backup.
Tutte queste attività di prevenzione e di risposta i Cyberattacchi hanno un costo in termini di tempo, risorse umane, acquisto di soluzioni tecnologiche, contratti di servizio, assistenza e manutenzione. Questi costi devono essere commisurati ai costi derivanti da un attacco informatico.