Roadmap per un'organizzazione cyber-resiliente, resistente e proattiva in termini di sicurezza

Purtroppo i modelli attuali pensati per la protezione delle organizzazioni dagli attacchi informatici sono sempre meno validi. La cybersecurity è destinata a diventare una componente pervasiva di qualsiasi azienda che ha a che fare con il business digitale, per questo deve essere intessuta già in fase di progettazione nella sua stessa trama. Infatti, troppo spesso viene considerata una semplice competenza aggiuntiva, indotta dalla necessità di compliance e gestita dall'IT come fatto squisitamente tecnico. Come tale viene anche percepita dal management, che tende a vederne generalmente uno sgradevole "must-have", ovverosia un costo aggiuntivo che deve essere ridotto al minimo. Tale percezione negativa di elemento un po' esoterico, per addetti ai lavori, è aggravata dal fatto che, richiedendo comunque conoscenze e competenze specifiche, l'applicabilità e scalabilità delle soluzioni diventano questioni rilevanti.

I miei recenti interventi spingono il tema nella medesima direzione: l'esigenza di un nuovo stato di consapevolezza da parte del senior management dell'organizzazione -– a partire dal Consiglio di Amministrazione -– sul tema degli asset digitali e della differente importanza e valore che rivestono per l'organizzazione e, similmente, per gli eventuali malintenzionati che sferreranno gli attacchi. A seguire, ho voluto fornire una checklist degli aspetti da considerare, pensata nell'ottica di tracciare la roadmap verso un'organizzazione che sappia essere "cyber-resiliente".
Conosci i tuoi beni più preziosi, e comportati di conseguenza
La conoscenza reale dei dati rilevanti di un'organizzazione e dei rischi di business a essi associati è generalmente scarsa, a volte del tutto inesistente. La proprietà dei dati non è, infatti, un concetto diffuso tra le organizzazioni imprenditoriali; ancor meno, è un concetto del quale il management, a qualsiasi livello, comprenda pienamente il significato in termini di percezione e capacità di assumere la responsabilità della loro integrità e protezione rispetto a tutta la catena del valore che li accompagna.

La protezione dei dati, ben prima di divenire un problema tecnico, è un problema di gestione, e uno dei più rilevanti in questo senso. Concentrarsi principalmente sui dati è fondamentale per l'organizzazione perché consente di evitare l'errore di "appiattire" la vista, vale a dire applicare norme e azioni in modo indiscriminato a livello dell'organizzazione, approccio che le rende principalmente prive di valore, oltre ad essere estremamente costoso e spesso inefficace. Tale situazione, in ogni caso, impone un approccio cooperativo rinnovato che coinvolge tutti i livelli del management e delle operation e chi si trova in prima linea. Ogni categoria e attore singolo deve, infatti, condividere una visione comune, essere partecipe di un obiettivo comune ed essere formato in funzione di questi obiettivi. Chiaramente, non si tratta del pane quotidiano con cui hanno a che fare tradizionalmente i professionisti dell'IT e il cambiamento dovrebbe essere avviato dal CEO stesso.

La cybersecurity non è un capriccio tecnologico ma un rischio effettivo per il business; cogli questo aspetto e agisci in base ad esso
La valutazione del rischio degli attacchi informatici, del loro impatto sulle diverse componenti del business e delle possibili implicazioni per l'azienda dovrebbe essere integrata con le altre analisi di rischio e sottoposta regolarmente al senior management per revisione e discussione. Migliorare la cyber-resilienza di un'organizzazione non è un'azione semplice o ben delineata. Non esiste una scorciatoia o una bacchetta magica. In realtà si tratta di un processo senza fine.
Quindi, più profonda è l'integrazione di tutti gli elementi che rendono appetibile la ricetta di sicurezza per l'organizzazione, migliore sarà il risultato. Questo implica un'integrazione e una collaborazione stretta da parte di una gamma vasta di attori e funzioni, sia all'interno dell'organizzazione che nell'ecosistema più esteso che comprende i partner commerciali, i fornitori e -– ultimi ma di certo non meno importanti - i clienti.

Come incoraggiare il rispetto di nuove pratiche da parte di chi non viene controllato?
Anche se il senior management ha voce in capitolo e mezzi sufficienti per far rispettare le policy ai dipendenti, sfruttando la formazione e altre leve, le sue azioni non dovrebbero essere confinate nei limiti di ciò che viene percepito come perimetro naturale dell'organizzazione. Fuori da questo confine fittizio, i rischi tendono a restare problemi irrisolti e, spesso e ancor peggio, sconosciuti.
La cooperazione con le altre organizzazioni ed entità diventa quindi necessaria. I driver e i benefici per convincere i partner commerciali a partecipare attivamente e consapevolmente allo sforzo comune, che potrebbe comportare un ritorno in termini di valore diverso a seconda del partner, non sono esattamente facili da definire e calibrare. Una comprensione comune della rilevanza di questi aspetti, tuttavia, rappresenta sempre un pre-requisito necessario e un solido punto di partenza.

Ad esempio, la cooperazione tra organizzazioni certificate ISO 27001 dovrebbe in linea di principio fornire un terreno di partenza comune, condiviso e compreso da tutti gli alleati, che permette di creare un livello superiore con una strategia di cyber-difesa cooperativa, a reciproco vantaggio e supporto.
E il consumatore?
Beh, gli ultimi chilometri sono sempre quelli più faticosi da percorrere. In questo caso è consigliabile dal punto di vista commerciale, anche se non obbligatoriamente, prendere in considerazione i tanti elementi che concorrono a definire il quadro, come l'appeal e la facilità d'uso dell'applicazione, e che spingono la discussione sulla cybersicurezza verso il suo ruolo ancillare.
Educare migliaia o milioni di consumatori non è né un processo realistico né una prassi con cui ci si possa confrontare. In questa prospettiva, l'organizzazione dovrebbe valutare come meglio raggiungere il singolo consumatore, fornendogli la propria "coperta di Linus per la cybersicurezza". In molti casi, quando i livelli di rischio giustificano l'approccio, questa scelta può rappresentare un vantaggio competitivo se fatta e proposta correttamente.

La "cyber-resilienza" non è qualcosa che si può ottenere facilmente e non può nemmeno essere acquistata come un prodotto pronto all'uso. Si tratta di una caratteristica dell'organizzazione stessa, il risultato finale dell'investimento nella formazione, delle best practice e della tecnologia adottate in tutta l'azienda e nell'ecosistema dell'organizzazione. Solo la direzione e il senior management sono in grado di risolvere il problema, in modo cooperativo, in virtù della rilevanza e pervasività delle questioni che l'organizzazione deve affrontare.
È interessante notare che, nel bene e nel male, il cyberspazio assomiglia al vecchio Far West. Quindi, fate attenzione ai banditi ma anche a chi cerca di vendervi bottiglie di unguento che promettono effetti immediati e miracolosi!
Roberto Tavano,– VP Security EMEA, Global Sales, Unisys Corporation