Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

la guida

Cyber security, impostiamo così la strategia corretta in azienda

Quali sono i riferimenti normativi, ma soprattutto i passi concreti, gli investimenti, gli obiettivi da porsi e gli errori da evitare per arrivare a sviluppare una strategia di cybersecurity che permetta a ogni azienda di fronteggiare la pressione crescente delle nuove minacce e dei nuovi attacchi informatici

28 Giu 2018

Giuseppe Russo

Membro del Comitato Scientifico Cloud Security Alliance (CSA Italy)


Tutti coloro che da un po’ di anni si occupano seriamente di cybersecurity rischiano di passare per personaggi petulanti, ripetitivi, monotoni e forse noiosi. Sta di fatto che a tutt’oggi, nelle organizzazioni, la cybersecurity è chiamata a confrontarsi con due ambiti che, apparentemente, remano contro di essa: innovazione e massima produttività.

Cybersecurity, innovazione e massima produttività

La prima ha l’obiettivo di far entrare in azienda tutte quelle nuove tecnologie e innovazioni di processo che possono, se non governate fin dall’inizio, estendere la superficie delle minacce all’azienda. La seconda mette nelle mani dei dipendenti tutta una serie di strumenti e tool che, se non correttamente configurati e gestiti, possono diventare sia strade alternative per portare un attacco che cavalli di Troia per nuovi pirati informatici.

Per fronteggiare la pressione crescente delle nuove minacce e dei nuovi attacchi informatici è perciò necessario affiancare agli investimenti per l’evoluzione delle tecnologie e dei processi di governo a supporto del business, investimenti sempre maggiori per l’evoluzione di tecnologie e processi destinati alla protezione del sistema informativo.

Come si definisce la “cybersecurity strategy”

Ma concretamente cosa deve fare un’organizzazione?

Nel tempo si sono consolidati metodi e tecniche di definizione dei rischi, prevenzione delle minacce e contrasto degli attacchi che hanno portato alla definizione di framework e standard sempre più completi, definiti e che costituiscono un importante riferimento per l’introduzione nelle organizzazioni di sistemi, costituiti da tecnologie e processi, per garantire la protezione del sistema informativo.

Solo per restare in ambito italiano si pensi ai vari:

  • Framework Nazionale per la Cyber Security
  • 2016 Italian Cyber Security Report Controlli Essenziali di Cybersecurity
  • Misure minime di sicurezza ICT per le pubbliche amministrazioni
  • Direttiva NIS

a cui possiamo affiancare quelli internazionli:

  • ISO/IEC 27001, ISO 22301,
  • Control Objectives for Information and related Technology (COBIT)”,
  • Cybersecurity Framework (NIST CSF),
  • SANS 20 Critical Security Controls.

Ho volutamente lasciato fuori il General Data Protection Regulation” perché esso non è un framework di sicurezza, ma un parametro fondamentale di cui tener conto nella definizione di una cybersecurity strategy.

Ma nella realtà quello che si chiedono le aziende, PMI in primis, è “Quanto devo investire in cybersecurity?” e soprattutto “Come la costruisco una mia cybersecurity strategy?”.

Proviamo a mettere un po’ di ordine e vediamo quali sono i passi da fare per arrivare a sviluppare una propria strategia di cybersecurity .

Come sviluppare una propria cybersecurity strategy

Iniziamo subito dicendo che, per essere efficace, una propria Strategia di cybersecurity deve essere parte integrante della Strategia dell’Organizzazione. Ricordiamoci che la parola strategia è una parola greca che nasce dalla fusione di due termini στρατός «esercito» e ἄγω «condurre» e identifica proprio l’arte di esercitare una leadership per raggiungere un determinato obiettivo. Dunque per capire di quanta cybersecurity ho bisogno, devo avere perfettamente chiaro quale è la Strategia globale della mia Organizzazione. Quest’ultima deve fornire un’immagine chiara di cosa vogliamo fare e come vogliamo arrivarci.

Le strategie aiutano le organizzazioni a stabilire le priorità. Devono essere semplici, ben documentate e facili da capire; basate sulla situazione attuale, con uno sguardo al futuro e un chiaro intervallo di tempo per dare frutti. Così deve essere una cybersecurity Strategy, ma come ci arriviamo?

Ci arriviamo lavorando sulla concretezza, predisponendo un team di lavoro che trovi risposte a domande precise, tipo:

  • Dove siamo in questo momento?
  • Su cosa dobbiamo lavorare?
  • Dove vogliamo arrivare?
  • Come ci arriviamo?

Dobbiamo rispondere a queste domande ricevendo input da una varietà di fonti di business diverse. Tra queste fonti ci deve essere la cybersecurity.

Valutare punti di forza e punti deboli

Molte organizzazioni rispondono alla domanda ” Dove siamo in questo momento?” mediante una SWOT analisys nella quale si analizzano i punti di forza, i punti deboli, le opportunità e le minacce alle organizzazioni. Possiamo utilizzare una SWOT analisys anche per caratterizzare il punto in cui si trova la nostra organizzazione rispetto alla cybersecurity, mentre si crea la strategia aziendale più ampia.

Analizzare i punti di forza della nostra organizzazione ci porta ad identificare anche quali sono gli asset primari della nostra organizzazione. Quelli che meritano il più alto livello di protezione. Gli argomenti cyber su cui dobbiamo ragionare quando valutiamo i nostri punti di forza e i punti di debolezza devono essere i seguenti.

  • La nostra presenza nello spazio cyber: come è fatta? Genera valore? Produce business? Come ne controlliamo la sicurezza?
  • Le nostre informazioni critiche: le abbiamo identificate? Ne comprendiamo il valore? Le proteggiamo in qualche modo?
  • Le politiche, i piani e i processi di sicurezza: producono i risultati attesi? Sono chiari a tutti?
  • Il personale: ha gli skill giusti? E’ consapevole delle tematiche di sicurezza?
  • La tecnologia: abbiamo la giusta tecnologia per competere nel nostro mercato? La proteggiamo accuratamente?
  • Le risorse: abbiamo risorse sufficienti per supportare tutte le attività critiche?

Se scendiamo nello specifico dei punti di debolezza dobbiamo andare a considerare anche altri punti.

  • Le Priorità: abbiamo perfettamente definito le priorità? Stiamo facendo le cose giuste al momento giusto? Le nostre risorse sono allineate alle massime priorità?
  • Analisi del rischio: la nostra analisi del rischio è completa? Quali sono le debolezze per la sicurezza informatica che ha prodotto l’analisi del rischio? Abbiamo un elenco completo delle nostre minacce? Conosciamo il nostro profilo di rischio?
  • Valutazione di terze parti: abbiamo mai condotto un’analisi di terze parti sui punti deboli della nostra infrastruttura e sui processi di business? Mai fatto penetration test sulla rete, sui sistemi e le applicazioni? Se sì, quali sono stati i risultati?
  • Risorse: che valore si da alla sicurezza informatica? I controlli di sicurezza informatica hanno un costo elevato rispetto al valore delle informazioni che stanno proteggendo?

Una riflessione sulla nostra presenza nello spazio cyber ci dà anche la possibilità di identificare quelle che la SWOT analisys riconosce come opportunità. Infatti, la nostra presenza nello spazio cyber ci avvicina a nuove partnership, ci consente di condividere dati e informazioni, ci consente di intraprendere nuovi percorsi di business che vanno governati, relativamente alla sicurezza, da quella che sarà la nostra cybersecurity Strategy.

Tutte le opportunità vanno viste come positive, ma se non si tiene conto delle minacce che arrivano dallo spazio cyber, potrebbero passare da potenziali vittorie a probabili disastri. Dobbiamo valutare ogni opportunità attraverso la lente di ingrandimento della Sicurezza Informatica e chiederci “In che modo la mia potenziale opportunità è esposta al rischio cibernetico? Questo rischio può essere mitigato, accettato, evitato o trasferito in modo che rimanga un’opportunità praticabile?”.

Nella nostra cyber SWOT Analisys assume particolare importanza la fase Threat (minacce). Dobbiamo considerare che, dato ormai il perimetro liquido delle nostre organizzazioni, le minacce possano presentarsi in qualunque punto. Inoltre è in questa fase che dobbiamo considerare i cambiamenti introdotti dalle nuove tecnologie. Chiediamoci se, non tenendo aggiornata la nostra tecnologia, la nostra posizione di mercato è minacciata? Che cosa stanno facendo i nostri concorrenti?

Su cosa bisogna lavorare

Dobbiamo lavorare sulle nostre risorse: tecniche, umane e finanziarie. Inoltre dobbiamo includere anche tutte le informazioni vitali. Ad esempio la nostra proprietà intellettuale e i nostri segreti commerciali rappresentano potenti risorse che spesso ci danno un vantaggio competitivo rispetto ai nostri competitor.

Nella fase di analisi delle risorse che impattano la sfera cyber dell’organizzazione dobbiamo considerare:

  • Informazioni: quali proprietà intellettuale o segreti commerciali ci danno un vantaggio competitivo sul mercato? In che modo essi contribuiscono al successo dell’organizzazione?
  • Piani: i piani esistenti sono adeguati? Sono stati seguiti? Quali sono le informazioni critiche, comprendiamo il loro valore e abbiamo un piano per proteggerlo? Ci sono politiche e procedure che accompagnano i piani? Sono in essere metriche precise e tempestive che ci danno visibilità sull’efficacia dei nostri piani, politiche e procedure?
  • Tecnologia: la tecnologia in uso è attuale? Soddisfa le esigenze del futuro atteso? Ci aspettiamo che ci serviranno presto importanti aggiornamenti tecnologici? Abbiamo antivirus e altri software per contrastare le minacce comuni? Sono tenuti aggiornati? Utilizziamo funzionalità di protezione dei confini come firewall e sistemi di rilevamento delle intrusioni? Proteggiamo le nostre informazioni attraverso la crittografia? Abbiamo i mezzi per rilevare e contrastare sia le minacce interne sia quelle esterne alla nostra organizzazione?
  • Personale: abbiamo il giusto tipo e quantità di personale? Il personale tecnico ha le certificazioni e le competenze adeguate per svolgere il lavoro assegnato? Esiste un bacino di talenti pronti con le competenze necessarie? Sono disponibili università e altri mezzi di formazione e per la forza lavoro?
  • Finanze: qual è la nostra attuale situazione finanziaria? Come sarà l’anno prossimo? Se non cambiamo nulla, qual è la previsione per i prossimi cinque anni? Quali sono le cose in cui crediamo di dover realmente investire, ma non possiamo farlo a causa di risorse limitate?

Definire ciò con cui dobbiamo lavorare è fondamentale mentre valutiamo i potenziali prossimi passi nella costruzione della nostra strategia di Cybersecurity. Una strategia senza le risorse (tecniche, umane e finanziarie) utili a implementarla non è fattibile e destinata a fallire.

Definire dove si vuole arrivare

Dichiarare dove vogliamo arrivare implica una chiara consapevolezza di sé e delle attività svolte dalla propria organizzazione, anche in tema di cybersecurity.

Scott McNealy (Sun Microsystems) , Bill Gates (Microsoft) e Jeff Bezos (Amazon) sono tre esempi limpidi di una chiarezza di strategia riassunta nelle loro rispettive frasi visionarie: “La rete è il computer”, “Un computer su ogni scrivania e in ogni casa, tutto con software Microsoft” e “La nostra visione è quella di essere l’azienda più orientata al cliente della terra; per costruire un luogo dove le persone possano venire a trovare e scoprire tutto ciò che potrebbero voler acquistare online”. Sono tutte affermazioni chiare di dove si vuole arrivare e contengono elementi misurabili.

Per capire dove vogliamo arrivare, dobbiamo sempre considerare le nostre interazioni nello spazio cyber e pertanto farci domande su:

  • Il Valore che portiamo avanti: il valore associato alla nostra organizzazione è quello che investe nelle best practice del settore della sicurezza informatica? Le nostre informazioni sono la nostra risorsa più apprezzata? Il nostro marchio è valorizzato quando investiamo in cybersecurity? La nostra proprietà intellettuale e i segreti commerciali sono protetti meglio?
  • Il ruolo della Gestione del Rischio: come si inserisce la sicurezza informatica nel nostro programma di gestione del rischio? È un driver principale o un compito subordinato? Quali sono le conseguenze del non enfatizzare la sicurezza informatica? Quale sarà l’impatto di una violazione? Quale sarà l’impatto di una perdita, danno o rifiuto associati alle nostre informazioni critiche? Quanto rischio accettiamo quando si parla di sicurezza informatica?
  • Quanto vale la nostra Efficacia: saremo efficaci nel nostro futuro desiderato senza un programma di cybersicurezza che gestisca e controlli i rischi basati al cyber? Le informazioni sicure sono una risorsa valutata dai nostri azionisti, potenziali investitori e partner commerciali? Abbiamo bisogno della sicurezza informatica per sopravvivere e prosperare?
  • Come investiamo in Competenze: la cybersecurity è qualcosa che vogliamo gestire internamente o vogliamo esternalizzarla? È una delle nostre competenze chiave? Dovrebbe essere? Quali rischi sono associati all’outsourcing dei nostri elementi del programma di sicurezza informatica?

Come attuare la propria strategia

L’unico modo per rispondere a questa domanda è avere un piano che ci permetta di implementare, con passi ben definiti e in tempi certi, la dichiarazione di visione, la dichiarazione di intenti e i valori fondamentali che rappresentano le pietre miliari della nostra strategia. Tutte le dichiarazioni e i valori fondamentali devono incorporare i principi di cybersecurity.

I nostri valori fondamentali affermano che la nostra organizzazione si impegna a proteggere le informazioni relative a clienti e aziende attraverso le best practice della sicurezza informatica?

Dobbiamo considerare i valori fondamentali come simboli efficaci di ciò che l’organizzazione rappresenta e in che modo l’organizzazione si impegna nei confronti di terzi.

Un piano per raggiungere traguardi e obiettivi

Una volta che abbiamo definito la visione, la missione e i valori fondamentali, il prossimo passo da fare è di usare questi ultimi come base per creare i traguardi e gli obiettivi per raggiungere la visione dichiarata.

Possiamo considerare i traguardi come lo scheletro della nostra organizzazione e gli obiettivi come i muscoli che lo fanno muovere.

Gli obiettivi sono al centro della pianificazione e sono più efficaci quando sono fattibili, accettabili, adatti e accessibili. Specialmente quando si parla di cybersecurity. Se non è possibile raggiungere un obiettivo, perché renderlo una priorità assoluta e diluire le risorse investendo in qualcosa che non è possibile ottenere?

I nostri obiettivi cyber sono fattibili? Il raggiungimento dell’obiettivo è possibile o è una potenziale fonte di frustrazione per tutto il team di lavoro?

Come rispondere a queste domande:

  • Assicurarsi che siamo di fronte a obiettivi fattibili non significa abbassare l’asticella per rendere i nostri obiettivi facili da raggiungere, ma neanche porsi degli obiettivi irraggiungibili.
  • Gli obiettivi devono essere anche accettabili per essere efficaci ed efficienti. Per determinare se un obiettivo è accettabile, confrontiamolo con i valori e la visione fondamentale. Se l’obiettivo considerato è in conflitto con la visione o i valori fondamentali non deve essere incluso come obiettivo.
  • Allo stesso modo gli obiettivi devono essere adatti. Cioè, l’obiettivo si adatta alla visione e alla missione dell’organizzazione. Infine, gli obiettivi devono essere accessibili. Stabilire obiettivi che non sono accessibili può essere disastroso.
  • Perseguire un obiettivo spesso richiede investimenti. I nostri obiettivi sono accessibili in termini di re-investimenti?
  • Gli obiettivi devono essere focalizzati sugli aspetti importanti dell’attività svolta dall’organizzazione e occorre limitare la quantità di obiettivi per mantenere l’attenzione sulla loro visione e missione.

A questo punto possiamo chiederci quali sono i nostri obiettivi di sicurezza informatica? Se ne abbiamo, sono fattibili, accettabili, adatti ed economici? Completano gli obiettivi della funzione aziendale?

Esempi di obiettivi per creare una cybersecurity strategy

  • Ridurre l’esposizione ai rischi informatici
  • Mantenere la capacità di rilevare, rispondere e recuperare
  • Abilitare lo scambio di informazioni sicure sempre e ovunque da parte degli utenti autorizzati
  • Mantenere la sicurezza delle informazioni e dell’infrastruttura IT
  • Fornire sistemi IT affidabili e sicuri
  • Garantire la conformità con leggi e regolamenti
  • Controllare tutte le connessioni Internet
  • Mantenere il controllo positivo su tutte le informazioni
  • Garantire che tutti i dipendenti siano formati sulle best practice sulla cybersecurity

Cosa può far fallire una cybersecurity strategy

Dopo aver concluso un intenso lavoro per predisporre la cybersecurity strategy della nostra organizzazione chiediamoci ora cosa la può far fallire. Tra i fattori che porteranno a fallimento certo della nostra strategia di cybersecurity possiamo inserire:

  • La mancanza di comunicazione che non aiuta a stabilire le priorità
  • La resistenza al cambiamento, perché in azienda si è sempre fatto in un certo modo
  • La mancanza di Leadership

Cyber security, consapevolezza e competitività

Per poter essere competitive, le nostre organizzazioni devono essere attori protagonisti del cyberspace e per farlo devono agire con piena consapevolezza delle problematiche di cybersecurity.

Per raggiungere questa maturità occorre, indipendentemente da quale sia la dimensione della propria organizzazione, predisporre una propria cybersecurity strategy che attinga sì ai vari standard e linee guida della sicurezza informatica, ma che sia in grado di acquisire consapevolezza partendo dai propri obiettivi di business essendo in grado di:

  • identificare le informazioni critiche per il proprio business
  • rendendo la cybersecurity parte integrante della propria cultura
  • considerando quali impatti sulla cybersecurity possono avere le decisioni prese nell’organizzazione.

Articolo 1 di 4