Nei primi sei mesi del 2024 gli attacchi cyber censiti dagli esperti del Clusit, l’Associazione Italiana per la Sicurezza Informatica, sono cresciuti del 23% rispetto al semestre precedente.
Indice degli argomenti
Cybersecurity, cosa distingue un’azienda matura
In media, si sono verificati nel mondo 9 attacchi importanti ogni giorno, con l’Italia che registra il 7,6% degli incidenti totali. Se la sanità è il settore più colpito a livello globale, in Italia è invece il manifatturiero a occupare la prima posizione, anche se gli attacchi alla sanità sono aumentati addirittura dell’83% rispetto al primo semestre 2023.
Nonostante questo massiccio incremento delle minacce, una recente indagine di Commvault ha rilevato che solo il 13% delle aziende globali può essere definito sufficientemente “maturo” dal punto di vista cyber per poter mitigare e superare efficacemente un attacco. Queste realtà sono state in grado di ripristinare il 41% più velocemente da un incidente rispetto agli intervistati situati all’estremità inferiore della scala.
A determinare questa differenza significativa nella velocità di ripristino è stata l’adozione di una serie di indicatori chiave di resilienza. In particolare, gli intervistati hanno sottolineato la necessità di disporre di strumenti di sicurezza in grado di fornire avvisi tempestivi sui rischi, compreso quello interno, utilizzando runbook, ruoli e processi definiti per la risposta agli incidenti. È stato inoltre fondamentale disporre di un sito pulito e affidabile o di un sistema di backup secondario con un ambiente isolato dove conservare una copia immutabile dei dati critici. Altrettanto importante si è rivelata la verifica frequente delle pratiche di ripristino, in modo che i processi rimanessero allineati allo scopo e aggiornati.
Determinare i livelli di maturità dei CISO
Con i CISO chiamati ad assicurarsi che queste misure critiche siano in atto, e regolarmente testate, viene da chiedersi se i responsabili aziendali sappiano se stanno affidando la gestione delle loro operazioni di sicurezza alla persona giusta – supportata dalle risorse appropriate.
Le aziende fanno molto affidamento sui propri CISO per proteggere l’operatività dagli attacchi, ma il loro livello di autorità varia notevolmente, con un impatto sulla maturità cyber complessiva. Nelle fasi iniziali, la protezione può essere nelle mani di persone che si limitano a prendere ordini mentre, a livello più avanzato, i CISO entrano in contatto regolare con il consiglio di amministrazione per garantire che la sicurezza sia integrata in ogni aspetto dell’azienda.
Per capire dove si colloca un’azienda in questo ciclo di maturità e come influisce su rischi di sicurezza e resilienza, si possono evidenziare cinque livelli differenti:
Security, un obbligo da rispettare
Nelle aziende meno mature, chi si occupa di sicurezza è raramente un policy maker e spesso non esiste nemmeno il ruolo di CISO. Al contrario, la cybersecurity è spesso gestita da una parte del team IT, che risponde a un responsabile IT di medio livello o eventualmente al CIO. Le responsabilità sono spesso combinate con le attività quotidiane necessarie per gestire l’infrastruttura tecnica, come configurazione di server e pc portatili e installazione degli aggiornamenti software. Generalmente, si tratta di piccole aziende, spesso private, senza obblighi particolari verso gli stakeholder e con pressioni normative ridotte.
Altre esigenze aziendali hanno spesso la precedenza, come le vendite e le operazioni commerciali. Di conseguenza, misure di difesa importanti, come l’autenticazione multi-fattore, possono non essere implementate perché considerate restrittive. In alcuni casi, la sicurezza viene percepita come un ostacolo alla produttività e relegata a un’attività a cui mettere una spunta.
È il momento di avere un CISO
Quando un’azienda cresce, inevitabilmente la sua superficie di attacco si estende, diventando un obiettivo potenzialmente redditizio per gli hacker. Più dipendenti, clienti e fornitori equivalgono a maggiori processi e applicazioni, che a loro volta creano maggiori vulnerabilità da sfruttare per gli attaccanti.
A questo punto la cybersecurity diventa una priorità nell’agenda del management e le aziende iniziano a pensare di assumere un professionista senior di cybersecurity o un CISO. In questa fase iniziale, il ruolo viene spesso descritto come tecnico, con l’aspettativa che il candidato trascorra parte del tempo a codificare insieme al team di sviluppo. Spesso il CISO ha poche o nessuna possibilità di pianificare e implementare una strategia cyber globale.
Inoltre, i requisiti di conformità necessitano di maggiore attenzione, con l’implementazione di funzionalità formali di monitoraggio e auditing, utilizzando risorse interne o competenze esterne.
È questo il momento in cui IT e sicurezza devono stabilire canali di comunicazione efficaci per garantire che gli obiettivi di protezione siano concordati reciprocamente, evitando che si crei un divario tra le due funzioni. Se CISO e CIO interagiscono e comunicano regolarmente, fa ben sperare in una collaborazione produttiva tra i loro team.
Il CISO non si occupa solo di tecnologia
In breve tempo, diventa evidente che il CISO abbia bisogno di maggiore autonomia per valutare e distribuire controlli e procedure di sicurezza in tutta l’azienda. In questa fase, il potere decisionale può ancora limitarsi a raccomandare la tecnologia per la difesa, il rilevamento e il ripristino dagli attacchi, mentre i CISO devono possedere l’autorità di implementare misure più ampie per proteggere aree come la sicurezza cloud e controllare l’accesso a tutti i sistemi aziendali con soluzioni di gestione degli accessi. Sebbene altri dirigenti possano esprimere preoccupazioni legate alle iniziative di sicurezza che rallentano il time to market, questo è il momento in cui i responsabili aziendali devono appoggiare il CISO e sostenere nuove iniziative di cybersecurity essenziali.
Anche se IT e sicurezza sono ormai team separati, CIO e CISO devono continuare a operare a stretto contatto per bilanciare gli obiettivi IT con i requisiti di protezione, con un allineamento continuo fondamentale per la difesa e il buon funzionamento dell’azienda.
Tutti i poteri necessari sono a disposizione del CISO
Quando le aziende si avvicinano alla piena maturità, il CISO partecipa alle riunioni strategiche con il consiglio di amministrazione, fornendo consulenza su rischi di cybersecurity, resilienza e capacità di ripristino. Lavorando con il team di leadership, il CISO determina in modo proattivo la tolleranza al rischio dell’azienda e fornisce analisi per dimostrarne i cambiamenti nel profilo. Inoltre, elabora strategia e policy di sicurezza appropriate per rimanere entro i limiti di tolleranza concordati.
A questo livello avanzato, i CISO forniscono anche consulenza al consiglio di amministrazione in merito ai vantaggi e alle preoccupazioni legate alle tecnologie emergenti, come l’intelligenza artificiale. La cybersecurity è ormai un elemento consolidato della pianificazione strategica e operativa.
L’azienda diventa secure by design
Per chi ha raggiunto il livello più avanzato, la sicurezza è incorporata nel tessuto aziendale. Seguendo i principi di secure by design, tutti i dipendenti aderiscono ai processi e alle policy di protezione. È il punto in cui la security è integrata nelle fondamenta di tutte le attività dell’azienda e ci si aspetta che i sistemi vengano sottoposti a test continui e i team siano ben addestrati al ripristino dei dati e dagli incidenti.
Pianificare il ciclo di maturità
Quando si parla di cybersecurity, non esistono due aziende simili tra loro. Ognuna ha la propria infrastruttura tecnica, i propri metodi di lavoro e obiettivi strategici. Le organizzazioni pubbliche avranno obiettivi diversi da quelle private, e quelle grandi avranno risorse e obblighi diversi rispetto alle entità più piccole.
Pertanto, calcolare la velocità di avanzamento nel ciclo di maturità della cybersecurity non è semplice. Tuttavia, comprendendo le caratteristiche di ciascuna fase, CIO e responsabili aziendali possono allineare meglio lo sviluppo di candidati interni o l’assunzione di un CISO con le competenze e le qualità adeguate alle loro esigenze specifiche. Questo aiuterà a costruire un livello di maturità che corrisponda alla tolleranza al rischio della propria azienda, rispetto ad attacchi di cybersecurity che non accenneranno certo a diminuire nel corso del 2025.
