Crisis Management: gestione del rischio informatico e conseguente gestione della crisi
La trasformazione digitale comporta nuove minacce, come il Social Engineering e quelle all’IoT. Per proteggere le aziende, è fondamentale adottare tecnologie di cyber security diversificate, modelli IT flessibili e competenze ibride. Il GDPR impone nuove regole per la sicurezza dei dati, con particolare enfasi su privacy by design. La Crisis Management richiede un approccio integrato, che include la resilienza operativa e una strategia di sicurezza ben definita. Implementare un piano di gestione della crisi efficace è essenziale per affrontare le sfide emergenti nel panorama digitale.
Le sfide della trasformazione digitale: minacce tecnologiche e impatti sul sistema interconnesso
Dal punto di vista tecnologico è ormai più che consolidato il concetto della presenza delle minacce generate dalle frontiere tecnologiche come Social Engineering, Mobile Devices, Massive Data Storage, IoT, Intelligenza Artificiale. Gli studi di settore mostrano i trend di crescita delle singole minacce, evidenziano che le minacce sono più sofisticate, i tempi di identificazione e risoluzione di un incidente informatico aumentano così come segnalano che la superficie di attacco aumenta. Senza entrare nel merito dei singoli aspetti sopra citati, per cui come detto sono disponibili molti studi di settore è importante fare qualche riflessione sulla Trasformazione Digitale, che ci vede coinvolti.
La trasformazione digitale riguarda le aziende ed il sistema paese che sono interconnessi tra di loro. La trasformazione viaggia a velocità differenti a seconda della maturità degli attori coinvolti e l’anello debole della catena o quello più lento mette a repentaglio l’intero sistema.
Tecnologie di Cyber Security, IT e competenze: verso un mondo ibrido
La trasformazione si basa sul concetto fondamentale che il mondo sarà ibrido sia per tecnologie, sia per IT e sia per competenze:
- Già da tempo le tecnologie sono variegate: si pensi, ad esempio, specificatamente al mondo security e a quanti player di tecnologia ci sono sul mercato. Rimanendo sul dominio cyber security difficilmente le aziende costruiscono un sistema di difesa “mono marca”, generalmente prediligono tecnologie best in class non sempre appartenenti ad un unico player, ed ovviamente le scelte sono condizionate anche da fattori economici e di partnership. Seppure da un punto di vista tecnologico questa scelta presenta numerosi vantaggi da un punto di vista funzionale spesso determina una vista a silos delle tematiche e degli eventuali incidenti molto parziale.
- Anche l’IT nel suo complesso sarà ibrido. Gli obiettivi di flessibilità, ottimizzazione delle risorse, ed efficentamento dei costi possono essere perseguiti dalle azienda utilizzando differenti modelli IT. Il punto di partenza è l’IT tradizionale con presenza di silos tecnologici e di servizi, che per motivazioni differenti non possono essere spostati altrove: compliance e privacy, performance, difficolta a trasformarle in “cloud”. Il Cloud Privato abilita lo sharing delle risorse e dei servizi in forma privata all’interno della stessa azienda. Le risorse computazionali e di storage non sono dedicate ad un solo “mestiere”, ma seppure in modalità on premise, vengono gestite in maniera flessibile ed elastica (flexible capacity) senza ledere per esempio la tematica di privacy (dati in casa). Al Cloud Privato si aggiunge una forma complementare di Virtual Private Cloud (salesforce, e workday) caratterizzato da risorse in casa del provider, isolate logicamente, che fornisce il servizio (Managed Cloud Services). Il Public Cloud include la disponibilità di risorse e massima flessibilità nell’approvigionamento delle stesse. I modelli sopracitati chiaramente non sono dei silos ma possono e devono essere stratificati in modo da consentire alle aziende di ottenere le risorse in base al capacity e con costi contenuti considerando la possibilità di scelta. Risulta chiaramente fondamentale la capacità di orchestrazione nonchè è evidente come si aprono scenari di protezione non ancora coperti: Federated Identity Management; Cloud Visibility; Cloud Data Protection; Continous Cloud Compliance
- Le competenze devono essere ibride. Nello specifico della crisi informatica o del Data Privacy balza agli occhi di tutti che non occorrono esclusive comptenze IT ma anche competenze sui business model, legislative La presenza al tavolo di profili così differenti ne è una dimostrazione, così come il proliferale di partnership tra uffici legali e player tecnologici. Il linguaggio utilizzato nel modo giurdico è completamente differente utlizzato nel settore IT risulta pertanto fondamentale lo sforzo comune di riuscire a comuicare al meglio evitando che gli attaccanti possano approfitare di questa possibile breccia.
Avere chiare i punti di vista di tutte le funzioni aziendali interessate per il rischio informatico e non solo degli esperti di sicurezza dell’informazione è il punto di partenza per creare e misurare le efficaci capacità di cybersecurity ed essere pronti ad affrontare gli incidenti informatici e se necessario la crisi.
GDPR e sicurezza dei dati: Privacy by Design
Il GDPR introduce obblighi importanti per la sicurezza dei dati sul piano legislativo, anche se esistono ancora incertezze sull’applicazione di tali obblighi da parte degli operatori del settore ICT, come ad esempio il principio di privacy by design. Tali principi ben si sposano con il momento di trasformazione che stiamo vivendo infatti, l’attuazione efficace dei principi di protezione dei dati fin dalla progettazione è uno dei cardini del Regolamento. Avviare o proseguire il percorso di Trasformazione Digitale tenendo conto dei concetti di privacy by design e di un approccio metodologico olistico non può che portare maggiori benefici alle organizzazioni che lo intraprendono.
I concetti di privacy e security by design, di portabilità dei dati e di data breach sono ben definiti nell’ambito del GDPR e devono essere ben declinati all’interno delle organizzazioni avvalendosi di tecnologie di sicurezza eterogenee ma viste in maniera sistemica, modelli IT flessibili e competenze ampie ed approfondite.
Cyber Crisis Management e resilienza delle aziende
Il concetto di “crisis management” a seconda del contesto può assumere differenti significati, si pensi per esempio che in ambito militare è e associato ad un controllo dell’escalation di un conflitto o alla crisi diplomatica che afferisce a comportamenti lesivi di un ente verso un altro. Nell’ambito “cyber” si intende una situazione anormale, generata da uno o più incidenti di sicurezza, che minaccia gli obiettivi strategici ed i valori di una azienda. I valori aziendali sono molteplici (profitti, dati, reputazione, asset, intellectual proprieties) e sono strettamente interconnessi con i clienti, le autorità di controllo, gli investitori, il mercato in generale.
Per “cyber crisis management” si intende la capacità dell’azienda di intraprendere azioni straordinarie e risolutive della crisi in un arco temporale solitamente molto ridotto ed in circostanze altamente incerte. Una risoluzione con successo di una “cyber crisis” può essere considerata come una comprova della resilienza operazionale e reputazionale di una azienda. E’ possibile quindi considerare il cyber crisis management come una delle aree fondamente dalla Resilienza Globale insieme a Business Continuity, Incolumità, Analisi del Rischio e Social Monitoring.
Cybersecurity e Crisis Management: come prepararsi per affrontare incidenti su larga scala
La crisi non si preannuncia ed una volta che si è investiti non è detto che non si ripresenti nuovamente, diventa, pertanto fondamente per le aziende avere la capacità non solo di gestirla ma di riconoscerla.
Come detto in precedenza è solitamente generata da uno o più incidenti di sicurezza che, nel caso si parli Dati Personali, hanno impatti sulla Disponibilità, Integrità e Confidenzialità. La numerosità e diversità di incidenti informatici in questi ambiti impone un percorso di screening che possa identificare quelli più insidiosi e predisposti a scatenare una crisi. Hanno particolare rilevanza gli incidenti definiti esterni, che possono essere originati da collaboratori, partner o autorità di controllo rispetto a quelli interni, più confinati al mondo IT e che possono generalmente essere gestiti tramini le pratiche dell’Incident Managment. La qualifica dell’incidente deve proseguire con l’identificazione di:
- Sensibilità del dato
- Perimetro funzionale (numero di utenti ed entità impatatte)
- Perimetro tecnico (numero di asset)
- Probabile causa dell’incidente (errore umano, attacco)
- Velocità di propagazione
La larga scala e la concorrenza simultanea di molteplici incidenti sono i principali elementi che trasformano l’incidente in crisi e richiedono l’esecuzione del predefinito piano di Crisis Management.
Uno dei più recenti esempi di crisi è stato generato da WannaCry. L’attacco ha comportato per il Servizio Sanitario Pubblico della Gran Bretagna, National Health Service (Nhs), il blocco dei computer, il rinvio di interventi chirurgici, ambulanze ferme, computer spenti e, soprattutto, la necessità di avvisare gli utenti su Internet e ad invitarli a rinviare le richieste meno urgenti.
WannaCry ha sfruttato una falla di Windows XP, una vecchia versione del sistema operativo di Microsoft non più aggiornata ma ancora usata su molti pc. E infatti sotto attacco sono finiti i sistemi informatici di enti e aziende come la NHS, che ancora adotta Windows XP su gran parte del suo parco istalalto.
In questo caso, la violazione della sicurezza informatica puo` essere interpretato anche come danno per i diritti e le liberta` delle persone fisiche, in quanto, il Nhs non era in grado di garantire loro il servizio sanitario richiesto. Riprendendo quanto enunciato dal GDPR negli articoli 75 e 83, si trova il nesso tra rischi per la protezione dei dati personali, o anche per la sicurezza delle informazioni nella sua più ampia accezione, ed il danno, materiale o immateriale, che il verificarsi di tali rischi può assumere per le persone fisiche.
Pertanto, quando l’attacco può produrre effetti negativi sui diritti e le libertà delle persone fisiche su larga scala, è necessario per le organizzazioni sviluppare un approccio strategico e sistematico per la gestione della sicurezza delle informazioni. Infatti, non tutte le organizzazioni hanno consapevolezza del loro “stato di prontezza”, o anche security posture, per rispondere ad un grave attacco di sicurezza informatica,tenedo in considerazione i seguenti aspetti:
- Persone (assegnazione di un team di risposta agli incidente, disporre di sufficienti skill tecnici, consentire un rapido processo decisionale, ecc.)
- Processi (sapere cosa fare, come fare e quando farlo), ad esempio identificare l’incidente di sicurezza, analizzare gli effetti causati, intraprendere le appropriate azioni correttive e di ripristino dei sistemi critici, dei dati e della connettività;
- Tecnologie (adozione di soluzioni per l’individuazione delle minacce, tracciare gli eventi di sicurezza, applicare processi di backuo e restore adeguati ai requisiti di business, ecc.).
Come evidente dagli elementi sopra citati risoluzione dell’incidente, ancor prima che diventi una crisi, non è confinata al mondo IT ma presuppone un lavoro congiunto di molteplici funzioni organizzative. Per tanto i cyber attack ed i data breach devono essere considerati a livello di Enterprise Risk Management e l’intera azienda deve dotarsi delle giuste capabilities per affrontare l’argomento sia dal punto di vista tecnologico che organizzativo, funzionale e di business.
Strategia di sicurezza delle informazioni e gestione della crisi
Il principale strumento per identificare ed adottare misure di sicurezza adeguate a contrastare sia un incidente che una crisi per la sicurezza delle informazioni è lo sviluppo di un processo di gestione dei rischi esaustivo. In altre parole, l’insieme di attività volte ad identificare i rischi (ossia gli asset, le minacce e le vulnerabilità) per la sicurezza delle informazioni, calcolarne il livello di criticità e decidere se sono accettabili oppure se intraprendere azioni che ne riducano i possibili effetti.
Per realizzare un sistema di gestione della sicurezza delle informazioni è necessario, quindi, individuare gli elementi, in particolare i processi e le loro interrelazioni, e prendere decisioni in merito alle misure di sicurezza da adottare, sia a livello strategico che tattico, in modo da fornire all’organizzazione indirizzi con prospettive a lungo e medio termine.
L’implementazione di misure di sicurezza adeguate al livello di rischio a cui sono esposte le informazioni ed i sistemi deve costituire il sistema di gestione della sicurezza (SGSI) per contrastare gli incidenti informatici e la base per la costituzione di una strategia e piano di gestione della crisi.
Piano di gestione della crisi: predizione, preparazione e risposta
Partendo, quindi, da un sistema di gestione della sicurezza basato su processi, persone e tecnologie, le organizzazioni possono integrare i loro piani di risposta agli incidenti con gli elementi tipici di gestione di una crisi della sicurezza come la mobilitazione delle giuste risorse, l’identificazione delle priorità, l’esecuzione di operazioni straordinarie, la gestione della comunicazione interna ed esterna, la rappresentanza legale per registrare e processare eventuali denunce. In sintesi è possibile affermare che per una corretta gestione occorre:
- Predire (assessment dei rischi e identificare usuali e non sospetti)
- Prepararsi (visualizzare lo scenario, eseguire simulazioni non solo considerando il crisis team ma tutta l’organizzazione)
- Rispondere (comando, controllo e comunicazione)
Le aziende mostrano una particolare immaturità sul tema perchè spesso non si arriva nemmeno alla gestione dell’incidente e ci si ferma al Log Management o al SIEM, nonostante quanto detto finora sia un presupposto per la gestione della crisi ed anche una richiesta di soggetti esterni (normative, agenzie di rating, assicuratori).
A titolo di esempio i modelli di comunicazione precompilati per le notifiche di violazione come richiesto dalle leggi comunitarie sulla privacy (Art.33 e 34 del GDPR) o dalla legislazione dello Stato Membro (Art.32-bis del D.lgs. 196/03) dovrebbero essere inclusi nella fase preparatoria della gestione della crisi.
Anche il principio di accountability introdotto dal GDPR ben si sposa con il committment richiesto al top management per mettere a disposizione tutte le risorse necessarie per la realizzazione di sistema di gestione della sicurezza (SGSI) e per la gestione della crisi.
A cura di: Cinzia Convertino, Security and Compliance Solution Manager di Hewlett Packard Enterprise