Stay Secure: Un nuovo paradigma aziendale
Premessa
La cybersecurity sarà parte essenziale della nostra quotidianità nel momento in cui, paradossalmente, non la distingueremo più dal concetto generale di sicurezza, e la percepiremo invece come la naturale necessità di proteggere (pro)attivamente noi stessi e la nostra comunità.
Predire l’evoluzione del progresso tecnologico e i futuri rischi cyber è arduo. Perciò si ritiene efficace adottare un approccio pragmatico-realistico, interpretando in chiave futuristica le minacce cyber note ma in continua evoluzione. Difendersi da queste e dagli attacchi combinati del cybercrime sarà la mission di ogni organizzazione.
Cybersecurity: come proteggere la RID
Quello cyber è una particolare tipologia di rischio che impatta la sicurezza delle informazioni,
compromettendone potenzialmente la RID, ossia la riservatezza, l’integrità e la disponibilità.
“Data is the new oil of the data economy in the Information Age”[1]: i dati sono il motore del successo di un’azienda, e rappresentano parte del knowledge-based capital, ossia un vero e proprio asset alla base dei nuovi modelli di business data-driven.
In estrema sintesi, possiamo dire che esistono due categorie di rischio cyber: 1) il rischio IT “puro”, derivante da eventi accidentali sui sistemi IT (alluvione, blackout elettrico, errore umano, ecc.), 2) Cybercrime, ossia le attività illegali commesse mediante varie tecniche d’attacco, tra tutte, il ransomware ed il social engineering.
In entrambi i casi, il concretizzarsi di uno o più di questi eventi causa gravi danni ad un’organizzazione in termini di business: perdite economiche, interruzione della continuità aziendale e, soprattutto, danno reputazionale.
Risk management: cos’è e a cosa serve
Dunque, se gli attacchi cyber cominciano a rientrare tra i dieci maggiori rischi in termini di probabilità di accadimento ed impatto[2], le organizzazioni devono proteggersi: ciò significa mettere in sicurezza i dati e l’infrastruttura informatica ospitante, adottando processi di gestione del rischio efficaci ed efficienti.
Stando alla norma UNI 11230:2007, il risk management è l’insieme di attività, metodologie e risorse coordinate per guidare e tenere sotto controllo un’organizzazione con riferimento ai rischi. Lo standard internazionale di riferimento per il risk management è la ISO 31000, la quale fornisce principi e linee guida generali per gestire il rischio.
In sintesi, il risk management, che consta delle fasi di pianificazione, valutazione, trattamento e monitoraggio, mira a: 1) allocare efficacemente il capitale e le risorse all’interno dell’organizzazione, 2) proteggere il patrimonio, l’immagine, il know how dell’organizzazione e delle persone chiave, 3) ottimizzare efficienza operativa.
Tutto ciò è fondamentale per rendere una struttura organizzativa longeva, resiliente dal punto di vista gestionale, capace di conseguire gli obiettivi prefissati e orientata al miglioramento continuo.
Graficamente, lo schema dei principi ha al centro la creazione e la protezione di valore attraverso il miglioramento delle performance, l’incoraggiamento all’innovazione e il supporto nel perseguimento degli obiettivi. Viene sottolineata l’importanza dell’approccio olistico alla gestione del rischio ed il diretto coinvolgimento del top management in funzione di leadership. Strutturalmente, si enfatizza la ciclicità delle fasi del processo e l’imprescindibilità di ottenere un alto grado di penetrazione del framework ISO 31000 nelle attività aziendali più significative, nella governance e nei processi decisionali.
Coinvolgendo tutto il personale fin dalle fasi di reclutamento secondo il modello “Team of Teams”[3] (ToTs), la gestione del rischio diventa un processo PDCA-based: circolare, continuo, graduale, proattivo e tailored. L’organizzazione, quindi, deve essere in grado di: 1) allocare correttamente le risorse necessarie, 2) affiancare tali risorse a personale esperto durante le prime fasi del training, 3) garantire coerenza tra la struttura di risk management e gli obiettivi, la strategia e la cultura aziendali, 4) stabilire il livello di risk appetite più adatto e comunicarlo agli stakeholder.
Oggi le organizzazioni davvero resilienti agli attacchi informatici adottano modelli di cyber risk management capaci di identificare, analizzare e quantificare in maniera automatizzata i rischi di sicurezza delle informazioni.
Questi ultimi, d’altronde, sono soddisfatti solo se poggiano su un’efficace sistema di controlli di sicurezza. Aumentando la protezione contro le minacce, si riducono sensibilmente l’entità delle vulnerabilità e, di riflesso, la superficie di attacco e l’esposizione degli asset aziendali.
Quindi risulta ridimensionato il potenziale impatto che tali attacchi potrebbero avere sul business della vittima ed è così che, teoricamente, gli effetti del rischio cyber vengono mitigati.
Cyber risk management: un approccio semi-quantitativo
I moderni modelli di cyber risk management si basano su approccio semi-quantitativo all’analisi del rischio, caratterizzato da minore onerosità e maggiori oggettività e precisione. Qui la matrice di rischio è composta da classi di rischio (basso, medio, alto) espresse in termini matematici, mettendo in rapporto la frequenza degli attacchi, l’impatto sui diversi asset e le perdite attese. Vengono utilizzati, pertanto, quattro indici: 1) Exposure Factor, 2) Single Loss Expectancy, 3) Annualized Rate of Occurrence, 4) Annualized Loss Expectancy.
Favorire l’adozione di un approccio semi-quantitativo all’analisi del rischio permetterà di misurare la frequenza e l’impatto degli eventi informatici nel contesto della propria governance, delle capacità difensive e della cyber threat intelligence. Questo processo porterà sia a catalogare e prioritizzare i rischi, sia ad implementare ed automatizzare i controlli e ridurre così l’impatto di scenari specifici, imprevedibili e futuristici. Il modo più semplice consiste nell’adozione di una piattaforma con cui monitorare gli eventi, raccogliere i dati ed elaborare report affinché il top management possa comprendere e gestire al meglio il rischio cyber quantificandolo in termini economici. Ciò consente di tracciare la reale esposizione dell’azienda al rischio informatico, di monitorare l’impatto dell’evoluzione tecnologica, di individuare le modifiche di policy e procedure e, infine, di avere un quadro chiaro, ampio ed attendibile del profilo di rischio complessivo.
Un tale assetto innovativo permette una collaborazione orizzontale ToTs-based tra i vari dipartimenti aziendali più agevole e orientata all’incremento dei livelli di cross-check, innovazione e sicurezza. L’organizzazione, dunque, ottiene una performance migliore dal punto di vista dell’efficienza, dell’efficacia e dell’economicità.
Human factor e supply chain come vettori di attacchi cyber
La maggiore interazione uomo-macchina ha reso labili i confini aziendali ed esteso il perimetro di sicurezza da proteggere. È pensabile che, in futuro, i dipendenti saranno connessi dalle loro abitazioni attraverso visori Virtual Reality e Augmented Reality, attraverso i quali si immergeranno in un meta-uffici in cui interagire con gli avatar dei propri colleghi.
Pertanto riteniamo che un’organizzazione, soprattutto di grandi dimensioni, debba agire specialmente su human factor e supply chain.
Da un lato, il fattore umano è il vero anello debole della catena sul quale è necessario intervenire per responsabilizzarlo. Il fattore umano continuerà ad essere il principale vettore di attacchi cyber, mettendo a rischio il patrimonio informativo aziendale, salvo che: 1) esista una forte cultura di sicurezza aziendale, 2) i dipendenti abbiano skill ed expertise per riconoscere ed evitare i rischi informatici attuali e futuri, 3) l’organizzazione abbia la capacità finanziaria di affrontare i costi derivanti dagli attacchi subiti, 4) l’organizzazione disponga di strategie di mitigazione efficaci (affidamento parziale del servizio in outsourcing, buone coperture assicurative, piani di disaster recovery e business continuity all’avanguardia).
Dall’altro, gli attacchi alla supply chain saranno sempre più diffusi, anche perchè i piccoli fornitori continuano a prestare un minimo livello di attenzione alla sicurezza rispetto a quello che le grandi aziende ripongono nei propri processi.
Anche qui è cruciale adottare un modello organizzativo ed un modus operandi ToTs-based. Risulta infatti più facile per un attaccante inoculare un malware all’interno di un componente – hardware o software – di un fornitore e attendere che questo sia installato sul prodotto finale per sferrare l’attacco. Le aziende devono perciò valutare e continuare a trattare questo rischio, adottando azioni di mitigazione, creando relazioni di fiducia con i fornitori certificati da SLA e NDA, irrobustendo le attività di audit di seconda parte e la due diligence.
“Stay Secure”: un corto per la Cybersecurity
Il cortometraggio “Stay Secure” costituisce parte del project work finale del master in Cybersecurity dell’Università Luiss Guido Carli di Roma a.a. 2020-2021, ed è stato realizzato da Flavio Campara, Alessandra Checchia, Carmelo Spadaro e Pietro Trebisonda.
Il project work (paper e cortometraggio) delinea una nuova organizzazione aziendale contestualizzata in uno scenario futuristico e futuribile del settore energetico, caratterizzato dalla crescente interoperabilità tra le reti di telecomunicazioni e di distribuzione dell’energia (smart grid). Il fine ultimo del project work è dimostrare i benefici del nuovo paradigma aziendale dal punto di vista della cybersecurity (prevenzione delle minacce, analisi del rischio, risposta agli incidenti ed agli attacchi).
Di seguito, una breve sinossi:
Roma, 2035.
Ci sarà una volta un mondo così avanzato che l’epoca di oggi sarà considerata “preistoria”.
La tecnologia avrà raggiunto livelli incommensurabili di efficienza ed efficacia e, grazie al quantum computing, la cybersecurity si baserà sulla tecnologia blockchain con crittografia quantistica.
L’energia pulita sarà prodotta da impianti tecnologicamente avanzati e distribuita dalle smart grid, reti intelligenti abilitanti di una serie di numerosi beni e servizi ormai indispensabili per vivere e lavorare (es. Car as a Service, IoT,…).
Un mondo nuovo bellissimo, ma ancora pieno di vecchie insidie…
Una grande corporate dell’energia sta per subire un grave attacco cyber, che mira all’anello debole di qualsiasi organizzazione: l’uomo.
Ricorrendo a tecniche di social engineering, gli attaccanti ottengono l’accesso ed il controllo dei sistemi informatici aziendali, e si apprestano a rendere indisponibile la smart grid: l’obiettivo è generare il blackout totale della città.
Ma grazie alla formazione individuale, all’addestramento dei team ed alla cultura della sicurezza, la corporate riuscirà a rispondere efficacemente all’attacco in tempi rapidi e con il minimo impatto, sia per l’azienda che per gli utenti finali.
Nello specifico, la formazione dei dipendenti si basa su metodi di apprendimento e tecnologie innovative (piattaforme di gaming con VR e AR) con cui i dipendenti acquisiscono conoscenze base di cyber threat intelligence.
Inoltre, grazie alla teoria “Team of Teams”, reparti ed unità sono integrati secondo il principio del cross-checking sull’operato dei team e sulla collaborazione e comunicazione real time.
Questo modello risulta efficace nel rilevare tempestivamente la minaccia e nel ridurne sensibilmente l’impatto, evitando al contempo che l’organizzazione subisca danni reputazionali, sottrazione di know how e perdite economiche.
Stay Cyber…Stay Secure!
Conclusioni
Infine, ripercorrendo quanto dichiarato in precedenza, riteniamo che un’organizzazione debba investire in formazione individuale e addestramento dei team di livello innovativo, nonché infondere una vera cultura della sicurezza.
Sono sempre e comunque necessari investimenti in tecnologie innovative per vari fini: automatizzare il risk management, sfruttare la data analytics, impiegare algoritmi e modelli statistici per generare un rating del rischio cyber, stabilire un quadro di controlli.
Il tutto permetterà ad un’organizzazione di fornire una risposta efficace ad attacchi e incidenti di sicurezza, in maniera tempestiva rapidi e con il minimo impatto, sia nei confronti dell’azienda come pure per gli utenti finali.
Note
[1] Zuboff S. The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power, New York, 2019.
[2] ENISA, Threat Landscape 2021, in https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021
[3] McChrystal S., Silverman D., Collins T., Team of Teams: New Rules of Engagement for a Complex World, New York, 2015. l Gen. McChrystal, sulla base dell’esperienza come comandante delle forze statunitensi in Iraq nel 2003, propone un approccio basato sulla massima “orizzontalità” possibile che valorizzi sia l’interazione costante tra i gradi (alti e medio-alti) e il team, sia la condivisione di informazioni ed esperienze, nel segno di obiettivi comuni.
Così facendo, tutti i membri del team sono responsabilizzati e, indipendentemente dal grado, possono essere leader ed esercitare un effetto trainante verso gli altri collaboratori dal punto di vista emotivo e comportamentale. Dunque, il top management è invitato a sfruttare le potenzialità e il desiderio di teamworking di ogni individuo che non coltivi obiettivi squisitamente personali ed egoistici. Infine, il collante di tale approccio è la fiducia reciproca che un leader capace ed empatico infonde ai membri di un’organizzazione.
Articolo a cura di Flavio Campara
Appassionato di innovative technologies e di fantascienza, sono laureato in Scienze delle Pubbliche Amministrazioni (LM) presso l’Università degli Studi di Roma Tre, con una tesi sulla Digitalizzazione della PA.
Successivamente, ho concentrato la mia ricerca sulle tecnologie più disruptive per il mondo del diritto, pubblicando contributi in ambito Blockchain, Cybersecurity, Artificial Intelligence, Smart Contract, Open Data e procedimento amministrativo informatico.
Ho conseguito di recente il master di II liv. in Cybersecurity presso l’Università Luiss Guido Carli di Roma, grazie al quale ho potuto approfondire la materia ed ottenere certificazioni ISO/IEC 27001 e 27701, DPO e Cisco Cybersecurity Essentials.
Attualmente lavoro come consulente ICT per TMI - Toyota Motor Italy, nell’ambito security & compliance.
Ai temi ed alle sfide che quotidianamente la tecnologia ci pone davanti, rispondo con uno sguardo favorevole, mantenendo sempre un spirito critico.
Il mio motto: Stay Cyber…Stay Secure!