Ambienti di lavoro ibridi: come influiscono sulla copertura assicurativa per la sicurezza informatica?
Le organizzazioni che intendono sottoscrivere una copertura assicurativa informatica devono dimostrare al proprio assicuratore di avere già in essere soluzioni per la cybersecurity e il disaster recovery, oltre a fornire informazioni sul loro rischio informatico e sulle best practice adottate.
Quando i dati aziendali risiedono solo in sede (on-premises), la documentazione, la valutazione e il mantenimento di tutte le soluzioni di sicurezza possono presentare diverse sfide, ma sono abbastanza semplici da affrontare per i team IT e di sicurezza che ne sono responsabili. Potrebbero dover installare determinati tipi di serrature sulle porte dei data center, aggiungere telecamere per monitorare il traffico del personale e applicare protocolli specifici che limitino chi può accedere a quali informazioni. All’interno di settori altamente regolamentati, i requisiti delle compagnie assicurative spesso seguono da vicino ciò che è stabilito dalle regole di conformità normativa.
Tuttavia, la pandemia da COVID-19 ha rovinato i piani per l’assicurazione della sicurezza informatica e la gestione del rischio informatico per molte organizzazioni. Nel momento in cui una parte sostanziale della forza lavoro ha iniziato a operare da remoto, la struttura di controllo della sicurezza è diventata meno chiara. La sfida è stata resa ancora più difficile dall’aumento simultaneo dell’uso aziendale delle soluzioni Software as a Service (SaaS).
Oggi, forse c’è solo un compito più impegnativo della creazione di una struttura di controllo efficace, ed è proprio quello di produrre prove che la struttura protegga efficacemente le applicazioni, i dati e gli utenti aziendali.
I responsabili della sicurezza informatica aziendale devono concentrarsi sulla comprensione di come i loro controlli dovrebbero essere strutturati dopo il COVID, nonché su come possono dimostrare l’efficacia di tali controlli ai revisori interni ed esterni, nonché ai loro assicuratori.
Cosa è mutato esattamente?
La pandemia ha ispirato una migrazione della forza lavoro in tutto il mondo. I dipendenti svolgono ancora gli stessi lavori che svolgevano in ufficio, ma molti lo fanno da casa o da altri luoghi remoti.
In questo ambiente ibrido è molto più difficile che i tradizionali metodi di sicurezza perimetrale siano efficaci. Anche se il team di sicurezza fosse in grado di raggiungere la residenza di ciascun dipendente, non avrebbe senso installare telecamere di sicurezza e sistemi di sicurezza sulle porte degli “uffici” domestici. Né è fattibile che un revisore di terze parti si rechi in ogni luogo disparato per verificare che l’ambiente di sicurezza del dipendente sia all’altezza.
Sfide simili sono certamente sorte prima del COVID-19. Si pensi a chi viaggiava per lavoro o a chi doveva portarsi occasionalmente il lavoro a casa. I team di sicurezza in passato richiedevano a questi tipi di lavoratori da remoto di connettersi alla rete aziendale tramite una rete privata virtuale (VPN). I revisori potevano chiedere in che modo l’azienda stesse proteggendo quelle connessioni, ma quando l’azienda aveva bisogno di dimostrare che i suoi controlli più cruciali funzionavano, i dipendenti da remoto rappresentavano in genere l’eccezione piuttosto che la regola.
Il lavoro ibrido e la trasformazione del cloud hanno capovolto quell’equazione. L’importanza e l’efficacia dei controlli perimetrali e delle relative tecnologie di sicurezza sono emerse in tutta la loro criticità. Doversi connettere alla rete aziendale prima di utilizzare un’applicazione SaaS o navigare in Internet può essere noioso e può comportare una scarsa esperienza utente.
Durante la pandemia, alcune organizzazioni hanno preso decisioni tecnologiche rischiose per l’accesso remoto, consentendo il bypass di soluzioni di accesso remoto sovraccariche col risultato che hanno aumentato la loro superficie di attacco. Tutto ciò, combinato con l’aumento del tempo personale trascorso sui dispositivi, ha fatto sì che la superficie di attacco si estendesse anche a servizi spesso ritenuti affidabili come Office 365, Google Suite e una serie di altri strumenti che i dipendenti utilizzano sia nella loro vita professionale che personale. Questo ha creato lacune in molte strategie tecnologiche di sicurezza in cui le funzionalità tradizionali non sono in grado di determinare la differenza tra un’istanza aziendale di Office 365 e un’istanza personale utilizzata a casa. Come risultato di questo ambiente operativo aziendale in rapida evoluzione e del panorama di lavoro ibrido, i requisiti di controllo dei fornitori di assicurazioni informatiche si sono andati intensificando man mano che la frequenza degli attacchi e le conseguenti perdite derivanti da incidenti di sicurezza continuano a crescere.
Quali sono le aspettative degli assicuratori?
Nel momento in cui una organizzazione vuole sottoscrivere una polizza di sicurezza informatica, un assicuratore vorrà naturalmente informazioni sull’attività dell’azienda, sull’ambiente operativo, sul programma di sicurezza informatica e sui relativi controlli. Queste informazioni vengono in genere acquisite durante il processo di richiesta iniziale, di copertura supplementare e di valutazione generale richiesta per la sottoscrizione del rischio. Il processo, spesso cartaceo, per spiegare i controlli in essere, fornire una panoramica del programma di sicurezza informatica/gestione del rischio e la relativa documentazione a supporto è il primo punto di partenza, ma l’assicuratore sempre più spesso vuole vedere anche le prove.
La produzione di prove può spesso essere supportata da attestazioni derivate da audit esterni, valutazioni e penetration test. Tuttavia, qualsiasi risultato di audit o valutazione è un’istantanea nel tempo e riflette l’efficacia e lo stato operativo dei controlli durante un periodo di tempo statico e quindi non riflette le variazioni di come la superficie di attacco di un’organizzazione può cambiare rapidamente. Sempre di più, le compagnie assicurative si stanno muovendo verso soluzioni capaci di monitorare continuamente i cambiamenti dei loro assicurati per evidenziare rischi e vulnerabilità emergenti che potrebbero indicare, e prevedere meglio, situazioni che potrebbero portare a un sinistro.
Cosa significa questo sia per l’assicurato che per la compagnia assicurativa?
La realtà è che si apre l’opportunità per entrambe le parti di avere analisi costanti grazie ad una visibilità continua. La sfida è che con il lavoro ibrido e gli impatti della trasformazione digitale continuativa nel business, è fondamentale guardare oltre il semplice inventario di utenti, identità, dispositivi, applicazioni e dati che possono essere estratti dal tradizionale ambiente operativo del data center. Ora è fondamentale comprendere appieno quei dati insieme all’inventario dei servizi cloud in uso: quelli approvati dall’IT, quelli guidati da business unit (shadow IT) e quei servizi più personali che vengono introdotti ogni giorno dagli utenti.
L’inventario è un punto di partenza, ma è anche importante capire chi accede a quei servizi e come sono configurati, così come quanti dati vengono inviati ai servizi in questione: sono tutti elementi chiave che possono modificare rapidamente il profilo di rischio di un assicurato e spesso non vengono controllati. Infine, è necessario valutare i suddetti servizi cloud dal punto di vista del rischio e delle minacce della supply chain ed essere in grado di rispondere a domande sul livello di sicurezza dell’organizzazione nel cloud.
Il settore delle assicurazioni sta sempre più integrando la scienza attuariale, la valutazione della superficie di attacco e dei controlli in uso nelle aziende, oltre al monitoraggio delle minacce e basa i prezzi delle polizze assicurative sulle previsioni dettate dalla telemetria di quali utenti hanno maggiori probabilità di subire una violazione di dati o altri incidenti di sicurezza che potrebbero portare alla richiesta di un risarcimento. Indipendentemente da se o quando ciò potrebbe verificarsi, i team di sicurezza che stanno trasformando i propri ambienti e modernizzando le proprie architetture dispongono oggi delle capacità e dei dati necessari per comprendere i propri rischi informatici e, in ultima analisi, per fornire la prova che stanno gestendo efficacemente il rischio che desiderano trasferire alle assicurazioni.
A cura di Nate Smolenski, Head of Cyber Intelligence Strategy di Netskope
Nate Smolenski è Head of Cyber Intelligence Strategy per Netskope. È un esperto CISO e leader della gestione del rischio con oltre 19 anni di esperienza nei settori dei servizi finanziari, della consulenza gestionale, delle assicurazioni e del software.