CIO CLUB ITALIA

Un’illustre sconosciuta, ancora per molti

Mai come negli ultimi mesi il mondo IT ha registrato momenti impegnativi sotto l’aspetto della Cybersecurity. Il ricorso a Smart Working (o nella migliore eccezione Home Working) massivo a causa della pandemia Covid-19, l’utilizzo di tecnologie Cloud e Digital Workspace ha allargato drasticamente il perimetro aziendale ampliando i confini a nuovi rischi di attacchi e furti di dati, con la conseguente perdita di informazioni vitali per la produttività aziendale. Oggi la digitalizzazione e l’interconnessione tra sistemi fa si che il rischio diventi sempre più reale e vicino, quindi da non sottovalutare in quanto un blocco dei sistemi informativi, oltre l’eventuale perdita di dati, potrebbe causare danni importanti all’economia delle nostre aziende.

“La Cyber Security è la seconda emergenza in Europa, dopo il cambiamento climatico e prima dell’immigrazione”. Sono queste le parole del presidente della Commissione Europea Jean-Claude Junker nel discorso sullo “Stato dell’Unione” del 13 Settembre 2017. Addirittura il World Economic Forum, nel suo ultimo Global Risk Report 2020, ha classificato i rischi derivanti da Cyber attacchi al secondo posto tra i maggiori rischi globali, subito dopo disastri naturali ed eventi climatici estremi, con un impatto più rilevante rispetto alle malattie infettive. Riportando le variabili “impatto” e “probabilità”, i cyber attacchi sono in 7° posizione per la probabilità e sulla top 10 degli “impatti”, sono all’ottavo posto superando addirittura le epidemie, in decima posizione. Quella che stiamo vivendo oggi è quindi un problema globale minore di quello che subiremmo in caso di cyber attacchi su scala mondiale. Ci vuole poco ad immaginare gli effetti sulle nostre vite. Ma un ruolo importante, oltre a quello dei sistemi, viene ricoperto dall’uomo in quanto utilizzatore degli stessi che spesso in maniera incauta effettua operazioni dannose creando situazioni critiche. Secondo la ricerca IBM X-Force nel 2018, il 43% dei danni erano collegati all’errore umano e il 75% a un servizio IT mal configurato. Quali? Divulgazione involontaria informazioni sensibili, facendo clic su un collegamento di phishing, l’uso negligente di unità USB non sicure, WIFI con password deboli o riutilizzate, cattive pratiche di condivisione delle password. È necessario che il CIO evolva la sua figura da supporto a leader in azienda ed educando il direttivo sull’importanza dei rischi informatici, argomento che spesso torna ancora di difficile comprensione. La sicurezza informatica, alla stregua della sicurezza sul lavoro, deve essere una componente integrante della strategia aziendale in quanto ha un’influenza diretta sulla reputazione aziendale e sul futuro della stessa.

In che modo il CIO può sensibilizzare il direttivo su questi temi? Bisogna essere capaci di tradurre il rischio in un linguaggio comune, senza troppi tecnicismi, vicino alle persone per far comprendere il reale pericolo, magari focalizzando anche su argomenti commerciali che sicuramente influenzano gli amministratori d’azienda, facendo capire che la sicurezza informatica oggi è un’opportunità per creare fiducia nella trasformazione digitale. Ma non è necessario sensibilizzare solo il direttivo, la Cyber Security è una sfida di tutta l’azienda per cui bisogna far crescere la sicurezza interna ed esterna aumentando le informazioni sul rischio, formare i decision-maker sulle necessità di condividere il rischio informatico come avviene per gli obiettivi ed i KPI, condividere il time-to-market per decidere la tolleranza al rischio dell’organizzazione, collaborare con i fornitori per la corretta definizione del perimetro di sicurezza dei software e dell’hardware e, non ultimo, garantire i requisiti legali e normativi includendo nelle decisioni parte legale e DPO.

Risulta quindi fondamentale per gli addetti ai lavori alzare il livello di guardia e tenere sotto costante valutazione la sicurezza del proprio sistema, costruendo e mettendo in pratica una forte “Cyber Hygiene”: sviluppare una forte strategia di patching che riduce le possibilità di sfruttamento di vulnerabilità note su server, applicazioni ed endpoint, istruire le persone nell’eseguire azioni o divulgare informazioni riservate, (più informazioni forniamo più siamo in pericolo), tenere un inventario dettagliato dei sistemi e delle configurazioni di ognuno di essi, implementare una struttura forte a livello di autenticazione. Un altro aspetto da non sottovalutare è la protezione degli accessi agli Assets Mission-Critical, dove è buona norma far prevalere il “principio di accesso con privilegi minimi” con la definizione di ruoli e politiche per ogni utente e facendo attenzione a bloccare immediatamente gli accessi alla risoluzione di un contratto di dipendenza o fine impegno con una terza parte. Possono tornare utili meccanismi di alert e audit per ogni sistema di verifica accessi e identità informatiche.

Evidenza particolare va data agli attacchi Phishing perché l’e-mail è il mezzo più utilizzato dagli utenti e di conseguenza la via preferita dai criminal hacker (il 90% dei malware usa questo canale). Occorre formare tutti i dipendenti a riconoscere il phishing ed evitarlo, tenersi informati sulle nuove tecniche utilizzate anche al telefono (“vishing”) e tramite SMS (“smishing”), implementare un filtro antispam per identificare e mettere in quarantena le email e scansionare i collegamenti ipertestuali, implementare un sistema DMARC (Domain-based Message Authentication, Reporting & Conformance) per evitare lo spoofing (record SPF e DKIM).

Un approccio consigliato per mettere in sicurezza la propria Supply Chain è quello Zero-Trust, ovvero fiducia zero: la sicurezza informatica è forte come il suo anello più debole. Scartiamo la convinzione che la sicurezza perimetrale con firewall o antivirus è sufficiente, bisogna limitare l’accesso in base alle necessità, assicurarsi che i nostri fornitori facciano lo stesso, verificando le loro pratiche di sicurezza informatica e vincolandoli contrattualmente al rispetto di politiche di sicurezza e standard, ed obbligandoli a segnalare, soprattutto in caso di elaborazione di dati sensibili, un eventuale incidente informatico entro 72 ore dall’accaduto. La parola d’ordine deve essere Prevenzione: mediante le nuove tecnologie possiamo attivare strumenti di monitoraggio contro ransomware o DDoS che grazie all’apprendimento ed all’AI possono elaborare grosse quantità di informazioni in tempo reale, segnalando in tempo utile eventuali situazioni anomale. Infine, per la gestione del caso peggiore, è utile sviluppare e mettere in pratica un piano di gestione delle crisi mediante la costruzione di un team interfunzionale dedicato con la creazione di un piano di crisi sull’intero spettro di attività aziendale e la preparazione di comunicazioni su canali alternativi. Anche se l’approccio odierno è sempre più orientato al paperless è buona abitudine conservare delle copie cartacee delle procedure, dei contatti e di altri documenti businesss-critical come supporto alternativo. Inoltre in questi casi più essere di supporto rivolgersi a tecnici, legali ed esperti per fornire interventi professionali ed imparziali, oltre che identificare e mantenere un elenco di contatti chiave all’interno delle forze dell’ordine per comunicare con queste in caso di necessità. Avete seguito tutti i nostri consigli ma nonostante la massima attenzione ce l’hanno fatta? Allora non resta che mettere in pratica un piano di Disaster Recovery per Cyber attacchi precedentemente costruito. Il piano dovrà contenere istruzioni chiare su come reagire in caso di violazione dei dati identificando le risorse chiave (persone e sistemi) e cosa si sta proteggendo, ad identificare il responsabile della dichiarazione ufficiale di disastro e della sua comunicazione a catena, su come consentire all’azienda di continuare a funzionare a livelli accettabili. È fondamentale prevedere il salvataggio dei dati su un’unità di backup o una replica completa in una posizione remota sicura, meglio se disconnessa da tutto, in modo da poter ripristinare i dati non corrotti nel più breve tempo possibile. Rivedete ed eseguite regolarmente il recovery plan per assicurarvi che funzioni efficacemente come da progetto, è importante rivedere con i dipendenti regolarmente le azioni da compiere: tutti devono sapere cosa fare di fronte a una violazione dei dati o un attacco informatico.

Per qualsiasi informazione aggiuntive o chiarimenti contattare pure gli autori.

Pasquale Testa

CIO di Sole365, Fondatore e Presidente di CIO CLUB ITALIA

Aniello Ranieri | CIO di Sideralba Spa

CIO Club Italia nasce dall’associazione dei professionisti IT (CIO è l’acronimo di Information and Communications Technology) desiderosi di condividere conoscenze e confrontarsi, per lavoro o passione; raccoglie le iniziative di oltre 400 CIO e IT Manager in tutte le regioni italiane. Il CIO Club promuove l’innovazione digitale come perno fondamentale per l’evoluzione delle aziende. La comunità al fine di migliorare il profilo professionale dei soci, già altamente qualificato, ricerca costantemente nuove soluzioni e metodologie applicative.

La pagina Linkedin, annoverando oltre 1100 iscritti, di fatto risulta la più ampia comunità di IT Manager nazionale. Durante il “lockdown” il CIO Club ha organizzato oltre 30 eventi online.

Per maggiori informazioni visitare il sito ufficiale

www.cioclubitalia.it