A fronte della proliferazione delle vulnerabilità e della crescente complessità degli attacchi informatici, oggi sempre meno aziende si chiedono se subiranno un attacco ma quando e se nonostante l’attacco riusciranno a garantire la continuità dei propri servizi e delle attività aziendali. Quest’ultimo elemento è ciò che caratterizza la cyber-resilienza.
Stormshield suggerisce quattro misure per accrescerla.
Riconoscere le debolezze del cyberspazio
Negli ultimi vent’anni si è parlato molto cybersecurity e di come le soluzioni per la sicurezza informatica proteggano infrastrutture e dati aziendali. Nel corso del tempo tuttavia il cyberspazio ha subito una forte trasformazione. L’Internet è diventato molto più veloce e «democratico», la digitalizzazione ha ormai raggiunto la stragrande maggioranza delle organizzazioni. A fronte della dipendenza da un crescente numero di fornitori di servizi, le aziende oggi sono più esposte di un tempo a rischi sistemici.
Ogni giorno vengono alla luce nuove vulnerabilità, che rendono l’intero ecosistema sempre più prono agli attacchi informatici. Monitorare e porre rimedio a tutti i punti deboli è tuttavia un compito troppo oneroso sia a livello di risorse umane sia economiche. Subire un cyberattacco pare quindi inevitabile. Anche per questo motivo comincia a emergere un cambiamento di paradigma verso la cyber-resilienza.
L’approccio della resilienza è tutt’altro che fatalista. Esso mira a minimizzare l’impatto di un cyberattacco sulle attività aziendali. La sicurezza informatica svolge comunque un ruolo predominante ma viene integrata in un approccio realmente sistemico, ovvero quello della cyber-resilienza. Si tratta di garantire la prosecuzione delle attività dell’organizzazione, anche in modalità ridotta, qualora si verifichi un disservizio, un malfunzionamento o, appunto, un attacco. La continuità delle attività aziendali poggia su cinque pilastri: identificazione, protezione, rilevamento, reazione, ripristino.
Buone pratiche che favoriscono la cyber-resilienza delle aziende
La cyber-resilienza non si conquista dall’oggi al domani. Le aziende devono dapprima comunicare e accettare come tale il fatto che eventuali situazioni di emergenza digitale possano verificarsi in qualsiasi momento. La comprensione di questa premessa di base da parte del management si rivela essenziale, poiché è responsabilità del management mettere a disposizione le risorse necessarie per l’implementazione dei piani per la cyber-resilienza. Oltre alle misure elementari, come ad esempio i back-up regolari dei dati e la rispettiva archiviazione in ambienti non connessi alla rete aziendale, sono diversi i passi da intraprendere.
Monitorare la propria conformità alle normative
Sarebbe opportuno valutare il proprio livello di conformità alle normative ed includere tra le misure previste per garantire la continuità delle attività aziendali anche la prevenzione e reazione ai cyberattacchi.
Bisogna anche essere consci del fatto che non si tratta di un processo «una tantum»: i meccanismi della cyber-resilienza devono essere aggiornati e testati regolarmente. Da un lato le minacce evolvono costantemente, dall’altro le aziende: un nuovo progetto aziendale può eventualmente incrementare il rischio di attacco informatico. Se tale pericolo non venisse riconosciuto tempestivamente, potrebbe vanificare le misure per la cyber-resilienza adottate.
Considerare il fattore umano
Il fattore umano è decisivo. Non si può fare affidamento sul fatto che l’automazione di determinati processi o le misure all’insegna del “security by design” siano risolutive. Le aziende devono poter contare sulla reattività del personale, consapevole delle tematiche di sicurezza, per evitare che i dipendenti debbano tornare alla carta per svolgere il proprio lavoro.
Rafforzare i partner
Altrettanto importante è potersi fidare dei propri partner, che vanno egualmente informati dei rischi a cui sono soggetti gli ecosistemi digitali. Ancora meglio sarebbe se fornitori e appaltatori fossero resi corresponsabili: in linea con il GDPR un’idea sarebbe quella di definire a livello contrattuale la suddivisione delle responsabilità in merito alla cyber-resilienza della supply-chain.
Favorire lo scambio di informazioni
Infine, sarebbe opportuno stabilire in quale modo l’azienda desidera comunicare in merito a questioni di cybersecurity ed eventuali attacchi. Oltre all’obbligo legale di notifica degli incidenti informatici, favorire lo scambio di informazioni su tali temi tra colleghi, partner e collaboratori, con gli investitori e persino con i clienti contribuisce a generare fiducia. Prepararsi già oggi a gestire potenziali episodi investendo in cybersecurity e resilienza rappresenta un vero valore aggiunto per tutti.
Come per tutti i processi legati alla gestione di una crisi, la cyber-resilienza va raggiunta prima che si verifichi un eventuale attacco o incidente informatico, per poter superare tali evenienze «illesi». In linea con un mondo sempre più digitale, dove quotidianamente si scambiano sempre più dati, questa nuova prospettiva si basa su un approccio sistemico che prevede la presenza di una consapevolezza generalizzata, di uno scambio di informazioni tra tutti gli attori e la selezione dei giusti strumenti di cybersecurity come primo livello essenziale di protezione.