Cyber security in azienda: i cinque “pilastri” per creare la migliore strategia di sicurezza

La cyber security in azienda non può più essere vista come una semplice soluzione tecnologica di protezione, ma deve essere affrontata e gestita come un vero e proprio processo di sviluppo che porti alla realizzazione di un programma strutturato di sicurezza aziendale. Ecco i cinque pilastri per la realizzazione della migliore strategia di difesa cibernetica

Ottobre è un mese importante per la cyber security in azienda: il mese d’autunno, infatti, è stato consacrato alla sicurezza ICT dal progetto European Cyber Security Month, promosso dall’Unione Europea e organizzato dall’Enisa (European Union Agency for Network and Information Security).

La campagna informativa coinvolge tutti i Paesi membri dell’Unione Europea e prevede un fitto programma di eventi e manifestazioni consacrate al tema della sicurezza informatica.

Con un obiettivo ben preciso: educare i cittadini e soprattutto le aziende ai temi principali della cyber security, condividere le best practice in materia, effettuare esercitazioni per i più esperti e formazione su più livelli dedicata agli sviluppatori e ai dipendenti aziendali. Ci sarà persino una competizione tra i migliori esperti europei di sicurezza.

Il Mese Europeo della Sicurezza Informatica (ECSM) è dunque l’occasione giusta per stimolare la futura adozione del framework per la sicurezza informatica da poco licenziato a Bruxelles, dove il 6 luglio scorso il Parlamento Europeo ha stabilito che gli operatori dei servizi essenziali devono imparare a proteggersi dagli attacchi informatici e notificarli in tempo alle autorità.

Cyber security in azienda: lo scenario attuale

Un paradigma, quello della prevenzione in ambito cyber security, divenuto ormai di fondamentale importanza in uno scenario, in cui la tecnologia cambia più velocemente di quanto la maggior parte delle aziende riesca a tenere il passo.

Per queste stesse aziende, una delle sfide più difficili, oggi, è proprio l’implementazione delle best practice di sicurezza informatica applicate a una rete che è sempre meno strutturata e decentralizzata.

Di fronte ad attacchi informatici sempre più mirati alla violazione di dati riservati, con conseguenti danni economici e reputazionali difficilmente calcolabili, due dei tipici comportamenti tenuti finora dalle aziende in ambito cyber security risultano ormai del tutto inadeguati:
• iniziare a pensare alla sicurezza informatica solo quando si verificano gli incidenti;
• investire in soluzioni tecnologiche “stand alone” senza una strategia di sicurezza definita.

È importante prendere atto del fatto che la security in azienda non può più essere vista come una semplice soluzione tecnologica di protezione, ma deve essere affrontata e gestita come un vero e proprio processo di sviluppo che porti alla realizzazione di un programma strutturato di sicurezza aziendale.

Cyber security in azienda: i cinque “pilastri” della sicurezza

È dunque utile approcciarsi al tema della security suddividendolo in cinque “pilastri”, che rappresentano il percorso che ogni azienda dovrebbe seguire al fine di creare la migliore strategia di difesa cibernetica.

Governance

Occorre mirare ad avere la piena conoscenza degli asset aziendali e dei processi produttivi, oltre alle relazioni che intercorrono tra di loro. Solo una efficace ed efficiente governance aziendale, infatti, consente di valutare i rischi associati alla propria realtà produttiva e quindi attivare le giuste contromisure per garantire che gli asset stessi abbiano sempre dei livelli di sicurezza chiari e basati sulla loro criticità.
È importante, inoltre, ripetere l’attività di analisi nel tempo: le minacce informatiche, infatti, si evolvono nel tempo e la valutazione del rischio deve quindi essere vista come un’attività ricorsiva soggetta ad aggiornamenti che non può esaurirsi semplicemente con l’identificazione del rischio iniziale.

Management

Altro punto cardine per una corretta gestione della cyber security in azienda è la visibilità a 360° di quello che avviene all’interno del proprio perimetro fisico e virtuale. Solo così si possono rilevare più velocemente gli incidenti di sicurezza e mettere in atto le necessarie e più efficaci attività di contenimento e di ripristino dell’attività produttiva.
Identificati i rischi e le soluzioni organizzative, occorre mettere in campo le soluzioni tecnologiche per raggiungere gli obiettivi che si erano prefissati nella fase di governance.

Awareness

Per raggiungere gli obiettivi di sicurezza che l’azienda si è prefissata, la tecnologia da sola non basta. Lo step successivo nella creazione di una strategia di difesa cibernetica consiste nel consapevolizzare gli utenti aziendali dei rischi e delle minacce a cui vanno incontro mentre utilizzano non solo gli strumenti di lavoro (pensiamo, ad esempio, all’e-mail aziendale) e le infrastrutture produttivi considerate critiche, ma anche lo smartphone e tutti i dispositivi ad uso personale.
La superficialità delle persone, infatti, rappresenta un ottimo veicolo di informazioni aziendali per gli attaccanti, sempre alla ricerca del modo migliore per “bucare” il perimetro cyber dell’azienda.
È necessario, inoltre, che non solo le persone interne all’azienda siano formate ed educate da un punto di vista comportamentale e tecnico: è fondamentale che tutta la supply chain composta da fornitori esterni, clienti e utenti esterni raggiunga un livello altrettanto elevato di awareness in tema di cyber security aziendale.

Incident

Quando il piano di sicurezza è stato completato e sono state implementate tutte le soluzioni tecnologiche necessarie, è opportuno prevedere processi e soluzioni che costantemente controllino e monitorino lo stato delle infrastrutture critiche aziendali e le eventuali anomalie che possano eventualmente presentarsi. Questo permetterà di avere una pronta reazione e quindi contenere l’incidente in termini di eventuali danni. Una investigazione successiva permetterà di comprendere le cause dell’incidente e quindi di prevedere azioni migliorative atte evitare il futuro accadimento di incidenti simili.
Le aziende, inoltre, possono fare riferimento al Framework Nazionale per la Cybersecurity e la Data Protection che, per l’appunto, rappresenta un valido strumento di supporto per la definizione di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber (anche se non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti in materia come, ad esempio, il GDPR).

Compliance

Rappresenta l’ultimo pilastro per la realizzazione di un piano strategico di difesa cibernetica.
Parallelamente a tutte le attività che un’azienda deve svolgere in ottica di sicurezza, esistono normative leggi e standard di settore, nazionali e internazionali, a cui deve essere sempre compliant.

 

Fonte: CyberSecurity360