Dal punto di vista della cybersecurity il 2021 è stato un anno difficile. Abbiamo dovuto affrontare numerosi attacchi informatici, su una superficie di attacco digitale in espansione che, a seguito delle migrazioni accelerate al cloud, all’adozione dell’IoT e alla digitalizzazione dei desktop, è cresciuta a un ritmo servito solo a rendere la risposta più complessa. La criticità Apache log4j è stata la ciliegina sulla torta.
Purtroppo, il rischio di cyberattacco è in costante evoluzione per le trasformazioni aziendali in corso, e non sembrano esserci rallentamenti all’orizzonte.
La domanda sorge spontanea: come si può fare di più per ottenere un maggiore controllo su questa situazione? Quest’anno, l’investimento più critico di tempo e sforzi consisterebbe nell’adozione di una strategia di cybersecurity preventiva, incentrata sulla comprensione delle minacce più verosimili per il business, sviluppando preparazione e resilienza informatica sostenibile per l’organizzazione. È una strategia che si basa sulla visibilità sui rischi più rilevanti e sul livello di esposizione dell’azienda nel corso della sua trasformazione.
Avere una visione chiara delle minacce IT più probabili e una strategia per affrontarle servirà a giustificare agli stakeholder principali l’implementazione di controlli olistici proporzionati alle minacce del mondo reale. Questo permette di migliorare realmente la postura di cybersecurity e la resilienza di un’organizzazione.
Disporre di informazioni sulle minacce può portare a un processo decisionale informato, seguendo queste best practice:
- Creare un impatto sui sistemi critici per il business. Le decisioni prese sulle priorità difensive dovrebbero essere ricondotte a un’intelligence credibile sugli attori di minacce attualmente attivi. Qualora non si disponga di un quadro o di un elenco prioritario di scenari di attacchi informatici, è fondamentale ottenerlo rivolgendosi a un team di intelligence.
- Considerare oggettivamente le risorse e il dettaglio della superficie di attacco. Se non è possibile determinare il livello di criticità aziendale di un sistema, come potranno i team di cybersecurity sapere come dare priorità alle difese? Non sapere dove risiedono questi sistemi, né come vi si possa accedere, implica la necessità di attività più complesse in caso di attacco.
- Esaminare gli scenari di minacce potenziali e valutare a quali vulnerabilità dare priorità utilizzando la conoscenza sulla criticità delle risorse, l’esposizione della superficie di attacco e la possibilità di exploit. Unire tutto ciò a una comprensione completa dello stato attuale delle tattiche di difesa e dei piani di risposta a un incidente.
È importante rendersi conto che non si tratta di un esercizio una tantum, ma di stabilire la capacità di monitorare e valutare continuamente gli ecosistemi digitali di un business dinamico, proprio come le minacce in evoluzione. Pertanto, è imperativo adottare questo approccio in modo ripetibile, ad esempio tramite policy e processo (e idealmente automazione) per tutto il ciclo di vita del sistema. L’adozione di un approccio di cybersecurity informato alle minacce, che si basa su ricerca, dati empirici e competenze per costruire una visione olistica e strategica del panorama dei rischi per l’organizzazione, per iniziative di “cambiamento” e di “esecuzione” può cambiare le carte in tavola.
Dare al consiglio di amministrazione il potere di fornire una vera supervisione
È necessario avere un business case convincente per ricevere finanziamenti e supporto per i programmi di cybersecurity dai principali stakeholder, compreso il consiglio di amministrazione. Non servono troppi dettagli tecnici, perché richiedono troppo tempo per essere spiegati e compresi. L’approccio migliore consiste nel delineare l’intera serie potenziale di conseguenze aziendali e il costo associato a una difesa informatica inefficiente e inefficace, evidenziando i rischi da affrontare in un linguaggio comprensibile per i dirigenti. Mostrare come si stanno supportando consiglio di amministrazione e stakeholder a capire il “perché” del piano è la chiave per convincerli a investire in sicurezza.
Questo approccio consente di illustrare in modo chiaro come gli investimenti proposti si traducano in protezione e resilienza, passando dalla limitazione delle conseguenze all’ottenimento di benefici di business per una migliore postura di sicurezza. Ecco alcuni dei consigli per costruire un business case efficace:
- Determinare le caratteristiche chiave dell’organizzazione e mappare la progettazione del programma informatico per preservarle.
- Effettuare regolarmente un benchmark e un report sulle attività di riduzione del rischio in corso.
- Utilizzare un approccio basato sui dati per dimostrare i progressi positivi e la capacità di sostenere la postura di sicurezza contro le minacce contro la cybersecurity in evoluzione.
Questi passi consentiranno di allinearsi e costruire un rapporto di fiducia ai più alti livelli dell’organizzazione, e ottenere le risorse necessarie per una pianificazione strategica.
di Tim Erridge, EMEA VP Unit 42, Palo Alto Networks
