Perché servono le 5 funzioni della Cybersecurity?

I dati di un recente studio del  Politecnico di Milano mostrano che sia a livello di grandi imprese che di PMI la Cybersecurity è in testa alle priorità di investimento, Contemporaneamente, secondo Juniper Research si parla di un tasso di crescita del 26% in cinque anni.  Inoltre, gli aumenti più significativi in termini di investimenti riguarderebbero le soluzioni di Endpoint Security e Cloud Security. Il mercato è ormai conscio del fatto che i principi di riservatezza, integrità e disponibilità dei dati e delle infrastrutture sono non solo il punto di partenza per il successo delle aziende ma anche il fattore determinante la sicurezza dell’individuo che dipende dalla consapevolezza del problema.

Per le PMI italiane oggi è fondamentale capire fino in fondo la necessità di un insieme strutturato di regole di Cybersecurity. Un piano di protezione efficiente non dovrebbe semplicemente limitarsi a rilevare e combattere le minacce, ma anche identificare quanti e quali sono gli asset da proteggere. Inoltre dovrebbe evidenziare in che modo e chi deve mettere in azione quali procedure in tempo utile qualora accada una violazione, per evitare o bloccare la minaccia oppure garantire una fase di recovery veloce ed efficace. E qui entrano in scena le 5 funzioni della Cybersecurity.

Quali sono le 5 funzioni della Cybersecurity?

Secondo il Cyber Security Framework di NIST (National Institute of Standards and Technology degli Stati Uniti)  una corretta protezione si basa sulle linee guida di 5 funzioni della Cybersecurity strettamente connesse, e se anche soltanto una venisse a mancare, decadrebbe la validità dell’intera strategia di sicurezza. Questro approccio è stato adottato anche dal “Framework Nazionale per la Cybersecurity e la Data Detection” italiano. Vediamo quali sono queste cinque funzioni della Cybersecurity fondamentali:

Identificazione, protezione, rilevamento, risposta e recupero.

1. Identificazione

Probabilmente questo aspetto risulterà particolarmente impegnativo per molte aziende, ma senza un “inventario” dei rischi, sia maggiori che minori, non è possibile stabilire un piano di Cybersecurity. Tutti i sistemi, software, reti, dispositivi e apparecchi (anche IoT) connessi devono essere identificati, classificati e monitorati in base alla loro probabile vulnerabilità. Quest’attività è resa più complicata dallo smart working, dall’uso di dispositivi BYOD e se l’azienda dispone di sedi diverse.

2. Protezione

In questa fase si vede quali sono le protezioni che l’azienda ha messo in atto per proteggere i dati, le infrastrutture e i sistemi e ovviamente le persone. Ogni tassello è una possibile vulnerabilità e va protetto. In primo piano occorre minimizzare il possibile errore umano, formare le persone sui possibili rischi e gli strumenti di protezione a disposizione. Soltanto un mix perfetto tra consapevolezza umana e tecnologia garantirà all’azienda una buona resilienza agli attacchi esterni imprevedibili.

3. Rilevamento

Questo settore è caratterizzato dalle soluzioni tecnologiche. Entrano in azione antivirus, firewall, soluzioni di intelligenza artificiale per trovare anomalie nei sistemi e nei comportamenti abituali… per scoprire se ci sono attività sospette. E’ qui che tutte le aziende generalmente iniziano il proprio percorso di Cybersecurity, ma può funzionare soltanto se le fasi 1 e 2 sono già state implementate correttamente.

Ma tutti gli strumenti di Cybersecurity in sé però non offrono una protezione sufficiente e non sono statici, funzionano se integrati in un contesto generale di sicurezza continuamente aggiornato. A questo scopo vengono sempre più utilizzate piattaforme in grado di raccogliere tutti gli eventi rilevati da antivirus, firewall e dai dispositivi periferici, analizzarli e correlarli. Questo ottenimento di una visione ‘globale’ degli eventi è fondamentale identificare tempestivamente anche gli attacchi più sofisticati, e reagire nel modo più appropriato.

4. Risposta

Se si ha eseguito le fasi da 1 a 3 con accuratezza, in caso di incidente l’azienda dovrebbe disporre di un piano d’emergenza dettagliato già pronto. Purtroppo spesso questo non corrisponde alla realtà. Anche aziende grandi, in caso di violazione, si trovano a remare nell’incertezza perché non sono chiari i ruoli, le contro misure e i processi di contenimento dei danni. Non avere un piano preciso e su cosa fare se si verifica un incidente significa esporsi al massimo danno possibile: operativo, economico e reputazionale. Inoltre, bisogna rendersi conto che nonostante si abbia pensato a tutto è possibile che avvenga un attacco indirizzato ad altre vittime primarie a noi connesse. Se un nostro partner commerciale venisse colpito potremmo essere coinvolti in vari modi.

Per esempio, spesso le grandi aziende, che normalmente hanno già implementato misure di cybersecurity di primissimo livello, vengono attaccate attraverso un loro fornitore, che essendo normalmente aziende più piccole, non hanno risorse sufficienti per implementare livelli di protezione analoghi.

È quindi importante rilevare, misurare e documentare qualsiasi evento anomalo e migliorare costantemente la propria conoscenza dei rischi più probabili che possono riguardarci.

5. Recupero

La fase di recupero dopo un incidente, downtime o attacco cibernetico dipende dalla gravità della situazione ma in gran parte anche da come ci si è organizzati in previsione di esso. Sono fondamentali un piano di Disaster Recovery e Business Continuity per non fermarsi e ripristinare il più velocemente possibile lo status quo dell’operatività dell’azienda. Occorre testare ed ottimizzare i piani continuamente in funzione alle nuove minacce che appaiono all’orizzonte ogni giorno. Un punto chiave, spesso sottovalutato dalle PMI (purtroppo) è l’implementazione di un’adeguata procedura di back-up (clicca su back-up per vedere il nostro video tutorial).

Non intendiamo solamente l’acquisto delle risorse hardware o in cloud per realizzazione fisica dei back-up stessi, ma la definizione delle procedure di esecuzione (giornaliero, settimanale, mensile) e soprattutto la pianificazione e definizione di procedure di test per verificarne il corretto funzionamento. 

Osservazioni

A conclusione di questa breve presentazione ci sono due brevi ma importanti osservazioni da fare. La prima è che queste 5 funzioni della Cybersecurity non sono da immaginarsi come dei silos indipendenti. Sono da considerarsi entità parallele ognuna delle quali è interconnessa con tutte le altre e aventi come attore principale il concetto di rischio, in tutti gli aspetti della sua gestione (identificazione, tracciatura e gestione).

La seconda è che il framework non intende indirizzare solo gli aspetti tecnologici ma tocca innanzitutto quelli processuali di un’organizzazione. Esso deve coinvolgerne tutti i livelli, a partire dal board a scendere. È quindi molto importante che il tutto top management (non solo il CIO) mostri il suo diretto coinvolgimento nell’implementazione del framework e conseguentemente assicuri tutte le risorse necessarie alla realizzazione di questo scopo. La consapevolezza che si tratti di un obiettivo dell’intera azienda (e non solo del dipartimento IT) è il primo requisito per il conseguimento dello stesso e venendo meno il quale ogni sforzo purtroppo sarebbe vano.    

Vuoi sapere quanto la tua azienda è esposta ai rischi di Cybersecurity o come realizzare le 5 funzioni della Cybersecurity nella tua azienda? Clicca QUI per fare il test e vedere come aumentare la sicurezza informatica.