News

Business Digitali

Le aziende conoscono e misurano il proprio rischio cyber?

La proliferazione di linee guida sulla cybersecurity e l’aumento della spesa globale nel settore non sono state sufficienti a impedire che le agenzie governative e le grandi aziende cadessero vittime di intrusioni informatiche.

Il numero di dispositivi IoT (Internet of Things), l’uso crescente di applicazioni SaaS nonchè la complessità e dimensione dei codici delle loro componenti software (e firmware) sono fattori che hanno reso impossibile garantire che tutto sia correttamente aggiornato.

Le misure di sicurezza informatica che vediamo oggi, come i maturity assessment, le certificazioni di compliance, i vulnerability assessment (anche in termini di vulnerability aging report) e le statistiche sul tempo medio di rilevamento di una violazione, sono preziose ma non più sufficienti, e vanno completate con nuove soluzioni.

In primo luogo, dobbiamo avere il coraggio di dare più visibilità ai livelli di rischio intrinseco delle organizzazioni. C’è inoltre bisogno di maggiore trasparenza, accuratezza e precisione per quanto riguarda i risultati ottenuti contro minacce probabili, che deve coinvolgere in modo coerente tutta la superficie di attacco dell’azienda. Infine, dobbiamo essere in grado di quantificare meglio gli impatti finanziari di minacce meno probabili ma dalle conseguenze economiche rilevanti.

Il Rischio Cyber sta crescendo

Nonostante la pubblicazione di linee guida sulla cybersecurity e l’aumento della spesa globale per la cybersecurity (le organizzazioni di tutto il mondo hanno speso circa 150 miliardi di dollari nel 2021 per la sicurezza informatica, con una crescita del 12,4% annuo), le notizie di agenzie governative e grandi aziende vittime di intrusioni informatiche si susseguono.

Ciò è dovuto per diverse ragioni.

  • Il numero di applicazioni utilizzate da un’organizzazione tipica è cresciuto rapidamente nell’ultimo decennio. Secondo report recenti, alcune grandi organizzazioni utilizzano fino a 130 applicazioni SaaS, rispetto ad una media di 16 di cinque anni fa. Ogni applicazione richiede specifici controlli di postura, una gestione delle vulnerabilità e procedure di autenticazione.
  • Anche il numero di dispositivi IoT sta crescendo in modo esponenziale: secondo alcune previsioni, entro il 2025 ci saranno 41,6 miliardi di dispositivi collegati. Inoltre, le reti 5G consentiranno un livello molto più elevato di elaborazione dati e di calcolo distribuito (c.d. distributed computing). In questo senso, saranno sempre più numerosi i software progettati in modo che diversi computer eseguano funzioni diverse comunicando fra loro per sviluppare la soluzione finale, con una estensione -quindi inevitabile- della superficie di attacco.
  • Inoltre la complessità dei codici firmware e software di questi sistemi è un altro fattore. Basti pensare che le automobili moderne possono raggiungere fino a 100 milioni di linee di codice. Per cui sta diventando praticamente impossibile garantire che tutto sia adeguatamente aggiornato.

Nuovi Approcci di difesa dal Rischio Cyber

Per gestire il rischio informatico in questo contesto, dobbiamo cambiare radicalmente il modo in cui misuriamo le prestazioni e i livelli di protezione. Le misure che sono maggiormente utilizzate oggi includono requisiti come i maturity assessments (utilizzando una scala per definire livelli progressivi di maturità delle cababilities in uso per gestire il rischio informatico), i vulnerability assessment (anche in termini di vulnerability aging reports che misurano la presenza di vulnerabilità critiche tra gli asset IT e il tempo trascorso senza che siano state risolte) e le statistiche sul tempo medio di rilevamento di un breach. Queste misure sono preziose e necessarie, ma oggi giorni non sono più sufficienti e devono essere integrate con nuovi approcci di sicurezza.

  1. In primo luogo, le organizzazione devono fare uno sforzo di trasparenza per creare fiducia, dando maggiore visibilità -in front end- ai propri livelli di rischio intrinseci. La domanda che si devono porre le aziende è: “i nostri clienti, fornitori, stakeholders cosa ci chiedono di difendere?”. Ciò include la misurazione delle minacce, della loro complessità e del potenziale impatto aziendale. Abbiamo bisogno di dashboard che misurino l’andamento di fattori quali il numero di applicazioni in uso, la dimensione e la natura dei database e dei repository di codice, le regioni in cui l’azienda opera, le dipendenze dai fornitori chiave.
  2. In secondo luogo, c’è bisogno di una maggiore trasparenza, accuratezza e precisione in merito alle performance aziendali contro le minacce probabili; e questo va fatto in modo coerente su tutta la superficie di attacco. Su questo punto, oggi uno dei riferimenti più autorevoli e trasparenti per analizzare il comportamento delle minacce è il framework ATT&CK di MITRE Corporation.
  3. In terzo luogo, occorre pianificare e misurare le prestazioni rispetto a eventi a bassa probabilità ma dalle conseguenze elevate sotto il profilo economico. L’attuale clima geopolitico sottolinea l’importanza di riformulare piani di resilienza in grado di tenere a galla l’azienda nel caso in cui i suoi sistemi principali siano compromessi. Abbiamo backup offline e ne abbiamo testato il ripristino? Possiamo ricostituire un modo per comunicare con i dipendenti essenziali al mantenimento delle operazioni day-to-day? Sappiamo come garantire che alcuni pagamenti importanti ma a basso rischio possano continuare? Su queste ed altre domande dovrebbe poggiarsi il nostro piano di ripristino da avviare in una fase critica.

Serve il coraggio di dichiarare quali sono le vulnerabilità e come si affrontano

Per concludere, proviamo a riportare i punti chiave da tenere a mente, a fronte del nuovo scenario di rischio cyber che si sta prospettando:

  • La proliferazione di applicazioni e dispositivi IoT ha portato a un’espansione della superficie di attacco, rendendo difficile la gestione del rischio informatico.
  • Le attuali misure di cybersecurity, come i maturity assessments o le certificazioni di conformità, non sono più sufficienti per gestire il rischio informatico, perché inquadrano uno scenario di rischio in un dato momento: scenario di rischio che però può mutare in tempi brevissimi;
  • Ci sono tre approcci, interconnessi fra loro, che possono migliorare le attuali misure di rischio informatico: 1) dare maggiore visibilità ai livelli di rischio intrinseco e, quindi, alle proprie vulnerabilità; 2) aumentare la trasparenza sulle prestazioni di resilienza rispetto alle minacce probabili 3) e misurare come vengono difesi gli asset anche in caso di minacce poco probabili ma dal forte impatto economico.
  • La difesa informata sulle minacce (e una conoscenza dei loro comportamenti) è una lente preziosa per misurare il livello di difesa delle organizzazioni sui loro sistemi critici.
  • Con l’avanzamento dell’intelligenza artificiale e dell’automazione, la misurazione continua delle prestazioni di sicurezza diventerà sempre più importante per gestire il rischio informatico in modo dinamico e continuativo.

Se dovessimo quindi riassumere tutto in una frase: le aziende non devono solo conoscere il loro rischio cyber, ma devono “mettersi a nudo”, dichiarando all’esterno quali sono le proprie vulnerabilità e i propri KPI legati alle perfomance di difesa. In sostanza come hanno reagito di fronte a certi scenari e quali sono stati gli effetti.

Un grande sforzo di trasparenza, che aumenta la consapevolezza del rischio dentro e fuori l’azienda, per aumentare di conseguenza la fiducia e la reputazione riposta -in termini di sicurezza- da parte di tutti gli stakeholders.

Articoli correlati

AI ACT: Sintesi dei punti certi e dei nodi ancora da sciogliere
Qual è il costo di un data breach e come ridurlo: il report IBM 2023
Tutte le news