Digitalizzazione e trasformazione dei processi di business contribuiscono a cambiare in modo significativo anche gli approcci di difesa di aziende e organizzazioni, perché il cresciuto utilizzo del digitale implica la crescita dei volumi di dati ed informazioni sensibili da proteggere in contesti infrastrutturali anche molto complessi da gestire.
Un approccio “technology driven” per quanto necessario, non è sufficiente, serve invece affrontare il tema in modo da individuare una vera e propria strategia cyber. Competenze, ruoli e strutture organizzative dedicate a gestire il rischio dovrebbero essere il focus su cui concentrare l’attenzione. Insieme al problema sulla carenza delle competenze. Ne parla Enrico Tasquier, Executive Principal – Business Unit Cybersecurity Corvallis, company del polo Tinexta Cyber.
Lo scenario delle minacce cyber è in continua evoluzione e il processo di digitalizzazione sta aumentando l’esposizione al rischio sia nel settore privato che nella pubblica amministrazione – in particolare in alcuni settori critici come la Sanità – come evidenziato dal Barometro Cybersecurity 2021. Quali sono oggi le principali criticità che le organizzazioni si trovano ad affrontare?
Nei settori della sanità e della pubblica amministrazione, in particolare, gli attacchi che hanno costellato gli ultimi mesi hanno reso ancor più evidente la dinamica che vede la continua estensione del perimetro di esposizione al rischio.
Negli ultimi anni abbiamo assistito in tutti i settori, sia nel privato che nel pubblico, a un trend che spinge verso la trasformazione digitale, sia per ragioni di efficientamento che per obiettivi di innovazione dell’interazione con il cliente/utente. Questo fenomeno, già in atto da anni, ha subito poi una forte accelerazione dettata dallo scenario Covid, che ha imposto una modalità di interazione remota e digitale con dipendenti, clienti, utenti. Questo ha comportato la digitalizzazione e la radicale trasformazione di processi di business e di procedimenti amministrativi, portando su canale digitale moltissimi tipi di azioni e adempimenti, anche con valore legale, come ad esempio firma di contratti, invio posta elettronica, identificazioni. La portata di questa trasformazione in atto è nei numeri, che certificano come determinati strumenti digitali siano entrati ormai nella prassi e nelle abitudini dei cittadini italiani. Basti pensare al numero di Pec attive, alla quantità di identità digitali rilasciate ad oggi o al numero di firme digitali.
Con l’aumento dei volumi delle transazioni digitali e del relativo livello di sensibilità del contenuto scambiato, è sempre più necessario garantire un livello adeguato di protezione del perimetro digitale. Ma proprio questo aumento nei volumi e nella sensibilità dei contenuti determina un ampliamento del perimetro digitale stesso e una maggiore esposizione al rischio cyber. Oggi, infatti, operazioni come quelle menzionate avvengono remotamente, senza carta ma con la piena validità legale. Per questo è necessario un livello di protezione cyber più elevato per mitigare il rischio a cui possono essere esposte le informazioni scambiate: affinché la trasformazione digitale in atto possa continuare a produrre i suoi benefici è necessario garantirne lo sviluppo in piena sicurezza.
In questo scenario appena descritto il limite che ancora si sconta è quello di un approccio alla sicurezza digitale ancora troppo ed esclusivamente technology-driven.
Troppo semplicisticamente si ritiene che per innalzare il livello di sicurezza cyber sia sufficiente installare un po’ di tecnologia o dei software per ridurre l’esposizione ai rischi. Non è così: l’approccio alla sicurezza deve essere affrontato in modo più strategico, nel senso che deve essere sviluppata una vera Strategia della Sicurezza Digitale. Questo significa definire il perimetro della propria sicurezza cyber, definire gli asset critici a cui deve essere dedicato un maggior livello di sicurezza e definire il livello di rischio che si è disposti ad accettare. Solo a questo punto è possibile identificare il giusto tipo di soluzioni/servizi necessari a mitigare il rischio e ridurlo a un livello definito e considerato accettabile per il tipo di attività gestita su canale digitale.
La carenza di ruoli e strutture organizzative è questione di sensibilità (awareness) e del relativo approccio più attento e strategico alla cybersicurezza che, appunto, non può essere gestita esclusivamente con la pura e isolata adozione di componenti tecnologiche. Le competenze e il presidio di alcune attività possono essere trovati anche all’esterno, se non disponibili all’interno dell’organizzazione o se non si vuole appesantire l’organizzazione con strutture dedicate. La cosa fondamentale è predisporre una strategia di difesa cyber e non affrontare il problema soltanto al momento dell’incidente.
I dati riportati negli ultimi Cyber Risk Indicators Report di Swascan, company del polo Tinexta Cyber, con un focus sul settore sanità e pubblica amministrazione restituiscono un quadro critico (per citare due elementi su tutti: in 20 capoluoghi italiani sono state rilevate quasi 19.000 email compromesse, mentre, in un benchmark a livello europeo, la sanità italiana si posiziona al terzo posto per esposizione al rischio). Ma il tema dell’esposizione al rischio cyber è trasversale e condiviso da aziende, enti e professionisti, gli attacchi in rete sono sferrati in modo casuale e colpiscono sia piccole che grandi organizzazioni. Nella modalità di gestione di un attacco non esistono dei target predefiniti e selezionati, ma vengono utilizzati dei bot che in automatico individuano online delle falle sulla rete su degli indirizzi IP, che poi sfruttano per condurre una attività malevola. Quindi possono essere oggetto di un attacco sia grandi che piccole organizzazioni e, quindi, allo stesso modo grandi aziende, Pmi, uffici e strutture pubbliche hanno probabilità di subire un attacco cyber. Non esistono soggetti meno esposti al rischio cyber e, quindi, non dobbiamo chiederci se verremo attaccati, ma quando e come questo accadrà.
Oggi soprattutto Pmi, uffici professionali e piccole organizzazioni (Soho) scontano un gap maggiore rispetto al rischio cyber a confronto con le grandi aziende, perché la minore attenzione a questi temi, l’idea di essere meno esposti o semplicemente la mancanza di competenze hanno fatto sì che questo tipo di imprese fosse portato a prendere minori contromisure rispetto a tale rischio. Le grandi aziende si sono mosse prima, hanno svolto investimenti in tal senso, hanno individuato strutture e ruoli dedicati. Sulle piccole e medie imprese è necessario alzare il livello di attenzione, aumentare la sensibilità rispetto a questi temi e facilitare l’adozione di soluzioni e servizi che le aiutino a proteggere le proprie infrastrutture e le proprie attività dal rischio cyber. Per questo, lato fornitori, è necessario pensare a soluzioni e servizi in outsourcing maggiormente standardizzati per queste realtà piccole, che semplifichino l’adozione e abbattano i prezzi perseguendo economie di scala. L’obiettivo, lato offerta, è quello di pensare a un approccio e a un modello di offerta cyber che sia tarato su queste realtà.
Quali gap devono gestire organizzazioni, aziende, PA, studi professionali per strutturarsi rispetto al rischio cyber?
Rispetto questo tema, due sono gli elementi da affrontare: in primo luogo le competenze e, in secondo, i ruoli e le strutture organizzative, con un focus dedicato al rischio cyber.
Spesso all’interno delle organizzazioni non sono disponibili le giuste competenze tecniche che devono essere messe in atto per contrastare il rischio cyber. Non è facile reperire questo tipo di profili, che peraltro hanno un’evoluzione rapidissima e un continuo bisogno di aggiornamento. Le grandi organizzazioni posso internalizzare queste competenze se pur con difficoltà, mentre per le piccole strutture questo è difficile e costoso. La strategia, in questo caso, può essere quella dell’outsourcing di queste attività e competenze.
L’altro tema è che spesso non sono identificate strutture organizzative o ruoli con specifiche responsabilità e un presidio mirato sul tema cyber. La gravità di queste lacune emerge in tutta la sua chiarezza nel momento in cui si verificano degli incidenti cyber che bloccano o compromettono pesantemente l’operatività delle strutture. In questi casi è evidente la minore capacità di risposta e di difesa di queste organizzazioni, l’assenza di strategie di difesa e piani per la gestione dell’incidente, fino ad arrivare a una gestione non chiara ed efficace delle comunicazioni obbligatorie connesse all’incidente cyber.
L’insieme di queste valutazioni porta a considerare l’opportunità di istituire dei presidi snelli e ruoli dedicati alla gestione e all’elaborazione delle strategie di cybersecurity all’interno delle organizzazioni e poggiare poi alcune delle operation di cybersecurity (i managed security services) su strutture esterne, che per volumi ed economie di scala riescono a fare efficienza e a garantire una continua evoluzione di metodi, competenze e strumenti all’interno dei propri Soc (Security Operation Center, Defence Center).
Inoltre, uno dei fattori che determina l’efficienza di Soc/DC è che questi possono disporre di una base informativa e di un monitoraggio più ampio che li pone nella situazione di una più pronta reattività e capacità di individuazione e di intervento su un attacco cyber che si sta propagando.
La mancanza di competenze in ambito cybersecurity è emersa come una delle principali criticità per le aziende intervistate nel Barometro Cybersecurity. Quale contributo può essere dato in quest’ambito da un fornitore come Tinexta Cyber?
Gli aspetti di formazione e rafforzamento delle competenze sono elementi essenziali per rispondere in modo sempre più efficace ai maggiori rischi a cui siamo esposti.
Sia a livello trasversale, con campagne di awareness e di sensibilizzazione, che in verticale per lo sviluppo di competenze, Tinexta Cyber è molto attiva in ambito formativo, grazie a esperienze di collaborazione – nel corso nel 2021 e, nello storico delle singole company, maturate negli anni – con numerose università italiane, quali ad esempio il Politecnico di Milano e l’Università degli Studi Padova, per eventi di approfondimento sui temi cyber.
Ma sono le attività in-house delle company del polo a dare prova di questo aspetto che è parte della nostra mission.
- Corvallis ospita l’unico Its residenziale in Italia per l’information technology e la prima Accademia Italiana di Cybersecurity.
- Swascan organizza un mini master – ormai giunto alla quarta edizione – sul tema della Protezione Operativa dei Dati e Sicurezza delle Informazioni, propone un calendario di webinar mensili aperti a tutti per approfondire i temi cyber e sta preparando per il 2022 il Cyber Campus Swascan con Hermes University.
- Yoroi basa il suo approccio alla cyberdefence sul fattore umano, supportato dalla tecnologia. Per questo ha sviluppato negli anni un approccio orientato in questa direzione e supportato da esperienze con l’Università di Bologna e dalla presenza su palchi di richiamo internazionale (come Tedx) per appuntamenti che mettano al centro lo sviluppo di soft e hard skill personali.
Con queste iniziative sviluppiamo delle competenze di primo ordine che poi rendiamo disponibili per la gestione di servizi/progetti presso i nostri clienti. Questi sono soltanto alcuni esempi, che danno idea dell’impegno per lo sviluppo di un approccio strategico e orientato dal know-how, che si traduce, da ultimo, anche nella nostra forte proposition come polo sulle aree advisory & education.
Non perdere tutti gli approfondimenti dello Speciale Barometro Cybersecurity 2021
© RIPRODUZIONE RISERVATA
