È dunque utile approcciarsi al tema della security suddividendolo in cinque “pilastri”, che rappresentano il percorso che ogni azienda dovrebbe seguire al fine di creare la migliore strategia di difesa cibernetica.
Governance
Occorre mirare ad avere la piena conoscenza degli asset aziendali e dei processi produttivi, oltre alle relazioni che intercorrono tra di loro. Solo una efficace ed efficiente governance aziendale, infatti, consente di valutare i rischi associati alla propria realtà produttiva e quindi attivare le giuste contromisure per garantire che gli asset stessi abbiano sempre dei livelli di sicurezza chiari e basati sulla loro criticità.
L’output atteso da queste attività è una GAP Analysis rispetto agli standard utilizzati dall’azienda (ITIL, ISO 27001 ecc.) e una road map da seguire per colmare le eventuali lacune.
È importante, inoltre, ripetere l’attività di analisi nel tempo: le minacce informatiche, infatti, si evolvono nel tempo e la valutazione del rischio deve quindi essere vista come un’attività ricorsiva soggetta ad aggiornamenti che non può esaurirsi semplicemente con l’identificazione del rischio iniziale.
Management
Altro punto cardine per una corretta gestione della cyber security in azienda è la visibilità a 360° di quello che avviene all’interno del proprio perimetro fisico e virtuale. Solo così si possono rilevare più velocemente gli incidenti di sicurezza e mettere in atto le necessarie e più efficaci attività di contenimento e di ripristino dell’attività produttiva.
È utile, a tale scopo, identificare 5 aree in cui è fondamentale agire per garantire la cyber security in azienda:
- Network Security, ovvero la sicurezza “perimetrale” dell’azienda: firewall, SSL, VPN e più in generale ogni apparato che è in contatto sia con l’interno che con l’esterno dell’azienda e che ha come prima responsabilità il blocco delle potenziali minacce;
- Content Security, ovvero il controllo degli “oggetti” in entrata/uscita e download/upload, con l’eventuale inibizione degli stessi in caso di riscontrata minaccia (e-mail e mobile security, antimalware, Data Loss Prevention ecc.);
- Datacenter & Cloud security, ovvero tutti i servizi di sicurezza legati all’infrastruttura, ai sistemi e al mondo virtuale. Oltre alle protezioni standard dei sistemi, rientrano in quest’area anche Vulnerability Protection, Log Management e SIEM (Security Information and Event Management);
- Identity & Access Management, ovvero l’insieme di attività volte a gestire le identità digitali e le modalità di accesso ai sistemi come l’autenticazione a più fattori. In tal senso, anche le soluzioni PAM (Privileged Access Management) consentono ai CIO e ai responsabili della sicurezza IT di proteggere l’accesso agli asset critici garantendo che solo chi possiede le credenziali corrette possa accedere alle informazioni business-critical.
- Application security, ovvero l’insieme di soluzioni che permettono di sviluppare codice con requisiti specifici di sicurezza e di strumenti che permettono di analizzare il traffico Web e proteggere le applicazioni in modo preventivo.
Identificati i rischi e le soluzioni organizzative, occorre mettere in campo le soluzioni tecnologiche per raggiungere gli obiettivi che si erano prefissati nella fase di governance.
Awareness
Per raggiungere gli obiettivi di sicurezza che l’azienda si è prefissata, la tecnologia da sola non basta. Lo step successivo nella creazione di una strategia di difesa cibernetica consiste nel consapevolizzare gli utenti aziendali dei rischi e delle minacce a cui vanno incontro mentre utilizzano non solo gli strumenti di lavoro (pensiamo, ad esempio, all’e-mail aziendale) e le infrastrutture produttivi considerate critiche, ma anche lo smartphone e tutti i dispositivi ad uso personale.
La superficialità delle persone, infatti, rappresenta un ottimo veicolo di informazioni aziendali per gli attaccanti, sempre alla ricerca del modo migliore per “bucare” il perimetro cyber dell’azienda.
È necessario, inoltre, che non solo le persone interne all’azienda siano formate ed educate da un punto di vista comportamentale e tecnico: è fondamentale che tutta la supply chain composta da fornitori esterni, clienti e utenti esterni raggiunga un livello altrettanto elevato di awareness in tema di cyber security aziendale.
Incident
Quando il piano di sicurezza è stato completato e sono state implementate tutte le soluzioni tecnologiche necessarie, è opportuno prevedere processi e soluzioni che costantemente controllino e monitorino lo stato delle infrastrutture critiche aziendali e le eventuali anomalie che possano eventualmente presentarsi. Questo permetterà di avere una pronta reazione e quindi contenere l’incidente in termini di eventuali danni. Una investigazione successiva permetterà di comprendere le cause dell’incidente e quindi di prevedere azioni migliorative atte evitare il futuro accadimento di incidenti simili.
Le aziende, inoltre, possono fare riferimento al Framework Nazionale per la Cybersecurity e la Data Protection che, per l’appunto, rappresenta un valido strumento di supporto per la definizione di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber (anche se non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti in materia come, ad esempio, il GDPR).
Compliance
Rappresenta l’ultimo pilastro per la realizzazione di un piano strategico di difesa cibernetica.
Parallelamente a tutte le attività che un’azienda deve svolgere in ottica di sicurezza, esistono normative leggi e standard di settore, nazionali e internazionali, a cui deve essere sempre compliant.