Cyber resilienza: perché i protocolli standard non sono più sufficienti

Resilienza informatica come priorità strategica

Le imprese devono vedere la resilienza informatica come priorità strategica del proprio leadership board, per proteggere così gli obiettivi aziendali e promuovere la crescita stessa del business nel lungo termine. Studi come l’IT Readiness Report di Kyndryl evidenziano che la cybersecurity è ancora una delle sfide principali per le aziende, ma è anche uno degli aspetti in cui si sentono meno sicure, soprattutto quando devono affrontare rischi sempre nuovi: non sorprende quindi che le organizzazioni stiano costantemente implementando nuove e solide misure di sicurezza informatica per mitigare i rischi futuri.

Ma la cyber resiliency non si raggiunge semplicemente implementando nuove soluzioni e strumenti: serve collaborazione, non solo tra i team di incident response e di incident recovery ma in tutta l’azienda, per garantire che tutte le parti interessate svolgano un ruolo utile nel ciclo di vita dell’incidente.

Incident response vs. incident recovery

Durante e dopo un incidente infrastrutturale, devono verificarsi due processi essenziali: un’indagine su cosa e come è accaduto, e il recupero dell’ambiente digitale compromesso, a volte ricostruendolo da zero. Il primo processo – la risposta all’incidente – cerca di determinare tutti i dettagli, ad esempio come gli hacker si sono infiltrati nell’ambiente digitale, come si sono mossi al suo interno e cosa hanno rubato. Il secondo – il recupero degli incidenti – si occupa invece di riportare le organizzazioni all’ordine operativo il più rapidamente possibile.

La divergenza di questi due flussi di lavoro spesso complica il processo di ripristino di un’organizzazione dopo un incidente: operando solitamente in silos ed essendo gestiti da livelli di governance diversi, la separazione può causare problemi funzionali e i team possono accidentalmente lavorare in modo incrociato. Ovviamente, quando i team di risposta e di recupero degli incidenti collaborano, coordinano gli sforzi e condividono le informazioni per attuare un approccio più efficace. Lavorando insieme, questi team possono ridurre al minimo le interruzioni, accelerare il recupero, consentire un miglioramento continuo e mantenere la fiducia degli stakeholder per tutta la durata della gestione dell’incidente. Tuttavia, coordinare la risposta e il recupero degli incidenti sotto un unico livello di governance richiede di lavorare con un’ampia gamma di stakeholder con priorità diverse all’interno del processo, e quindi anche con tempistiche diverse.

La cooperazione tra i team di risposta agli incidenti e di recupero è ora più importante che mai. Pianificare le esigenze di tutti gli stakeholder all’interno del ciclo di vita dell’incidente è il modo migliore per garantire una risposta efficace e solida quando si verifica il peggio, ma non è facile.

Quattro cose che le aziende possono fare per prepararsi

• Assumere un data breach coach. Esiste un percorso di carriera che aiuta a facilitare tutto questo processo: il data breach coach. I data breach coach aiutano un’azienda che ha subito un incidente a coordinare gli sforzi di risposta e recupero e a garantire la conformità con le normative statali sulla comunicazione ai clienti. Abbiamo visto, per esperienza, che per permettere al data breach coach di pianificare e dirigere le azioni nel modo migliore, occorre pianificare una serie di meeting con tutti gli stakeholder, per condividere quelle che sono le priorità e le azioni da intraprendere.

• Realizzare un piano dedicato e dettagliato. Lo sviluppo di un piano personalizzato e verificato per la risposta e il ripristino in caso di incidente è il primo passo che un’azienda dovrebbe compiere per prepararsi a un potenziale incidente. Spesso le aziende ne hanno uno, generico e non sempre aggiornato, semplicemente perché fa parte dei vari requisiti di conformità. Può sembrare già un buon punto di inizio, ma i piani che vengono messi in atto solo per motivi di conformità tendono ad essere generici e poco attuabili. Perché la cyber resiliency sia efficace e raggiungibile servono piani e controlli che dipendano fortemente dal contesto in cui li andiamo ad attuare. I piani, quindi, devono essere realizzati per proteggere le priorità strategiche, operative, finanziarie e legali dell’organizzazione – e devono essere personalizzati con una elevata specificità. Inoltre, le organizzazioni dovrebbero sempre imparare dagli incidenti passati e da quelli che hanno colpito i loro colleghi, e adattare il piano e i processi di conseguenza.

• Testare il piano con un’esercitazione a tavolino. Una volta pianificato il recupero, bisogna testarlo. Il modo più facile ma anche più diretto è creare una simulazione a tavolino che coinvolga tutti gli stakeholder per un’intera giornata. Raccontando gli eventi come probabilmente si svolgeranno, gli stakeholder otterranno informazioni importanti, come ad esempio se il loro piano è abbastanza dettagliato, quali dati sono necessari per ogni azione e quando devono coinvolgere le forze dell’ordine.

• Chiamare un aiuto esterno. Alcune aziende a questo punto possono già gestire degli attacchi in completa autonomia, senza aiuti esterni. Tuttavia, può sempre aiutare avere nel piano una sorta di trigger, un punto in cui chiamare l’aiuto di terzi che possono fornire competenze tecniche più avanzate, soprattutto in situazioni altamente critiche o complesse, dove le disponibilità interne non sono numericamente o specializzate abbastanza. Per raggiungere una vera resilienza informatica, le organizzazioni devono collaborare attivamente con le parti esterne, che hanno un interesse condiviso nel rafforzare la resilienza dell’intero ambiente aziendale.