Cosa è un progetto di cybersecurity?

La risposta delle aziende, di fronte a queste minacce, non può che essere quella di cercare un sistema informatico più sicuro, in grado di creare una barriera solida contro il cyber crime. Come fare? Fino a circa 20 anni fa la risposta a questa domanda era di una semplicità spiazzante: il sistema informatico più sicuro era quello scollegato. Tagliando le connessioni con l’esterno si poteva avere una certa sicurezza nel dire che non potevano essere delle intrusioni nel sistema, se non dall’interno.

Oggi un ipotesi di questo tipo, però, non può essere assolutamente presa in considerazione: i dati non sono più unicamente interni all’azienda, con le geometrie dei sistemi informatici che risultano del tutto trasformate. Questo processo di allargamento del perimetro del sistema aziendale è iniziato anni fa, ed è stato accelerato iperbolicamente durante il 2020, con la diffusione dello smart working: i dati risiedono ora nel cloud, nel domicilio dei dipendenti, sugli smartphone dei collaboratori e via dicendo, con un’estesa dematerializzazione dei confini aziendali.

E con l’aumentare della dematerializzazione dei confini aziendali sono nati nuovi rischi, più pericolosi e più numerosi. I punti di accesso sono moltiplicati, esponendo l’azienda su più fronti: per questo motivo oggi più che mai è necessario mettere in campo un progetto di cybersecurity. Oggi vedremo di cosa si tratta, e come può essere affrontata in modo efficace la messa in sicurezza del sistema informatico di una piccola e media impresa.

Tra poche righe vedremo quali sono gli approcci che possono essere individuati per affrontare un progetto di cybersecurity. Prima però è bene capire cosa si indica con questo termine: in estrema sintesi possiamo guardare alla cybersecurity aziendale come a una lunga catena, composta da tanti anelli differenti. Il compito di chi si occupa della sicurezza informatica aziendale è quello di rafforzare questa catena per evitare cedimenti e rotture, nella consapevolezza che, inevitabilmente, la resistenza dell’intera catena è sempre pari a quella del suo anello più debole.

Occuparsi di cybersecurity significa quindi fortificare e proteggere ogni singolo anello, senza dimenticare o trascurare nulla. Lì dove c’è un’area non protetta, infatti, c’è una vulnerabilità che può mettere in crisi l’intero sistema.

Partendo da questo presupposto, mettere in campo un progetto di cybersecurity vuol dire investire risorse ed energie nell’identificazione del perimetro aziendale e nella successiva messa in sicurezza di ogni singolo elemento del sistema aziendale, sapendo che tanto maggiore sarà l’impegno in tal senso, tanto maggiore sarà il livello di sicurezza raggiunto. Questo, va sottolineato, pur nella consapevolezza che non può esistere un sistema informatico che possa dirsi sicuro al 100%: esiste ed esisterà sempre un margine di rischio, e con esso un margine di miglioramento continuo.

Un progetto di cybersecurity può essere affrontato in vari modi. In Saidea prendiamo in considerazione due metodi di lavoro per questa tipologia di attività. Da una parte c’è la ISO 27001, ovvero lo standard internazionale che descrive le best practice per un sistema di gestione della sicurezza delle informazioni; dall’altra c’è invece il NIST Cybersecurity Framework, uno standard creato dal National Institute of Technology per fornire alle organizzazioni una guida efficace per gestire al meglio i rischi relativi alla cybersecurity.

Questi due approcci presentano delle caratteristiche differenti, pur partendo da obiettivi e principi condivisi. In sintesi, la ISO 27001 presenta procedure molto articolate, che generano un impatto molto forte sull’azienda; la NIST rappresenta invece un approccio più light, meno invasivo, pur permettendo di avere un approccio efficace e organico alla cybersecurity. Per questo motivo, nei casi di PMI non interessate specificatamente a una certificazione ISO, proponiamo sempre di seguire il framework NIST.

Come si compone il framework NIST? Quali saranno le attività specifiche degli specialisti Saidea per consolidare la sicurezza informatica della tua impresa? Semplificando al massimo, possiamo presentare il framework NIST come una dettagliata checklist, e quindi un lista che prevede una scaletta precisa di attività da compiere.

È possibile suddividere le attività del framework NIST in 5 macro-processi, ovvero:

1. Identify: in questo primo step ci si dedica alla identificazione del perimetro e dei rischi;

2. Protect: la seconda fase si compone principalmente della creazione e dell’applicazione del piano di protezione;

3. Detect: questo macro-processo è dedicato al mantenimento e al miglioramento della protezione;

4. Respond: in questo step si mettono a punto le procedure di risposta in caso di incidente;

5. Recover: l’ultimo macro-processo racchiude le funzioni necessarie per il recupero dopo un eventuale attacco.

Nei paragrafi successivi vedremo più nel dettaglio – ma senza scendere eccessivamente nei dettagli tecnici – quali sono i processi legati a questi 5 step. Prima di procedere è bene però sottolineare che, per la piena efficacia di un progetto di cybersecurity, è essenziale il coinvolgimento delle figure apicali dell’azienda. Lavorare al miglioramento della sicurezza aziendale non significa infatti limitarsi a dei cambiamenti tecnici: è necessario mettere in campo anche dei sensibili cambiamenti sul lato gestionale, senza i quali un progetto di questo tipo non potrebbe risultare completo ed efficace.

Si parte con l’identificare gli asset aziendali che devono essere protetti. Parliamo quindi di asset fisici, di informazioni, ma anche di persone e di procedure, e dunque di tutto quanto esiste di valore in azienda. Una volta evidenziati i rischi che minacciano gli asset aziendali, gli specialisti Saidea definiscono la migliore e più adatta strategia di mitigazione da mettere in atto. Questa prima fase è essenziale: chi la salta infatti rischia di implementare delle soluzioni inutili, nonché di tralasciare soluzioni indispensabili per la protezione reale dell’azienda. La nostra attività di cybersecurity comincia dunque al tavolo insieme all’azienda, per analizzare la sua realtà a livello di governance. A differenziare ulteriormente il nostro servizio è la grande attenzione posta fin dall’inizio alle persone, le quali spesso costituiscono l’anello più debole della catena che dovrebbe proteggere il sistema aziendale. L’output finale di questa prima fase dedicata all’identificazione è il piano di gestione del rischio

In questa fase gli specialisti Saidea, a partire dalle attività svolte nella fase di identificazione, mettono in campo tutti gli strumenti tecnologici e formativi necessari per ridurre i rischi individuati (che nel frattempo sono stati divisi tra rischi accettabili, parzialmente accettabili e non accettabili). L’attività di protezione comprende l’implementazione di tecnologie, come per esempio la migrazione sul cloud o l’aggiornamento di sistemi, ma anche la stesura di procedure mirate, come per esempio le procedure corrette per il backup.

A questo punto, dopo le attività di Protect, abbiamo un sistema efficiente, sicuro, ma non perfetto. Parliamo infatti di sistemi complessi, soggetti ad aggiornamenti, a configurazioni e quant’altro, che non possono essere visti come statici. Come abbiamo anticipato, non esiste un sistema invulnerabile: per questo motivo il framework NIST prevede anche la fase di Detect, che potrebbe essere vista come quella dedicata alla manutenzione. Qui vengono riunite tra l’altro le funzioni che permettono di individuare minacce e intrusioni.

Quali sono quindi le attività tipiche di detect? Si parla dell’analisi dei log, per monitorare il sistema, ma anche del controllo regolare della presenza delle credenziali degli utenti nel dark web, del controllo degli aggiornamenti, delle campagne di phishing simulato e via dicendo. L’obiettivo della fase di Detect è quindi duplice: da una parte mira a individuare immediatamente nuove minacce, dall’altra punta a mantenere il sistema al livello massimo di protezione possibile. In uno scenario come quello attuale, in cui nascono continuamente rischi nuovi, questa fase è fondamentale, per non andare a vanificare totalmente il lavoro fatto fino a quel momento.

Nessuno vorrebbe ovviamente dover affrontare questa fase, che raccoglie le attività da mettere in campo in caso di incidente. Per la sicurezza e la continuità dell’azienda è però di fondamentale importanza definire tutte le procedure interne da mettere in atto in queste fasi delicate. Si parla di attività che coinvolgono diverse figure professionali, dai profili tecnici e profili legali. L’obiettivo è limitare al minimo i danni, rispondendo in modo tempestivo a livello tecnico e organizzativo: una progettazione a monte di queste attività è imprescindibile.

Siamo arrivati all’ultimo macro-processo del framework NIST, volto al ripristino – il più rapido possibile – della funzionalità interna all’azienda. Questa attività è legata a doppio filo con quella dell’identificazione degli asset aziendali vista nella prima fase, con in particolare la definizione del tempo massimo di fermo che il sistema può sopportare; a partire da questa informazione devono essere messe a punto delle procedure mirate di disaster recovery e di business continuity.

Abbiamo visto quindi qual è l’approccio più efficace per la gestione dei rischi per tutte le realtà che non necessitano di una certificazione ISO 27001. Va precisato che periodicamente, oppure al variare del perimetro aziendale, è necessario rivedere la fase 1, relativa all’identificazione, per capire se gli asset e i rischi sono sempre gli stessi: le successive ripetizioni di questa analisi saranno comunque meno impegnative rispetto a quelle effettuate per la prima messa in moto del framework NIST.

Quello che abbiamo descritto è senza dubbio il metodo giusto per affrontare la gestione dei rischi in azienda. In questi anni abbiamo notato però che, nella maggior parte dei casi, le aziende si limitano ad affrontare la fase Protect, trascurando invece le attività di Identify, Detect, Respond e Recover. Questo espone però l’azienda a minacce importanti, poiché gli strumenti da mettere in campo cambiano inevitabilmente al mutare del sistema. Si pensi, per fare un esempio, al backup, la cui natura è stata rivoluzionata dal cloud: prima il backup doveva essere effettuato per garantire la presenza dei dati anche in caso di rottura del disco, laddove invece oggi il problema è piuttosto legato all’indisponibilità della connessione.