22
11
2022
CYBER, il progetto di Fondirigenti per la sicurezza informatica nelle imprese
L’intervista a Stefano Gorla, consulente e formatore in ambito sicurezza, e Nicola Napoli, esperto di cybersecurity, che hanno collaborato all’iniziativa e alla messa a punto dello strumento di Cyber Readiness Level
Aiutare le imprese a difendersi dagli attacchi informatici che ogni anno aggrediscono miliardi di device, cloud e reti, e migliorare la consapevolezza e le competenze dei dirigenti in materia di sicurezza dei dati. Sono questi gli obiettivi di CYBER, il progetto di Fondirigenti, realizzato con Fondazione Piemonte Innova, in collaborazione con l’Unione Industriali di Torino e Federmanager Torino/Apdai. Vista la complessità e la continua evoluzione degli attacchi odierni, diventa indispensabile per le imprese, progettare modalità efficaci di risposta di tipo preventivo e proattivo, per la sicurezza dei dati, il progetto CYBER è andato proprio in questa direzione.
D. Quello della sicurezza informatica è un problema sempre più attuale, quanto è importate la sicurezza per le imprese italiane?
Stefano Gorla: Direi che è un fatto fondamentale, la sicurezza deve essere concepita come opportunità e non come costo. Il perimetro cibernetico - inteso come dispositivi o applicativi connessi e utili all’attività quotidiana di ogni impresa piccola o media - ha effettivamente ribadito che la sicurezza non è più un problema del singolo ma diventa un fenomeno sociale e impatta con altre organizzazioni, basti pensare l’effetto di un incidente che si può ribaltare sui dipendenti, fornitori e clienti e non solo sull’azienda. Proteggere ciò che ha valore per le aziende: dati, risorse, strutture, infrastrutture e persone diventa un’attività prioritaria; i costi per risanare, ripartire superano decisamente i costi di prevenzione, pensiamo solo alla reputazione o danni d’immagine.
D. Quali sono le preoccupazioni maggiori di chi ogni giorno si pone l’obiettivo di migliorare la difesa delle infrastrutture IT dagli attacchi sempre più evoluti degli hacker?
Nicola Napoli: Possiamo affermare che le preoccupazioni maggiori riguardano nello specifico due aspetti: il primo è legato al fattore umano, ovvero il cosiddetto end user, cioè l’utente che inconsapevolmente espone l’infrastruttura ad attacchi phishing, prestando poca attenzione nell’utilizzo della casella mail. Basta l’apertura di un allegato sbagliato o l’interazione con un link per causare disservizi o peggio ancora “la cifratura di interi server”.
Il secondo aspetto è di natura tecnica e di interazione con le imprese. La maggior parte delle organizzazioni reagisce agli attacchi in maniera scomposta e lo fa solo dopo esserne diventata bersaglio, utilizzando poi le informazioni provenienti dall’attacco per la generazione di automatismi di controllo basati su indicatori di compromissione; una risposta di tipo reattivo insomma. È invece indispensabile agire proattivamente, come abbiamo fatto con CYBER, per progettare una security posture resiliente e propedeutica all’adozione di un “framework di sicurezza”, cioè un perimetro di sicurezza, in grado proteggere un asset importante come le informazioni.
D. Come vedete il presente e il futuro e come potrebbero in qualche modo proteggersi le aziende e le PMI?
Nicola Napoli: Il perimetro aumenta e aumenterà vertiginosamente e questo implica la necessità di un cambio radicale di mentalità. Attualmente l’attenzione alla programmazione è ancora scarsa e le implementazioni adottate spesso sono prive di progettualità, sicuramente nell’ultimo anno l’attenzione dei vertici aziendali si è focalizzata di più sul problema e questo è un bel passo avanti, ma non basta.
Per il futuro vedo un esponenziale aumento degli attacchi su più fronti. Chi fa il nostro lavoro deve tenere conto anche degli aspetti geopolitici che nella valutazione generale hanno un certo peso. Non dimentichiamo che la creatività degli attaccanti cresce di pari passo alle nuove tecnologie utilizzate. Personalmente, quindi, consiglio di ragionare sempre di più sul monitoraggio proattivo della rete e pianificare assesment regolari.
Stefano Gorla: Dalla mia esperienza posso dire che la sensibilizzazione, l’attenzione a questi temi sono decisamente sottovalutati sia dall’alta Direzione che dal personale che opera all’interno dell’organizzazione, la formazione diventa quindi una prima misura di sicurezza che deve essere erogata a tutti i livelli e in tutti i contesti. Magari differenziandola per i ruoli aziendali, ma anche affidando obiettivi di sicurezza a tutti i livelli, tutte le risorse devono avere un obiettivo di sicurezza che può essere solo quello di rispettare le regole aziendali (che dovrebbero essere presenti).
D. Quindi, cosa deve fare un’azienda per costruire un “perimetro di sicurezza” accettabile?
Stefano Gorla: Per prima cosa prendere coscienza di chi è l’azienda, dei suoi servizi, dei requisiti richiesti (contesto); poi fare un’analisi sulla postura di sicurezza: cosa abbiamo in casa? Quali dati? Dove sono? Come sono protetti? Quali sono i rischi? fare una formazione dedicata sul tema della sicurezza e poi, attraverso magari strumenti che possono guidare l’organizzazione (norme ISO, NIST, check list), a piccoli passi migliorare la postura di sicurezza per diminuirne la superficie d’attacco introducendo misure, migliorare gli apparati esistenti e la documentazione che ci permette di “governare” la cybersecurity.
D. Quale è stata la sua impressione rispetto ai dirigenti, responsabili che hanno partecipato al progetto, quali punti di criticità e di forza, sono emersi a suo dire?
Stefano Gorla: Devo dire che la partecipazione è stata stimolante e piacevole. Il maggior punto di forza è stato quello di condividere le proprie esperienze e prendere consapevolezza della situazione generale o della propria realtà. Il condividere strumenti, opinioni e attività ha portato ad alzare il livello di consapevolezza delle aziende ed a fornire indicazioni su cosa fare (in particolare con la simulazione di un attacco); il punto critico è sempre una visione miope della direzione che non ha ancora ben compreso né le opportunità né gli effetti disastrosi di non possedere un sistema di sicurezza trincerandosi dietro l’affermazione: vuoi che colpiscano noi? Cosa che invece accade quotidianamente.
D. Nel progetto Cyber, vi siete occupati direttamente, di gestire la simulazione di un attacco aiutando i due gruppi di dirigenti a gestirlo e prendere le migliori contromisure possibili. Come si sono comportate le aziende e cosa si sono portati a casa questi dirigenti alla fine di questa esperienza?
Nicola Napoli. L’iniziativa ha riscontrato un’ottima partecipazione e un grande coinvolgimento dei partecipanti, l’esperimento ha fatto in modo che i dirigenti potessero toccare con mano tutte le fasi di un attacco informatico. E aver potuto partecipare alle scelte e alle decisioni in tutte le fasi ha certamente alzato il livello di sensibilità al fenomeno in tutti i partecipanti. Ad esempio, sotto l'aspetto della gestione costi che in caso di attacco sono molto alti e invece potrebbero essere gestiti e diventerebbero programmati e previsti”.
Il questionario Cyber Readiness Level è strutturato su 5 aree tematiche (protezione, gestione e tecnologie, organizzazione e processi, compliance e normative, fattore umano) per valutare il livello di sicurezza aziendale e fornire indicazioni pratiche sulle aree dove è necessario implementare le difese. Lo strumento fornisce anche una serie di buone pratiche, competenze, strumenti e metodi da adottare, veicolati alle imprese tramite infografiche e video-pillole, per prevenire e sostenere la capacità di risposta e di resilienza ad attacchi cyber”.
Qui il link al Cyber Readiness Level
Per maggiori informazioni: Fondazione Piemonte Innova