Cyber resilience: guida all’assessment della resilienza informatica

pittogramma Zerouno

TechTarget Technology HowTo

Cyber resilience: guida all’assessment della resilienza informatica

Cyber resilience: che cos’è e perché se ne parla tanto? La resilienza informatica è la capacità di un sistema informativo di riprendersi rapidamente da una serie di eventi avversi come attacchi sferrati dagli hacker, atti vandalici, incendi, alluvioni o altre catastrofi naturali che possono minacciare l’installato.

11 Ott 2022

di Laura Zanotti - Fonte TechTarget

Cyber resilience come capitolo fondamentale della governance. A garantire la resilienza informatica competenze di risk management molto spinte, che triangolano la sicurezza delle informazioni (infosec), il Disaster Recovery (DR) e garanzie di Business Continuity (BC), includendo cognizioni di informatica forense.

Cyber resilience framework: le linee guida

Le capacità di cyber resilience sono essenziali nei sistemi IT, nelle infrastrutture critiche, nei processi aziendali, nelle organizzazioni, nelle società e negli stati-nazione. La premessa fondamentale è che la resilienza informatica non si compra a pacchetto. Si costruisce nel tempo e presuppone:

WHITEPAPER
Customer Experience agile, PERSONALIZZATA e omnicanale: come passare al modello 4.0
CRM
Intelligenza Artificiale
  • una serie di attività preparatorie che permettono a un’organizzazione di affrontare minacce e vulnerabilità
  • la definizione delle linee di difesa più opportune e le risorse utili a mitigare una falla nella sicurezza a seguito di un evento nefasto

Cyber resilience e cyber hygiene

La cyber resilience include un corollario di pratiche costanti relative all’igiene informatica, di cui gli utenti devono appropriarsi per migliorare la sicurezza e mantenere l’integrità dei dati e dei sistemi utilizzati. Applicata regolarmente, una corretta cyber hygiene contribuisce a mantenere la salute e la sicurezza di hardware e software, assicurando che siano protetti da minacce di ogni tipo. Il che significa sviluppare una mentalità incentrata sulla sicurezza, ma anche su determinate abitudini comportamentali che aiutano gli individui e le organizzazioni a mitigare potenziali violazioni per stare al passo con le minacce che compromettono la produttività individuale e aziendale. Problemi comuni di igiene informatica sono:

  • Violazioni della sicurezza, comprese le minacce sferrate dagli hacker tra phishing, malware e virus.
  • Perdita di dati non solo legati alle esfiltrazioni, ma anche ai guasti dei dischi rigidi o all’archiviazione cloud online di cui gli utenti non fanno un backup.
  • Software obsoleto che diventa motivo di vulnerabilità sistemica.
  • Antivirus meno recenti che non contrastano lo sviluppo del cybercrime.

Per inciso, l’igiene informatica è diventata più importante dalla pandemia di Covid-19, poiché un numero maggiore di persone in tutto il mondo che lavorano in remoto ha portato a un aumento dei crimini informatici. Dunque, non c’è cyber resilience senza cyber hygiene.

Cyber resilience

Cyber resilience versus disaster recovery

La resilienza informatica non deve essere considerata un sinonimo di disaster recovery. La cyber resilience è la capacità di un’azienda di limitare gli effetti degli incidenti di sicurezza e di riuscire a fornire i risultati di servizio previsti anche in caso di guasto di un sistema o dell’interruzione di uno o più servizi per un attacco informatico.

Vero è che il concetto include meccanismi di ripristino per contenere i danni di un evento nefasto nonché la capacità di modificare continuamente questi meccanismi a fronte di nuovi rischi. Tra le buone pratiche di igiene informatica a supporto della cyber resilience rientra la revisione periodica dei piani e delle procedure di sicurezza informatica. Sol così è possibile garantire che questi programmi siano adeguati allo scopo e pronti ad entrare in funzione in caso di attacco.

Assessment a supporto della cyber resilience

Le valutazioni a supporto della cyber resilience forniscono informazioni tempestive sul livello di preparazione di un’organizzazione a un attacco informatico nonché sulla sua capacità di adattarsi e superare ogni tipo di interruzione. Le domande succitate identificano le aree di miglioramento dando modo all’organizzazione di apportare le modifiche opportune prima che si verifichi l’attacco successivo.

Ma cosa significa valutare la capacità di un’azienda di recuperare e riprendere le operazioni a seguito di un evento dirompente? Significa saper ponderare la postura della sicurezza informatica aziendale e stabilire modalità continue di revisione per rivedere le attività che contribuiscono a migliorare la posizione di rischio. Come sottolineano gli esperti, per farlo è importante sapersi porre le domande giuste.

#1 Qual è il perimetro del cyber rischio?

Per valutare la cyber resilience bisogna mappare e ponderare la sicurezza di sistemi aziendali, sistemi di produzione, processi, comunicazioni e servizi di rete, sistemi desktop, strutture di archiviazione dati, perimetri di rete e sistemi di strutture, come antincendio, sicurezza degli edifici, controllo degli accessi, sistemi HVAC e servizi di pubblica utilità. E questa è solo una parte.

L’altro aspetto da considerare sono gli utenti, con i loro comportamenti associati ai loro livelli di informazione e disinformazione rispetto alle best practice della sicurezza informatica. È fondamentale che le aziende investano in una formazione spinta, finalizzata a responsabilizzare quanto più possibile tutta la popolazione aziendale per renderla più consapevole ma anche più partecipativa e attiva anche nella fase di valutazione dei rischi.

#2 Quali tipi di attacchi informatici potrebbero verificarsi?

Non c’è cyber resilence senza informazione: tenersi sempre aggiornati sugli ultimi rischi e le nuove minacce è un fondamentale per la governance della sicurezza. Il tutto considerando come il malware si confermi al primo posto, con 4 attacchi su 10, e che oltre 2 attacchi su 10 siano a tutt’oggi sconosciuti. È importante anche monitorare l’evoluzione dei malware, dei ransomware, degli attacchi phishing, degli attacchi DDoS. Sempre e comunque bisogna mantenere una visione quanto più possibile olistica per proteggere le infrastrutture critiche e le catene di approvvigionamento.

#3 Quali sono i probabili punti di accesso del vettore di minaccia?

Identificare le vulnerabilità significa presidiare moltissimi aspetti, a partire dall’identificazione di tutti i punti di accesso al perimetro della rete, mappando e monitorando le tecnologie di accesso remoto, il lavoro a distanza, i file infetti che entrano nell’infrastruttura di rete di un’organizzazione. Lato utenti, è importante intercettare i comportamenti anomali che consentono di riconoscere i “dipendenti canaglia” che attivano o impiantano codice software che fornisce l’accesso a utenti non autorizzati.

#4 In che modo l’organizzazione risponde attualmente agli attacchi informatici?

Per potenziare la cyber resilience è importante valutare tutte le politiche di sicurezza informatica che affrontano vari scenari di attacco informatico, i piani di risposta agli incidenti di sicurezza informatica che acquisiscono codice maligno, i piani di gestione degli eventi di sicurezza informatica che analizzano ed elaborano l’evento fino alla sua risoluzione e al rapporto post-azione. Le organizzazioni dovrebbero anche disporre di piani di ripristino di emergenza e di business continuity per aiutare i sistemi e l’azienda a tornare a regime.

Cyber resilience

#4 Come viene gestita la sicurezza informatica di sistemi, software e rete?

Sotto questo capitolo rientrano diverse attività:

  • gestione delle patch
  • aggiornamenti software antivirus e altri malware
  • forte gestione delle password
  • forte controllo degli accessi
  • garantire il backup regolare di dati, database e applicazioni
  • limitare l’accesso al personale autorizzato
  • garantire che la sicurezza dell’hardware, della rete e della struttura sia mantenuta e stabilita
  • acquisire un’assicurazione sulla sicurezza informatica

#5 In che modo l’organizzazione verifica le minacce e le vulnerabilità informatiche?

Per testare e scoprire con regolarità qualsiasi potenziale vulnerabilità al perimetro della rete e all’interno dell’infrastruttura dell’organizzazione esistono una varietà di tecniche, penetration test inclusi.

#6 Con quale frequenza vengono testati piani, procedure e sistemi di sicurezza informatica?

Gli attori delle minacce aggiornano e migliorano regolarmente il loro codice dannoso. Le organizzazioni devono essere molto diligenti nel prepararsi a contrastarne l’evoluzione. Il personale deve sapere cosa fare quando viene rilevato un attacco, la direzione deve supportare i processi di gestione della sicurezza informatica e i team di sicurezza informatica devono essere regolarmente formati su come affrontare gli eventi informatici. Ad esempio, le organizzazioni dovrebbero aggiornare regolarmente i firewall e gli IDS/IPS per aumentare la probabilità che un attaccante venga identificato.

#7 Quanto il personale a tutti i livelli aziendali è formato e informato?

Team di sicurezza e responsabili della Data Protection e della Compliance devono rimanere aggiornati su virus critici, ransomware, phishing e altre attività malware che si verificano a livello locale e globale. Il che significa studiare, documentarsi, e rimanere costantemente aggiornati sull’utilizzo di applicazioni e i sistemi di sicurezza informatica che identificano il codice sospetto e riducono la probabilità di un attacco.

Per garantire la cyber resilience anche dipendenti e l’alta dirigenza devono familiarizzarsi con le procedure associate alla gestione degli eventi di sicurezza informatica e conoscere più nel dettaglio le politiche aziendali relative a contrastare gli attacchi informatici. Il che include cosa fare quando si subisce un attacco. Corsi di formazione regolari e promemoria sull’importanza della diligenza della sicurezza informatica e delle politiche aziendali sono fondamentali, oltre a garantire che i dipendenti sappiano come rispondere a un attacco.

#8 Analizzare cosa succede a seguito di un attacco informatico

Nel momento in cui si subisce un attacco è importante essere obiettivi, analitici e concreti. Per potenziare la cyber resilienza è necessario mantenere una visione imparziale di come l’organizzazione abbia risposto all’attacco informatico, comprese quali azioni hanno avuto successo e quali no. L’obiettivo? Avviare azioni di follow-up per porre rimedio a eventuali problemi rilevati a seguito di un incidente

Checklist per la valutazione della resilienza della sicurezza informatica

Considerando le precedenti attività consigliate, la seguente checklist può essere utilizzata per preparare una valutazione della cyber resilience:

  • Identificare i rischi

Creare un elenco di rischi e minacce che potrebbero facilitare gli attacchi informatici e i sistemi che devono essere protetti.

  • Identificare potenziali attacchi informatici

Creare un elenco di potenziali attacchi informatici, come phishing o ransomware.

  • Esaminare come l’organizzazione risponde attualmente agli attacchi

Creare un elenco di piani, politiche, procedure, sistemi e tecnologie attuali.

  • Proteggere i sistemi, i software e le reti attuali

Garantire che le risorse e le risorse IT attuali siano protette dagli attacchi.

  • Testare le minacce informatiche e le vulnerabilità Condurre attività forensi periodiche, come test di penetrazione, per identificare le vulnerabilità.
  • Testare piani e procedure di sicurezza informatica

Convalida piani e procedure per garantire che affrontino e mitighino l’impatto di un attacco informatico.

  • Formare i membri del team di sicurezza informatica Assicurarsi che i membri del team di sicurezza informatica sappiano come affrontare le minacce, nonché i sistemi di sicurezza informatica e il software in uso.
  • Formare gli utenti in merito a tutti i punti di attenzione della cybersecurity che li coinvolgono in prima persona

Condurre corsi di sensibilizzazione alla sicurezza informatica in modo che dipendenti, collaboratori, partner e dirigenti siano consapevoli degli attacchi informatici e del ruolo che, come singoli utenti, possono avere prima, durante e dopo un attacco.

  • Condurre attività post-attacco informatico

Identificare le attività che hanno funzionato e quelle che non hanno funzionato e identificare i passaggi per rimediare a politiche, piani, procedure, sistemi e tecnologia in preparazione per attacchi futuri.

WHITEPAPER
La guida per scegliere il miglior antivirus gratuito per il tuo PC
Personal Computing
Cybersecurity
Z

Laura Zanotti - Fonte TechTarget

Giornalista

Ha iniziato a lavorare come technical writer e giornalista negli anni '80, collaborando con tutte le nascenti riviste di informatica e Telco. In oltre 30 anni di attività ha intervistato centinaia di Cio, Ceo e manager, raccontando le innovazioni, i problemi e le strategie vincenti delle imprese nazionali e multinazionali alle prese con la progressiva convergenza tra mondo analogico e digitale. E ancora oggi continua a farlo...

Argomenti trattati

Approfondimenti

B
Backup
H
hacker
R
Ransomware

Articolo 1 di 4