Più ogni anno passa e più si afferma, nei fatti, una nuova dimensione della cyber security. Abituati come siamo stati a considerare la sicurezza informatica come una semplice protezione dagli attacchi cyber realizzata attraverso una serie di tecnologie poco integrate, spesso implementate a risposta dei danni subiti, vediamo invece oggi la chiara direzione verso cui sta evolvendo la sicurezza IT: un ecosistema integrato di tecnologie, persone e processi che si pone in modo strutturale a supporto dell’azione dell’azienda e delle sue persone in un mercato sempre più digitalizzato.
Questa è la prospettiva che va delineandosi a fronte, da un lato, di una crescita continua nella raffinatezza e nella “virulenza” dei cyber attacchi e, dall’altro, a seguito della concomitanza di fattori scatenanti quali una strutturale vulnerabilità aziendale e dei sistemi informativi come il ricorso massiccio a livello mondiale, in questi due anni di pandemia, al lavoro in smart working. È tuttavia un obiettivo non semplice da raggiungere. Soprattutto perché deve essere continuamente perseguito, perché non è solo una questione di investimento in denaro e perché il cambiamento costante del contesto è un ulteriore elemento di complessità.
Lo stato dell’arte delle cyber security
Tecnologie di AI e machine learning sono senza dubbio oggi un supporto importante nell’anticipazione dell’attacco, nella mitigazione del rischio e nella rapidità di ripristino post evento. Tuttavia, sappiamo che da anni la security oltre ad essere tecnologia è anche una modalità di lavoro basata su una nuova impostazione culturale, una ricerca continua di efficienza nei processi aziendali per essere in grado, per esempio, di comunicare e agire correttamente all’interno del rapporto tra esperti di IT security e business leader. L’errore più grande che si possa commettere, come ormai è acclarato, è proprio quello di lasciare nell’alveo tecnologico queste competenze e non ridisegnarle ed evolverle in allineamento con le esigenze e lo sviluppo del business.
Nel corso del 2021, il Center for Cybersecurity del World Economic Forum, in partnership con Accenture, ha coinvolto a livello globale circa 120 leader esperti nelle tematiche di cybersecurity, realizzando un report, il “Global Cybersecurity Outlook 2022”, che ha l’obiettivo di focalizzare i principali rischi emergenti e indicare azioni concrete di implementazione per contrastarli e ridurli. Il tutto con un focus non solo sulle imprese, ma estendendo l’attenzione anche ad un più ampio ecosistema di partner, fornitori e clienti.
Il contesto è chiaro: la crescita digitale della società va da tempo di pari passo con l’aumento della vulnerabilità di persone e imprese dinnanzi all’evoluzione quantitativa e qualitativa dei cyber attacchi. La transizione verso servizi di e-commerce con i propri clienti è in aumento ovunque e, in regioni come Africa, Cina e America Latina, registra una crescita media del 50% (nel mondo si spendono per acquisti di beni e servizi on line circa 1,6 milioni di dollari al minuto); il passaggio al cloud come infrastruttura flessibile e veloce nel rispondere alla variabilità della domanda di mercato e alla creazione di nuovi ecosistemi digitali (azienda-fornitori-partner-clienti) sta accelerando in tutto il mondo; i social sono ormai un media non solo personale, ma anche strutturale alle attività di business delle imprese (sono circa 69 milioni i messaggi WhatsApp inviati ogni minuto); il ricorso allo smart working ha accelerato, in questi anni di Covid, la consapevolezza di un nuovo modo di lavorare, con un aumento marcato nella domanda di connessioni e di reti (), tutti elementi potenzialmente attaccabili dal cybercrime.
Lo sapevate che la mafia…
Le organizzazioni criminali hanno da tempo intrapreso una propria “digital transformation”: si rivolgono stabilmente ad hacker, quando non vengono strutturalmente integrati nella propria organizzazione, per essere supportati nelle loro attività illecite, dall’estorsione al traffico di droga, ad azioni di phishing, attacchi social, sostituzione di SIM per ottenere il controllo di conti bancari. Insomma, una varietà di “servizi criminali” disponibili nel dark web attraverso la formula “as a service”, con tanto di descrizione di skill e tariffe diversificate per ogni tipo di esigenza e determinate in relazione alla complessità degli attacchi, del risultato ambìto e del profilo della vittima.
Gruppi di servizi sono già accessibili oggi attorno ai 1000 dollari o anche meno; l’hacking di un account social costa circa 230 dollari, che diventano 400-500 circa per l’hacking di un sito web o addirittura per il cambio di una qualifica scolastica.
Gli attacchi ransomware sono aumentati del 151%nei primi sei mesi del 2021, mentre l’FBI informa che vi sono attualmente in circolazione circa 100 differenti tipi di ransomware, per una media di 270 attacchi per organizzazione nel 2021, con un incremento del 31% sull’anno precedente. Ma sono i costi, diretti e nascosti (anche in termini di impatto sul brand quando l’attacco viene reso pubblico) a preoccupare: a partire da una media di 3,6 milioni di dollari di costo per incidente e per un tempo di reazione che stenta a contrarsi, attualmente di 280 giorni in media per identificare e rispondere all’attacco. E la preoccupazione cresce.
Una prospettiva diversa
Come si può uscire da questa situazione? L’aumento continuo, qualitativo e quantitativo dei cyberattacchi lascia intravedere l’impossibilità di una risposta puntuale al cybercrime. O meglio, il fenomeno sta iniziando a essere considerato come un evento che può sempre accadere, quasi inevitabile, addirittura consequenziale al business. Il punto allora è: quanto l’azienda è resiliente al di là delle pur sofisticate protezioni implementate? Quanto è in grado di mettere in campo tecnologie, processi e competenze per recuperare velocemente la propria operatività e riprendere a fare business?
Le soluzioni passano da attività di cyber training per le persone, backup offline, assicurazioni ad hoc, livelli tecnologici di protezione elevata (by design) su reti, endpoint e datacenter; attività di intelligence specifica e continuativa (con supporto esteso di soluzioni di AI) sulle potenziali vulnerabilità, con un’azione proattiva continua di adeguamento; funzioni e ruoli dedicati; una cultura aziendale e dei processi adeguati ad un’operatività che consideri continuamente il rischio di cybercrime.
È un approccio olistico non nuovo, ma che solo da poco sta entrando in modo più strutturato nelle strategie aziendali di gestione del cyber risk. L’84% dei rispondenti, secondo la ricerca Wef, dichiara che la cyber resilienza è diventata una priorità di business supportata dal management aziendale; due terzi (61%) ha affermato di aver avviato una ridefinizione architetturale nella relazione con le proprie terze parti a livello di accesso reti, identity management, priorità in rapporto ai diversi profili di utenza. Tuttavia, realisticamente, a oggi solo il 19% ha affermato di essere fiducioso nella propria capacità di resilienza.
Cyber e business, come evitare un gap pericoloso
Abbiamo visto che se da un lato esiste una consapevolezza della necessità di rendere fattiva una cyber resilienza come priorità di business, spetta ai CISO e ai CSO guidare questa integrazione e al top management rendere strutturale quest’azione (fatta di tecnologie e processi) in una strategia di business organica. Lo studio, sulla base delle indicazioni dei security e business leader intervistati, propone alcuni focal point:
Portare la cybersecurity nelle decisioni di business
Ai CISO/CSO/CIO serve sviluppare una profonda conoscenza delle operation business critical aziendali, interagendo di continuo con le persone nelle differenti business unit per “costruire” modelli operativi rispettosi delle esigenze di entrambi le parti (quella di security e quella di business con la sua flessibilità e peculiarità). Questi due versanti, secondo quanto risulta dallo studio, hanno oggi ancora percezioni diverse sul livello di maturità di questo loro rapporto.
Guadagnarsi il supporto dell’area executive
Servirà garantire ai CISO/CSO/CIO un alto livello di autonomia decisionale, unitamente a un adeguato budget. Questo potrà avvenire nel momento in cui, anche da un punto di vista di organigramma, queste figure smetteranno di essere viste come profili tecnici e sempre più in profonda integrazione con gli obiettivi di business. A tal punto che anche i KPI personali comprenderanno indicatori basati sulla capacità di aver sviluppato una cyber resilienza misurabile. Un’integrazione fatta di processi, modelli comportamentali, riorganizzazioni per funzione, tutto orientato a migliorare la condivisione e il confronto tra IT security e business; realizzando una costante e reale integrazione tra sviluppo tecnologico, implementazione rapida e capillare in azienda di soluzioni di cybersecurity in un disegno organico rispettoso delle esigenze e delle figure di business. Per garantirsi effettiva resilienza in business sempre più digital.
Trovare gli skill giusti
Anche nell’area della cyber security, come spesso accade più in generale all’interno dei sistemi informativi, gli skill sono molto scarsi. Tant’è che ben il 50% delle aziende rispondenti attribuisce a questa mancanza di competenze i propri principali problemi in termini di business continuity. Massiccio è quindi il ricorso a skill esterni, di partner specializzati, quando accade l’incidente.
L’importanza delle partnership
Il sistema di partnership, il cosiddetto ecosistema che diventa tale quando è effettiva una forte integrazione tecnologica e organizzativa, è fondamentale nelle attività di protezione e resilienza ai cyber attacchi. Ben il 90% delle aziende intervistate ha dichiarato infatti di ricevere informazioni e indicazioni operative utili dalla condivisione con i partner. Tuttavia, l’ecosistema rappresenta un problema quando non vi è corretto allineamento in termini di cyber resilienza: negli ultimi anni, gli attacchi indiretti, provenienti cioè all’azienda dalle terze parti sono aumentati dal 44% al 61%. Serve quindi, in tema di cybercrime, una fondamentale strategia condivisa tra azienda e partner su diversi piani, tecnologici, di processo e anche culturali. Anche su questo punto, il lavoro da fare è importante, se è vero, come indica la ricerca, che spesso questa azione di allineamento avviene su base volontaria o in modo molto selettivo.
In conclusione, se un’evoluzione tecnologica sempre più raffinata, soprattutto grazie agli sviluppi in area Artificial Intelligence e Machine learning, potrebbe migliorare la capacità di cyber resilienza delle imprese, i dati della ricerca indicano con chiarezza che serve ormai procedere sulla strada delle scelte strutturali, sia sul piano tecnologico sia sul versante organizzativo delle relazioni e dei processi tra impresa, ecosistema di partner e clienti. Con l’obiettivo di ridurre l’impatto di un cybercrime destinato a diventare ormai consuetudine nell’operatività di business dell’impresa.
