Un’azienda dovrebbe sempre pianificare la possibilità di una crisi di sicurezza informatica. Sergej Epp, chief security officer, Central European region, Palo Alto Networks, elenca 5 regole per farlo al meglio.
Negli affari pianifichiamo il successo. Nella sicurezza informatica dobbiamo pianificare il fallimento, mi ha detto recentemente un dirigente di Fortune 500, riassumendo lo stretto allineamento tra gli obiettivi di business e la sicurezza informatica.
Una violazione IT può causare danni notevoli a operation, vendite, reputazione e anche al prezzo delle azioni di un’azienda, oltre a mettere improvvisamente la parola fine alla carriera di un CEO o di un CSO, come è avvenuto nel caso di alcuni attacchi informatici negli ultimi anni. L’Allianz Risk Barometer 2020 – il più grande sondaggio sui rischi a livello mondiale – ha riconosciuto le interruzioni del business causate da violazioni di sicurezza IT come il rischio più grave per le organizzazioni.
Ora, anche se non si può mai prevedere quando si verrà attaccati, è possibile guadagnare tempo mettendo in atto un piano di cyber resilienza ben collaudato ed efficace, essenziale per mitigare gli effetti peggiori di un attacco mantenendo l’azienda in attività. Per poter reagire rapidamente ed evitare danni a lungo termine, le aziende devono simulare un attacco informatico per capire le giuste responsabilità, le potenziali lacune dei processi o i problemi tecnologici.
Tuttavia, anche per i più preparati, una crisi informatica potrebbe verificarsi in qualsiasi momento. Cosa si deve fare se si è l’amministratore delegato di un’azienda che ha subito un attacco informatico?
Regola 1: Prendere il comando. È una questione personale.
Rimboccatevi le maniche. Delegare il lavoro al team IT durante una violazione informatica può essere pericoloso per l’azienda e per voi personalmente. Le interruzioni operative e i costi delle controversie legali hanno un effetto immediato sulla reputazione, se non gestiti a dovere. Non sorprende infatti che gli azionisti stiano iniziando a richiedere conseguenze personali per le aziende coinvolte in un incidente informatico. Una gestione efficace comporta un impegno a livello di consiglio di amministrazione, di COO e di CFO. Ma un CEO è spesso la persona migliore per gestirla.
Regola 2: è tutta una questione di comunicazione.
Quando si è colpiti da un attacco, nessuno vuole essere al centro dell’attenzione. Si è trattato di una lacuna nella sicurezza o di un attacco hacker in piena regola? Avete valutato davvero la portata dei dati trafugati? Ci sono altre backdoor che potrebbero essere utilizzate per attività di sabotaggio?
Una crisi IT è quasi sempre molto complessa. Possono essere necessari da mesi ad anni per rispondere a tutte queste domande. Tuttavia, la giusta strategia di comunicazione determinerà il parere dell’opinione pubblica sul modo in cui avete gestito l’incidente. Trattare la crisi in modo trasparente vi porterà benefici tra cui il sostegno delle autorità, dei ricercatori e dei clienti. Ma dovete essere pronti a sopportare la pressione.
Regola 3: Competenze in materia di sicurezza informatica.
La maggior parte delle aziende si affida al CISO per la gestione della crisi, ma spesso conviene coinvolgere i seguenti stakeholder nel processo:
-Incidenti di sicurezza ed esperti di crisi – La segnalazione e l’analisi tecnica possono probabilmente essere fatte in modo più efficace da aziende esterne che hanno affrontato situazioni simili.
-Fornitori di sicurezza – La maggior parte delle aziende è scettica nel considerare i fornitori di sicurezza come partner ma, in realtà, sono forse loro i partner migliori per aiutarvi a mitigare la minaccia.
-Peer – La sicurezza IT è uno sport di squadra e la maggior parte delle minacce da affrontare ha probabilmente già colpito alcuni dei vostri colleghi. Coinvolgerli e chiedere aiuto è fondamentale.
-Le forze dell’ordine – In molti paesi il coinvolgimento delle forze dell’ordine è più che altro un atto formale per registrare l’incidente. Tuttavia, le autorità in alcuni stati alcuni hanno notevoli capacità di investigazione e supporto nella protezione delle reti.
Regola 4: Utilizzare il contenimento intelligente.
Contenere una crisi informatica potrebbe richiedere anni se si seguono tutte le raccomandazioni disponibili. Come riesce il CISO a bilanciare il contenimento degli incidenti mantenendo l’operatività?
La task force può applicare un approccio di contenimento basato sul rischio, affrontando le questioni più importanti:
- Perché siamo stati hackerati?
- Quali sono i nostri asset più importanti?
- Sono stati colpiti?
- Come possiamo mitigare la minaccia?
Per capire come mitigarle, è necessario triangolare la prima e la seconda domanda in modo corretto. A volte, è persino necessario tenere l’aggressore per un po’ di tempo nella propria rete per determinare le sue vere motivazioni. Per tutti gli attacchi mirati, c’è sempre una domanda da porre al CSO: abbiamo identificato il paziente zero?
Come nelle epidemie di virus, il paziente zero può aiutarvi a ricostruire il percorso dell’attacco e identificare le potenziali backdoor create come backup nella vostra rete. Se la vostra task force non riesce a identificare il paziente zero, non sarà capace di confermare la presenza dell’hacker nella rete o di determinare la portata dell’attacco.
Regola 5: Siate prudenti, non siate dispiaciuti.
Che impatto ha avuto la violazione sulla vostra azienda dal punto di vista reputazionale, legale, finanziario e tecnico? Avete perso denaro perché non siete riusciti a gestire un server nelle ultime 20 ore.
Stimate il costo complessivo dell’attacco. Non solo nel caso in cui abbiate un’assicurazione, ma anche per ricavare l’investimento necessario per la sicurezza. Alla fine, la maggior parte delle aziende che vivono una crisi informatica aumentano significativamente gli investimenti in sicurezza. Concentrarsi su principi come Zero Trust, migliorare la cyber-igiene e semplificare i processi e le tecnologie di sicurezza sono alcune delle cose più importanti – e fondamentali – da fare.
La cyber resilienza in poche parole
Non importa quale sia il vostro settore, un piano di cyber resilienza adeguato è un must se volete essere preparati per lo scenario peggiore. Ridurre la portata dei danni di un attacco cibernetico è l’obiettivo primario di un piano di cyber resilienza. Una cosa è tentare di mettere in sicurezza la rete, ma attivare un piano di business continuity ben pensato e testato può far risparmiare grandi quantità di tempo e denaro. Quindi siate ben preparati.