Nella nuova società delle tecnologie e dell’informazione, dove le interconnessioni di devices e la sempre più veloce circolazione di dati si intrecciano e sono esposti a continui ed aggressivi attacchi cibernetici, il ruolo dei security managers si rivela come uno dei fattori chiave del successo aziendale.
E’ di fondamentale importanza nell’ambito di un’organizzazione aziendale stabilire o mantenere una struttura di governance dell’information security attraverso l’individuazione di una strategia precisa ed orientata agli obiettivi di business delle varie funzioni aziendali da cui scaturiscano policies, standard e procedure di controllo.
Il committment della governance aziendale è necessario nell’orientare la strategia verso gli obiettivi di business e si rivela oggi più che mai un fattore chiave per la diffusione della cultura sicurezza e della consapevolezza a tutela del patrimonio informativo e degli assets aziendali.
In questo scenario il ruolo dello Chief Information Security Officer (CISO), è quello di definire la visione strategica, implementare programmi a protezione degli assets informativi e di identificare, sviluppare e mettere in campo processi volti a mitigare i rischi derivanti dall’adozione pervasiva delle tecnologie digitali.
Trasversalità delle competenza e multidisciplinarità di approccio sono le caratteristiche indispensabili per il corretto approccio al ruolo nella definizione del SIEM, vale a dire “security information and event management” sul quale acquisirà committment del senior management, nonché budget e supporto.
L’individuazione della strategia, l’allineamento agli obiettivi aziendali ed il risk appetite, vale a dire l’insieme dei rischi assunti che l’organizzazione è disposta a sopportare, costituiscono tutti elementi indispensabili per la creazione del framework.
La triade Governance, Risk and Compliance è parte dell’information security strategy
I domini dell’information security (information securiy governance, information risk management, information security program development and management ed information security incident management), si innestano inevitabilmente con le professional practices della business continuity, alle quali necessariamente si integrano, e presuppongono una propedeutica attività di information gathering e data gathering finalizzata al vulnerability assessment attraverso tecniche di offensive cyber security (penetration testing) che consentono di valutare la sicurezza delle reti e dei sistemi as is, onde sviluppare la gap analisys rispetto agli obiettivi desiderati.
Delicata ma decisiva è pertanto la fase di valutazione del rischio (sulla scorta dell’accertato risk appetite della governance) è la sua mitigazione (management) attraverso misure tecniche, organizzative e di processo appropriate che salvaguardino la continuità dei processi primari aziendali ed il c.d. service delivery objective.
In questo scenario, l’information security e la business resilience, vanno opportunamente coordinate e rese compliants con la disciplina introdotta dalla GDPR (Regolamento europeo 679/2016) che richiede nell’ambito dell’accountability del titolare del trattamento dei dati personali, l’adozione di dimostrabili misure tecniche ed organizzative adeguate a garantire la sicurezza dei dati trattati, da intendersi nella generale accezione di confidentiality, intregrity and availability (C.I.A.).
Pertanto la creazione di un sistema di gestione del trattamento dei dati personali by design o by default costituisce parte della strategia di classification dell’information security officer in compliance al GDPR.
Particolarmente significativo a tal proposito è l’art. 32 del Regolamento, rubricato “sicurezza del trattamento”, che letteralmente prescrive: “tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:
a) la pseudonimizzazione e la cifratura dei dati personali;
b) la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
c) la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
d) una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento”.
E nell’ambito della valutazione del rischio il CISO dovrà anche individuare le probabili minacce, i potenziali impatti sull’organizzazione aziendale, nonché le misure di mitigazione del rischio e degli impatti che tendano a realizzare l’obiettivo di resilienza di processi e sistemi IT (recovery strategy), in esso compreso la C.I.A. (confidentiality, integrity and Availability) ed il service delivery objective nell’ambito di un predefinito RTO (recovery time objective) che viene considerato di tollerabile outage dalla governance.
In buona sostanza, il CISO dovrà assicurare la capacità dell’organizzazione di mantenere funzionanti i propri processi di business, i servizi, i sistemi ed anche il capitale umano, malgrado il manifestarsi di situazioni naturali o intenzionali umane avverse, pur ammettendo performances differenti rispetto la normale operatività.
La gestione della continuità operativa, è dunque un processo strategico altamente connesso con la mission dell’information security ed ha l’obiettivo di:
• garantire la “sopravvivenza” di tutte le funzioni primarie dei processi aziendali ed organizzativi;
• identificare le vulnerabilità di processi e sistemi potenzialmente in grado di compromettere la continuità del business aziendale;
• organizzare una struttura resiliente, ossia in grado di reagire tempestivamente in seguito al verificarsi di interruzioni o compromissioni dei processi di business;
• mitigare i rischi correlati alla continuità operativa aziendale, gestendone gli impatti dannosi a più livelli.
Ciò passa attraverso un processo di gestione della Continuità Operativa BCM (Business Continuity Management) che comprende:
• la valutazione degli impatti sul business – BIA (Business Impact Analysis) ovvero la mappatura dei processi aziendali, al fine di identificarne criticità e impatto sul business, la tempistica di ripristino (RTO) oltre che le risorse necessarie affinché il processo possa essere ripristinato ai livelli di normale funzionamento;
• il piano di continuità operativa – BCP (Business Continuity Plan) ovvero il complesso di procedure formalizzate che guidano le organizzazioni nel rispondere, recuperare, riprendere e ripristinare a un livello predefinito almeno le funzioni organizzative critiche, a seguito di un’interruzione.
• il piano di recupero da situazioni di disastro – DRP (Disaster Recovery Plan), ovvero il processo documentato per recuperare una infrastruttura IT in caso di disastro (naturale o intenzionale umano);
L’adozione di un piano di incident management consentirà di attivare tutte le procedure di risposta all’evento assunto ed opportunamente valutato, attraverso la messa in campo di tutte le attività di recovery e comunicazione orientate a mitigare i potenziali impatti sull’organizzazione (anche quelli già opportunamente valutati).
In definitiva l’information security è la sintesi dei seguenti pilastri su cui si dovrebbe reggere una buona strategia di governance:
- SIEM (domini information security)
- Cyber security;
- Data protection/retention;
- Business continuity/resilience;
Tuttavia, il committment della governance ed una condivisa strategia di information security allinata al business non possono ritenersi sufficienti senza awareness del capitale umano.
Le perdite stimate nel 2017 a causa di attacchi informatici ammontano a circa 108 miliardi di dollari solo negli Stati Uniti. In Italia, gli incidenti informatici hanno provocato alle aziende una perdita di circa 900 milioni di euro.
Da un’analisi di questi dati è emerso che nel 75% dei casi, gli attacchi hacker o malware vanno a buon fine per errori umani, negligenza, imperizia o disattenzione degli operatori.
L’affidabilità di un sistema informatico pur protetto con competenza, può andare in crisi di fronte ad un click errato di un utente/dipendente, inconsapevole dei danni che può provocare semplicemente aprendo una mail od un suo allegato.
Per questo, oltre ad adottare un sistema di protezione e resilienza cibernetica valido, un’azienda consapevole deve investire sia nel ruolo del CISO sia nella formazione delle proprie risorse, sia in una polizza assicurativa che mette a riparo dalle perdite causate dal c.d. rischio residuo di un attacco informatico.
La formazione entra così a far parte del patrimonio culturale del capitale umano: in questo modo essi saranno in grado di riconoscere le situazioni di rischio e le azioni da compiere per evitarlo.
