Il nuovo contesto normativo e gli standard per la cybersecurity, la cyber resilience e la data protection richiedono un approccio integrato, multidisciplinare e continuamente aggiornato, che coinvolga tutte le parti interessate e che garantisca una gestione efficace e responsabile dei rischi. Il tema è stato ampiamente discusso durante la roundtable “Le best practices per il cyber risk management: da security & privacy-by-design a threat intelligence, detection e response” del CYBERSECURITY SUMMIT 2024, lo scorso 29 febbraio a Milano, moderata da Elena Vaciago, Research Manager, The Innovation Group e Luca Moroni, Co-Fondatore, Cyber Security Angels.
Quali sono i pilastri del nostro piano di gestione del rischio informatico per i prossimi anni e come ci siamo organizzati per condividerli con la Direzione? Ne ha parlato Nadia Bertone, Deputy IT Director – Technology Area e CISO, BRT Spa. “BRT è un’azienda di trasporti e logistica che dispone di un piano e una roadmap triennale per la cybersecurity, suddivisi in 4 macroaree – ha spiegato Nadia Bertone -. La prima riguarda la governance. La parte centrale verte sul “security by design”. Poi, centralità dell’essere umano e attenzione all’innovazione tecnologica”. Un efficace programma di cyber risk management deve quindi essere multidisciplinare, integrato, e poggiare sui seguenti pilastri:
- Governance: il sistema di gestione della sicurezza delle informazioni dee essere basato su politiche, processi e procedure. Un focus importante è oggi anche la valutazione del rischio associato alle Terze Parti.
- Security by Design: parte centrale del piano, rappresenta l’integrazione della security con l’architettura e le iniziative digitali dell’azienda, inclusi i nuovi progetti e i cambiamenti significativi.
- Centralità dell’essere umano: riguarda la formazione e la gestione delle identità, con un approccio sia trasversale che verticale.
- Innovazione tecnologica: bisogna avere un occhio per le nuove tecnologie, come l’AI, che rappresentano una sfida e un’opportunità.
Un altro tema prioritario riguarda l’obsolescenza tecnologica. “Il miglioramento della postura in materia di sicurezza implica l’adozione di nuovi sistemi, il potenziamento di quelli esistenti e un aumento della visibilità su un perimetro sempre più complesso” ha detto Nadia Bertone.
Nella definizione del piano di cyber risk management, ci sono diverse priorità da considerare
Come ha sottolineato Renato Bloise, COO, Cybersel. Punto uno, la postura di sicurezza: “È fondamentale avere una visione chiara della postura attuale della sicurezza dell’azienda – ha detto Renato Bloise -. Questo include dati chiave che permettano di comunicare concetti complessi in modo semplice, fornendo una base solida per comprendere la sicurezza e la vulnerabilità dell’organizzazione”.
Punto due, la gestione della superfice di attacco: “Nelle organizzazioni complesse, è cruciale conoscere e comprendere il proprio perimetro potenziale di attacco – ha detto Renato Bloise -. Questo diventa un elemento critico in un contesto in cui l’ambiente aziendale cambia continuamente, con modifiche societarie e la costante necessità di esporre nuove risorse. Una conoscenza accurata della superfice di attacco consente di adottare misure di protezione mirate e reattive”.
Punto 3, la gestione dei fornitori (TPRM, Third Parties Risk management). È essenziale qui riconoscere l’importanza della sicurezza della catena di fornitura, soprattutto considerando che molti regolamenti e normative mettono sempre più enfasi su questo aspetto. Le statistiche indicano che attacchi significativi alle infrastrutture aziendali spesso avvengono attraverso le terze parti. Pertanto, è necessario stabilire una forte connessione di obiettivi per ridurre il rischio anche attraverso la catena di fornitura.
Punto 4, misurazione e consapevolezza del rischio. Per poter definire e assegnare priorità efficacemente, è indispensabile disporre di strumenti che consentano di misurare e comprendere il rischio in modo oggettivo. Questi strumenti forniscono una panoramica chiara e obiettiva del rischio, consentendo all’organizzazione di prendere decisioni informate e di concentrare le risorse dove sono più necessarie.
Il piano di cyber risk management è in costante evoluzione
“Il nostro cyber risk management sta attraversando un’importante evoluzione a seguito dell’acquisizione del Gruppo Bomi da parte di UPS Healthcare – ha detto Matteo Corsi, Global IT Security Manager, Bomi Group -. Questa integrazione ci offre l’opportunità senza precedenti di arricchire le nostre capacità ed esperienze nel settore della sicurezza e del risk management. Tuttavia, ci sono diverse sfide che dobbiamo affrontare durante questo processo. Il fattore tempo è critico, sia dal punto di vista operativo che economico, poiché l’integrazione deve avvenire nel minor tempo possibile. Da qui la necessità di dare priorità a numerose attività che richiedono un impegno a lungo termine.
Per affrontare questa sfida, abbiamo adottato un approccio metodologico che prevede la parallelizzazione delle attività. La gestione del rischio gioca un ruolo cruciale in questo processo, poiché ci consente di misurare i rischi esistenti e di ridurne l’entità nel tempo. Inoltre, ci permette di prioritizzare le attività in modo efficiente, consentendo loro di procedere contemporaneamente. In aggiunta, è essenziale coinvolgere il business nella definizione delle priorità e delle azioni da intraprendere. Questo richiede la capacità di quantificare i rischi in modo comprensibile a tutti gli interessati e di coinvolgere il business nelle decisioni riguardanti quali rischi accettare, posticipare o risolvere”.
In conclusione, l’evoluzione del cyber risk management in Gruppo Bomi è guidata dalla necessità di integrare rapidamente capacità e processi, attraverso un approccio multidisciplinare che coinvolga cultura aziendale, tecnologia e processi.
Nel piano di cyber risk management, un punto importante è la data protection
“Per far evolvere la data protection è fondamentale adottare un approccio olistico che vada oltre la mera prevenzione attiva o proattiva – ha detto Domenico Iacono, Presales Manager, Team Lead – Italia & Spagna, Commvault -. Si deve operare nell’ottica che gli attacchi possono avere successo e quindi è necessario essere preparati a ripristinare servizi, dati e workload rapidamente ed efficacemente”.
La data protection non dovrebbe essere vista solo come un’area di interesse del team IT, ma anche come un elemento cruciale per l’intera sicurezza aziendale. Con piattaforme come Commvault Cloud, è possibile mettere in sicurezza i dati arricchendo le soluzioni con strumenti necessari per affrontare le sfide attuali, a cominciare dall’analisi del rischio. “È importante comprendere il tipo di dati che l’azienda tratta, identificando quelli sensibili o personali che sono a maggior rischio, e stabilire delle priorità rispetto alla protezione di tali dati – ha detto Domenico Iacono -. Sebbene la prevenzione sia fondamentale, non è sufficiente da sola. È importante integrare strumenti di cyber detection per intercettare movimenti laterali attaccanti nella rete dei clienti, al fine di neutralizzare gli attacchi prima che abbiano un impatto sui dati”.
Le fasi di recovery, riparazione e ripristino dei dati devono essere automatizzate e orchestrate, utilizzando le più recenti tecnologie di intelligenza artificiale per garantire non solo velocità ma anche la certezza che i dati ripristinati siano privi di malware che potrebbero reinfectare i sistemi. Infine, un elemento chiave è l’integrazione con l’ecosistema di sicurezza dei clienti, compresi strumenti come SIEM, SOAR, Network e XDR, così da fornire un valore aggiunto al team di sicurezza e consentire a questi strumenti di compiere azioni dirette verso la piattaforma di data protection, garantendo un ripristino sicuro e affidabile.
Il contesto normativo e gli standard per la cybersecurity, la cyber resilience e la data protection stanno subendo importanti evoluzioni, pensiamo ad esempio a NIS2 e DORA.
Qual è il nuovo contesto da considerare a livello di normative e standard per cyber security, cyber resilience e data protection? “NIS2 e DORA sono due framework normativi che si pongono alla base di una strategia di governo di rischi, cyber resilience e data protection” ha detto Claudia Ciampi, Cyber Risk, Governance & Compliance Manager, Gruppo Maggioli. Il GDPR è già in essere, quindi le nuove norme dovranno integrarsi a questa nella costruzione di un sistema unico e integrato per la sicurezza. “Non è possibile pensarle separate, serve una visione multirischio in cui tutte le figure chiave sono coinvolte: CISO, CRO, DIPO, responsabile HR e della sicurezza fisica – ha detto Claudia Ciampi -. Se si guarda bene a queste due norme, NIS2 e DORA, sono un’opportunità anche per aziende non sottoposte al vincolo, contemplano best practice di riferimento anche per altre organizzazioni che devono garantire sicurezza, continuità operativa e protezione dei dati personali”.
È ora disponibile il video completo della Sessione Plenaria 3: