Cyber Resilienza, come ottimizzarne la gestione

Cyber Resilienza, come ottimizzarne la gestione

Cyber Resilienza, come ottimizzarne la gestione

Negli ultimi anni il tema della Cyber Resilienza è diventato prioritario in aziende di tutte le dimensioni: le organizzazioni di qualsiasi settore e dimensione si interrogano su come approcciare correttamente il rischio cyber. Una tendenza che si osserva sempre di più è la convergenza tra la cybersecurity e la Business Continuity, come emerso anche da una recente indagine del BCI. Abbiamo approfondito questi aspetti in un’intervista con Stefano Scoccianti, Enterprise Risk Manager di Hera.

TIG. Oggi le aziende stanno ricercando modelli operativi convergenti per quanto riguarda continuità del business e cyber resilienza. Qual è il Suo punto di vista in materia?

Stefano Scoccianti Stefano Scoccianti. Sul tema del rischio cyber e del Disaster recovery connesso all’ICT, il soggetto competente di riferimento è chiaramente il CISO, che attiva tutta una serie di misure di emergenza, e ove necessario, fa escalation presso le strutture e le risorse opportune. È importante però che la gestione di una crisi di natura informatica abbia meccanismi inquadrati in un framework aziendale più ampio predisposto per il crisis management, pensato per crisi di più ampia e generale natura, ad esempio di tipo operativo, commerciale, di sicurezza, reputazionale.

All’interno di questo framework, devono essere previsti piani di continuità e un Disaster recovery mirato ai possibili scenari di crisi e alle risorse umane e tecniche da essi impattato. Inoltre, mi aspetto che, così come per le crisi connesse ai processi operativi e di business c’è oggi un referente nel business stesso, in caso di crisi ICT si debba far riferimento a chi gestisce le infrastrutture e le operazioni di backup.

Poi possiamo discutere (soprattutto in aziende molto strutturate), se questo ruolo debba essere effettivamente impersonificato dal CISO o se, in realtà, l’attivazione dei piani di continuità valutati e supervisionati dal CISO debbano essere invece attivati dal responsabile di infrastruttura IT, ossia da chi, oltre a subire la crisi in uno specifico momento, ha anche le leve operative da attivare.

L’uomo del rischio sarà invece colui che ha definito, standardizzato e validato le procedure di intervento e di gestione. In altri casi potrebbe avvenire che il CISO abbia anche responsabilità operative dirette e che quindi sia incaricato dell’attività di operation. È un tema la cui valutazione dipende tra altri fattori anche dalle dimensioni aziendali e dalla cultura aziendale stessa.

A titolo esemplificativo, per inquadrare la complessità della decisione, si valuti il caso in cui in un’organizzazione la Business continuity preveda un datacenter secondario con riserve allineate in real time: decidere se girare la chiave in caso di un evento particolarmente grave, può comportare costi e tempi di ritorno assai rilevanti per ripristinare le condizioni di normalità. Mi sembra quindi che questa decisione vada presa coinvolgendo i vertici aziendali, non essendo riducibile a valutazioni solo di natura tecnica, anche dall’Amministratore Delegato, opportunamente informato dal CISO: si pone quindi il tema di come impostare l’escalation, la governance della crisi e l’eventuale istituzione di un comitato di crisi volto a responsabilizzare un livello decisionale sufficientemente elevato in azienda.

resilienza

Continuando il ragionamento su questa strada, non è da escludere in contesti particolarmente strutturati, strutture decisionali multilivello in funzione della gravità dell’evento e delle esigenze di escalation. Lasciando al livello più elevato decisioni connesse a situazioni ed eventi che impattano in misura determinante su tutta l’azienda, o comunque in generale sul valore complessivo dall’azienda, e a strutture più prossime al business quelle decisioni operative prese in autonomia rispetto al vertice, senza bisogno di escalation. Questi avranno leve proprie per risolvere i problemi o attivare specifici piani di continuità.

TIG. La continua evoluzione degli scenari di rischio cyber comporta una revisione continua anche del piano di Business continuity?

Stefano Scoccianti. Sicuramente la gestione del rischio deve essere oggi molto più dinamica. Con riferimento alla Business continuity, è chiaro che ci sono degli step da svolgere come previsto dalle best practices di settore, ad esempio la BIA con l’analisi di vulnerabilità, che è una fotografia in un momento predeterminato, l’aggiornamento dei piani di continuità o la loro stesura e implementazione se non ancora disponibili: sono tutti momenti necessari.

Le minacce cyber evolvono molto rapidamente, quindi occorre impostare programmi continuativi di valutazione delle vulnerabilità, penetration test e vulnerability assessment nel caso specifico del mondo ICT, e il corrispondente adeguamento/aggiornamento delle contromisure e remediation necessarie.

Il modello della BIA però va salvaguardato: pensiamo ad esempio all’ambito applicativo. Posso fare una valutazione di criticità o di rilevanza di un certo applicativo per un certo business in un determinato momento, e magari questa rimane invariata nel tempo, oppure potrebbe subentrare un nuovo applicativo particolarmente significativo che va in qualche modo intercettato e catalogato. Sono momenti canonici che secondo me servono, anche se, dal punto di vista operativo, sicuramente oggi è richiesta una maggiore proattività nelle verifiche.

TIG. In tema di gestione dei rischi cyber, le vulnerabilità della supply chain hanno scalato i primi posti negli ultimi anni: come affrontare questo problema? Quali sono gli altri rischi rilevanti che state considerando?

Stefano Scoccianti. Noi abbiamo acquisito da anni consapevolezza del tema della sicurezza della supply chain, soprattutto per quanto riguarda fornitori di servizi critici: abbiamo definito approcci valutativi dei potenziali fornitori e aspetti contrattuali per tutelarci, in modo da massimizzare le garanzie di riguardo gli obiettivi di sicurezza cyber che ci diamo. Inoltre, effettuiamo verifiche e audit, correlati ai fornitori individuati come più critici.

Un altro tema, che sta crescendo molto in importanza, è quello dei rischi per gli ambienti OT, Operational Technologies. Se consideriamo aziende con una base impiantistica rilevante o imprese manifatturiere con processi di trasformazione, questo rischio avrà un peso crescente nei prossimi anni. A questo si aggiunga la sicurezza fisica, intendendo la capacità dell’azienda di garantire l’accesso in prossimità degli ambienti fisici impiantistici a quei soggetti che sono titolati a farlo, per evitare che soggetti non autorizzati possano accedere e tentare di condizionare in modo più agevole il funzionamento di un impianto.

Infine, progetti che ci vedono impegnati sono quelli collegati al tema privacy e della data retention, con soluzioni che partendo dalla data discovery e data lineage, puntano ad assicurare la gestione della retention del dato in modo efficiente secondo la compliance richiesta dalla GDPR, ferma restando l’importanza e il valore che la capacità di lettura del dato costituisce per il business.

A cura di:

Elena Vaciago, @evaciago