I criminali informatici sanno dove e cosa cercare. Spesso (purtroppo) sono più attenti e con una maggior capacità di osservazione e approfondimento rispetto a chi dovrebbe arginarli. In particolare ci sono alcune aree di rischio per la sicurezza informatica che le imprese dovrebbero presidiare maggiormente, proprio perché oggetto di particolare attenzione da parte degli hacker: sono otto, e si tratta della tecnologia utilizzata in azienda, della Supply Chain, dell’IoT, delle Business Operations, dell’operatività dei dipendenti, delle operazioni M&A, della regolamentazione, e non ultima l’attività dei consigli di amministrazione.
Questi sono i suggerimenti che emergono dall’edizione 2019 del Cyber Security Risk Report What’s Now and What’s Next, realizzato da Aon: lo studio ha messo in evidenza come la tecnologia e il passaggio massivo al digitale delle aziende di tutti i settori abbiano portato con sé grandi opportunità per le imprese, velocizzando il trasferimento di informazioni e creando nuove possibilità di business, ma anche un sensibile aumento dei rischi da presidiare. I rapidi e continui cambiamenti tecnologici hanno infatti moltiplicato il numero di touch point ai quali i criminali informatici possono avere accesso all’interno di un’azienda. Scendendo nel dettaglio, l’analisi rileva le motivazioni alla base della vulnerabilità degli otto settori sopracitati.
Tecnologia – La tecnologia ha rivoluzionato il modo in cui le organizzazioni oggi fanno business: vince il paradigma XaaS (X-as-a-service), dove X rappresenta un qualsiasi prodotto, che non esaurisce più il suo valore nella dimensione concreta, ma è inglobato in un sistema complesso di servizi e funzionalità interattive. Un esempio di settore particolarmente evoluto in tal senso è quello dell’Automotive. Il passaggio all’economia XaaS aumenta sicuramente il valore aggiunto dei prodotti e ne moltiplica le potenzialità, ma espone contemporaneamente a una serie di nuovi rischi, non ancora ben delineati e lontani dall’essere gestiti con reale consapevolezza. Trattandosi di un ambito in continua evoluzione, le aziende dovranno saper anticipare le situazioni e gestire le vulnerabilità mano a mano che proseguirà il processo di trasformazione digitale.
Supply Chain – Due sono le tendenze che aumenteranno drasticamente i rischi informatici per le supply chain: la rapida espansione dei dati operativi esposti agli hacker, tramite i dispositivi mobili e le connessioni al cloud, e la crescente dipendenza delle aziende da fornitori esterni di servizi terzi o addirittura quarti, ognuno dei quali rappresenta un’ulteriore possibile porta d’accesso per i criminali informatici. Va ricordato, in merito a questo secondo punto, che la regolamentazione giuridica nell’ambito della sicurezza informatica ritiene responsabili le aziende anche nel caso in cui la violazione di dati sia dipesa da un fornitore. Che queste due tendenze siano da tenere d’occhio è già riscontrabile: secondo IDG Research, sono i timori legati alla sicurezza il motivo per cui il 25% delle aziende non ha ancora messo in campo un approccio di tipo Cloud First, mentre per il Ponemon Institute il 59% delle aziende nel Regno Unito e negli Stati Uniti ha subito un data breach attraverso terze parti, e solo il 35% di loro valuta i programmi di gestione del rischio delle terze parti attualmente disponibili sul mercato come realmente efficaci.
IoT (Internet of Things) – E’ stato dimostrato che molte imprese non presidiano a sufficienza questo aspetto, non tenendo nemmeno un inventario di tutti i dispositivi IoT che utilizzano, il che ovviamente si traduce in un mancato presidio e aumenta l’esposizione. Nei pochi casi in cui un inventario viene fatto, è comunque incompleto: secondo uno studio del Ponemon Institute condotto nel 2018, il 52% delle aziende che ha tenuto un elenco degli IoT device ha dichiarato di avere 1.000 dispositivi, mentre la media individuata dal report sarebbe di oltre 15.000 per impresa. Il livello di esposizione non dipende solo dalla quantità di device ma anche da come vengono gestiti: la maggior parte sono forniti da terze parti, e da queste gestiti in remoto (una pratica che di fatto rende il controllo meno efficiente), e spesso vengono messi a disposizione dei dipendenti senza un’adeguata formazione sui possibili pericoli di un loro utilizzo poco accorto. Il 21% delle aziende analizzate da Ponemone Institute ha subito nel 2018 una violazione di dati a causa di dispositivi IoT non sicuri, e il 18% ha dichiarato che gli attacchi sono stati causati dalla mala gestione dei device da parte dei fornitori tecnologici. Analizzare e gestire i rischi legati all’IoT, in un contesto di supply chain sempre più estese e con l’imminente avvento del 5G che introdurrà nuove complessità, non è più un’opzione rimandabile. Un inventario efficace a livello organizzativo e l’implementazione di un processo di monitoraggio saranno quindi di fondamentale importanza per le aziende nei prossimi anni.
Business operations – Le imprese affidano la propria operatività in misura sempre maggiore alla tecnologia, con evidenti vantaggi in termini di tempo, affidabilità e risparmio di risorse, ma allo stesso tempo ampliando il rischio di interruzione operativa. La superficie di attacco si espande notevolmente con l’aumento del grado di connettività e dipendenza dalle tecnologie, rendendo più facile per i criminali informatici trovare un punto d’accesso alla rete e spostarsi al suo interno. Va considerato inoltre che i sistemi di controllo di molte imprese sono stati progettati per uno scenario che non era complesso quanto quello attuale, e risultano obsoleti e poco efficaci. Processi di backup inefficienti e scorciatoie operative possono rendere ancora più rilevante l’impatto di un attacco cyber sulle business operations.
Dipendenti – Che sia per un atto doloso o per negligenza, i dipendenti rimangono una delle cause più comuni di violazione. Spesso non si rendono nemmeno conto dell’entità della minaccia che possono rappresentare per la sicurezza informatica dell’intera organizzazione. Le aziende sempre più frequentemente concedono ai loro dipendenti un maggiore accesso ai dati, per necessità (ad esempio nel caso degli amministratori di sistema) oppure pensando che la facilitazione dei flussi informativi renda il lavoro più agile, ma non sono pienamente consapevoli dei rischi che introducono. Inoltre, il cloud computing sta intensificando il problema dello Shadow IT, la pratica per cui alcuni dipartimenti o business unit implementano una tecnologia senza chiedere il consenso all’organizzazione IT centrale, perché utilizzare applicazioni o servizi cloud-based è più semplice e veloce che dover passare per le burocratiche richieste di nuove tecnologie alla capogruppo IT. Ovviamente, tali applicazioni sfuggono al controllo della cyber security. Dal momento che la tecnologia avrà un impatto sempre maggiore su ogni funzione lavorativa, dal CEO allo stagista entry-level, diventa obbligatorio per le aziende stabilire un approccio globale per ridurre i rischi interni, con una governance dei dati solida, una condivisione delle politiche di sicurezza informatica a tutta l’organizzazione e l’implementazione di controlli di accesso e di protezione dei dati efficaci.
Fusioni e acquisizioni – Il business delle M&A (Merger & Acquisition) ha raggiunto globalmente nel 2018 i 4 trilioni di dollari, il valore più alto degli ultimi quattro anni. Un settore fruttuoso, dunque, in espansione, con un grande dilemma alla base dal punto di vista del cyber risk: le aziende che acquisiscono o si fondono con altre società possono avere ben chiaro il proprio processo di gestione della sicurezza informatica, ma rischiano di non avere alcuna garanzia che l’altra parte in gioco abbia lo stesso orientamento. E con il processo di fusione, ne acquisiscono anche le vulnerabilità. Per questo i criminali informatici sempre più spesso prendono di mira le aziende che vengono acquisite da società più grandi nel periodo tra l’annuncio del deal e il closing dell’operazione. I professionisti che operano in prima linea nelle operazioni di M&A dovrebbero quindi essere pronti a prevedere specifiche policy di sicurezza informatica nei loro accordi per assicurarsi la buona riuscita dei deal.
Regolamentazione – La cyber security regulation è diventata virale: si moltiplicano su forum, siti specialistici o di agenzie governative, e anche nel mondo del business, diverse proposte, principi, regolamenti e standard. La velocità di applicazione delle leggi in ambito cyber è aumentata nel 2018, con controlli che non concedono più proroghe e multano chi non si dimostra compliant, ponendo le basi per un aumentato rischio di conformità nel 2019. Le imprese dovranno trovare il giusto equilibrio tra le nuove normative e le minacce informatiche in continua evoluzione, che richiederanno un controllo serrato su tutti i fronti.
Consigli di Amministrazione – Il presidio della sicurezza informatica è arrivato ad essere una priorità per i Consigli di Amministrazione e per il top management. Gli ultimi episodi di data breach hanno visto infatti un aumento delle responsabilità a loro carico, con casi in cui gli azionisti di aziende violate hanno fatto causa ai loro manager, imputando loro una responsabilità personale di mancata supervisione e inefficace valutazione e gestione del rischio. Secondo una survey condotta nel 2018 dal BDO Center for Corporate Governance and Financial Reporting, 3/4 dei Consigli di Amministrazione dichiara un maggior coinvolgimento nella sicurezza informatica rispetto all’anno precedente, con un innalzamento della soglia di attenzione per la gestione del rischio cyber, non solo intraprendendo azioni per riparare ai danni conseguenti un incidente informatico, ma anche nell’ambito di una preparazione e pianificazione proattiva della sicurezza informatica.
A cura di:
Chiara Zaccariotto
Office Manager ANRA e
Direttore Responsabile www.anra.it
(Articolo originariamente pubblicato sul numero di Maggio 2019 della Newsletter “Caffè Digitale” di TIG).