Quando il supporto di professionisti esperti può fare la differenza nella strategia di sicurezza aziendale
Se guardiamo al passato come Errevi System, non possiamo non notare quanto sia cambiato il nostro ruolo di consulenti in ambito Cyber Security. Fino a pochi anni fa, infatti, dovevamo investire molte energie nella sensibilizzazione delle aziende sul tema.
Oggi invece, volenti o nolenti, quasi tutte le aziende si sono rese conto che tutelare la sicurezza informatica deve essere una priorità per rispettare le normative e anche per evitare blocchi all'operatività aziendale.
La domanda che adesso ci sentiamo fare più spesso è: "Come faccio a garantire la sicurezza informatica della mia azienda?"
Purtroppo nessuna azienda è immune dal rischio di un attacco, le variabili sono tantissime e lo scenario è in continua evoluzione, per questo sottolineiamo sempre che è necessario un approccio strutturato che includa persone, processi e tecnologie e che preveda una strategia di prevenzione, ma anche una di reazione.
L’unione di queste due strategie può ridurre drasticamente le proporzioni di un potenziale disastro.
Risulta piuttosto complesso per la singola azienda implementare un approccio così strutturato, poiché per farlo è necessario impiegare personale altamente specializzato e tecnologie soggette a rapida obsolescenza. Pertanto appoggiarsi a una società di consulenza può fare la differenza.
Vediamo insieme tre motivi per cui l'esternalizzazione, anche parziale, della strategia di Cyber Security della tua azienda è raccomandabile.
#1 - Acquisire consapevolezza
Una corretta strategia contempla sempre una fase preliminare fondamentale, ossia l’assessment. Concorderai però che auto-valutarsi non è sempre semplice, per questo rivolgersi all'esterno può essere d’aiuto.
Una società specializzata potrà, con occhio esterno, elaborare una valutazione chiara e oggettiva dello stato dell’infrastruttura informatica e delle sue modalità di gestione e potrà identificare quindi eventuali vulnerabilità.
Una volta che la situazione di partenza sarà chiara e sarà altrettanto chiaro l'obiettivo da raggiungere, si potrà definire un piano di azione.
#2 - Avvalersi di professionisti con competenze adeguate (delle quali il mercato scarseggia)
Il cybercrime è operativo h24 per 365 giorni l'anno e la gamma dei rischi insiti ai progressi tecnologici è in continua evoluzione. Questo rende molto difficile trovare figure con competenze adeguate in ambito Cyber Security.
Secondo un'analisi di ISC² Foundation (Center for Cyber Safety and Education), entro la fine del 2022 ci sarà una carenza di 1.8 milioni di professionisti.
Se poi consideriamo che le competenze necessarie per garantire la sicurezza informatica sono numerose, è facile trarre la conclusione che difficilmente sarà sufficiente assumere un solo professionista, ma occorrerà un team, di almeno 5 persone, disponibile a lavorare su turni per garantire copertura del servizio 24/7 e soggette a continuo aggiornamento professionale.
Ecco allora che appoggiarsi a un fornitore può rappresentare una valida soluzione.
#3 - Applicare la segregation of duties
Abbiamo detto che la strategia deve includere sia attività di prevenzione che attività di reazione. Per chiarire:
-
- quando parliamo di prevenzione intendiamo tutto ciò che è volto a impedire il verificarsi dell'attacco;
- quando parliamo di reazione intendiamo tutto ciò che viene attuato per proteggersi da eventuali danni derivanti dall'attacco o comunque per ridurne l'entità.
Suddividere su più attori le competenze, i compiti e le responsabilità delle strategie di prevenzione e reazione renderà più sicura la tua strategia. Ci riferiamo al principio della "segregation of duties".
Se vuoi individuare le vulnerabilità della tua infrastruttura informatica, dovrai testarla, ma se il test lo fa chi l’ha progettata e la conosce non può certamente essere del tutto efficace. Appoggiarsi a dei servizi gestiti permette di delegare ad altri soggetti una parte dei compiti.
Nel documentarti sulla Cyber Security avrai probabilmente sentito parlare dell’attività di Red Team e Blue Team: si tratta di un perfetto esempio di segregation of duties. È infatti un'attività che serve a testare le capacità di difesa.
Come avviene? Una squadra di professionisti specializzati in hacking (definiti Red Team) evidenzia e cerca di sfruttare vulnerabilità infrastrutturali, eventuali comportamenti umani non corretti o procedure non implementate perfettamente. Al contempo una squadra di altri professionisti, che possono essere anche risorse interne all'azienda e che rappresentano il Blue Team, deve occuparsi di proteggere gli asset aziendali.
CONCLUSIONI
Per concludere ricordiamo che una strategia di Cyber Security è vincente soltanto se avvia un percorso di difesa in costante evoluzione e crea sapientemente un mix di tecnologie, processi aziendali e formazione di tutto il personale.
È quindi importante che il livello di esternalizzazione sia sempre modulabile e si adegui, nel tempo, alle esigenze della tua azienda.
Autore dell'articolo:
Sara Mattioli
LinkedIn
Sono in Errevi System dal 2007, tanti anni in cui l'azienda e con lei il mio ruolo sono stati in continua evoluzione, ma una cosa è rimasta invariata: la sensazione di essere parte di un progetto da cui si possono attingere competenze utilissime per tante realtà, unita al senso di urgenza derivante dal desiderio di diffonderle. Con questo blog vogliamo fare proprio questo: condividere competenze, esperienze, stimolare la riflessione e il confronto per supportare le aziende che vorranno seguirci.
