La cybersecurity è una delle priorità di quasi tutte le organizzazioni. Tuttavia, molte aziende rimangono vulnerabili perché la sicurezza delle informazioni non è sempre profondamente integrata nelle operazioni aziendali. Spesso le misure vengono prese solo a posteriori, ad esempio in caso di incidenti o sotto la pressione di nuove leggi e normative. Allo stesso tempo, vediamo che le organizzazioni che adottano un approccio proattivo e olistico hanno meno probabilità di incorrere in problemi gravi. In questo articolo mostriamo perché una visione integrale della cybersecurity è così importante, dove spesso si sbaglia nella pratica e come le aziende possono aumentare il loro livello di sicurezza in modo sostenibile.
Un esempio eloquente dei rischi della sicurezza ad hoc è la violazione dei dati di Equifax. nel 2017. Questo credit bureau statunitense ha perso i dati personali di milioni di clienti perché una vulnerabilità software nota non è stata risolta in tempo. Nonostante fossero state adottate misure tecnologiche (firewall, sistemi di rilevamento delle intrusioni), Le indagini hanno rivelato che la gestione delle patch e l’analisi dei rischi non erano sufficientemente integrate nei processi aziendali. L’organizzazione non sapeva esattamente dove fossero i sistemi vulnerabili e chi ne fosse responsabile.
L’incidente ha dimostrato che alcune soluzioni tecniche poco rigorose non forniscono garanzie quando non esiste una politica integrata. La mancanza di responsabilità, la scarsa comunicazione tra i reparti e l’insufficiente conoscenza dei dati critici hanno contribuito all’impatto di questa violazione dei dati. Il costo per Equifax è stato di centinaia di milioni di dollari e il danno alla reputazione è stato enorme.
Pensiero olistico sulla sicurezza
Una lezione tratta da questi incidenti è che la sicurezza richiede più di “soluzioni” tecniche come software antivirus, firewall o un test di penetrazione una tantum. Certo, queste tecnologie sono utili, ma devono essere integrate in un sistema in cui persone, processi e politiche sono perfettamente allineati.
- Molti incidenti si verificano a causa di errori umani: un clic disattento su un link di phishing, una configurazione errata nel cloud o un accesso non autorizzato agli account. La consapevolezza e la formazione continua sono quindi indispensabile. Questo va al di là di un programma di sensibilizzazione una tantum; richiede una cultura in cui i dipendenti osino segnalare gli incidenti e i quasi incidenti senza temere sanzioni.
- La sicurezza deve essere un punto all’ordine del giorno ricorrente: dallo sviluppo del prodotto alla selezione del fornitore, fino all’uso quotidiano dei sistemi. Ad esempio, integrare la gestione del rischio nei processi di cambiamento, in modo che non sia qualcosa da regolare “a posteriori”.
- Senza responsabilità chiare e una chiara divisione dei compiti, la cybersecurity rimane spesso bloccata nelle buone intenzioni. Pertanto, nominate un CISO o un responsabile della sicurezza con un mandato e una struttura di reporting chiari. In questo modo, i rischi e gli incidenti vengono presi in considerazione a livello di consiglio di amministrazione. Riunendo tutto questo in un unico quadro, la sicurezza non è un elemento di chiusura, ma una parte integrante della strategia e delle operazioni.
Il ruolo della legislazione
In Europa, l’attenzione legale sulla sicurezza digitale sta crescendo in modo significativo. Alcuni sviluppi chiave:
- Questo regolamento ha introdotto un quadro europeo per la certificazione di prodotti e servizi ICT. Le organizzazioni possono far valutare la sicurezza delle loro soluzioni, creando un mercato più trasparente.
- Questa legge sancisce il principio della “security by design” per tutto il ciclo di vita di hardware e software. I produttori e i venditori sono tenuti a correggere le vulnerabilità e a informare gli utenti.
- La direttiva NIS2 (Network and Information Security Directive), rafforzata, estende l’ambito di applicazione a un maggior numero di settori (tra cui l’energia, la sanità, i trasporti e i servizi digitali critici) e stabilisce, tra l’altro, requisiti più elevati per la segnalazione degli incidenti e la responsabilità dei dirigenti.
Questi regolamenti non solo forniscono alle organizzazioni ulteriori doveri, ma anche maggiori indicazioni. Tuttavia, chi si limita a “spuntare” i requisiti di legge scoprirà che l’asticella si alza sempre di più. Un’organizzazione che investe in una strategia di sicurezza integrata troverà più facile adattarsi ai nuovi requisiti e godrà della fiducia di clienti, fornitori e autorità di regolamentazione.
AI e dati: la prossima ondata di rischi L’intelligenza artificiale (AI) e l’analisi dei dati su larga scala portano nuove opportunità, ma anche nuove minacce e dilemmi etici.
- **I modelli di intelligenza artificiale sono validi quanto i dati su cui vengono addestrati. Quando i set di dati per il riconoscimento dei volti sono costituiti principalmente da immagini di determinate popolazioni, possono portare a un modello che difficilmente riconosce bene altri gruppi. Questo non è solo dannoso per gli individui interessati, ma può anche portare a danni alla reputazione e a conseguenze legali per l’organizzazione che impiega l’IA.
- **Sofisticati modelli di intelligenza artificiale possono generare video, audio o immagini realistici che fanno sembrare che gli individui dicano o facciano cose che non hanno mai avuto luogo. Questo fenomeno può essere utilizzato per frodi, ricatti o disinformazione a sfondo politico. Le organizzazioni farebbero bene a investire in strumenti di rilevamento e nella sensibilizzazione dei dipendenti, in modo da poter riconoscere tempestivamente i contenuti deepfake.
- **Gli attori malintenzionati possono manipolare i modelli di intelligenza artificiale alimentandoli con dati sottilmente manipolati. Ad esempio, le auto a guida autonoma possono essere “confuse” se un segnale di stop con piccoli adesivi viene riconosciuto come un altro segnale. Tali attacchi richiedono ulteriori controlli sui dati di input e la convalida periodica del modello.
- **L’IA si basa spesso su enormi quantità di dati (personali). Se questi non sono sufficientemente anonimizzati o memorizzati in modo errato, un hack o una configurazione errata possono portare a gravi violazioni della privacy. L’enfasi si basa quindi sulla classificazione dei dati, su un rigoroso controllo degli accessi e sulla crittografia. Una solida struttura di governance dei dati è quindi essenziale: definite quali dati raccogliete, dove vengono archiviati, chi ha accesso ad essi e quali misure di sicurezza necessario. Le organizzazioni che vogliono implementare l’IA senza adattare il proprio modello di sicurezza rischiano di subire nuove forme di attacco. La legislazione, come l’imminente legge sull’IA, richiede inoltre che alla trasparenza, alla spiegabilità e alla documentazione dei sistemi di intelligenza artificiale. Una visione olistica della sicurezza non è quindi un lusso, ma una necessità impellente.
Imparare dai settori altamente regolamentati
Nei settori in cui la sicurezza è letteralmente una questione di vita o di morte, come l’aviazione e la farmaceutica, un approccio integrato è stato fondamentale per decenni.
- Dalle liste di controllo pre-volo alla segnalazione degli incidenti, ogni fase è registrata in modo procedurale. Le liste di controllo non sono solo elenchi di spunte formali, ma strumenti con i quali è possibile eseguire passi cruciali per la sicurezza del volo. Le penne sono rese visibili e controllabili. Gli errori vengono individuati rapidamente e possono essere affrontati in modo sistematico.
- Il settore farmaceutico ha rigorosi requisiti di convalida per le apparecchiature e i processi (“Quality by Design”). Ogni anello della catena (dalla ricerca alla produzione) viene documentato e monitorati. In questo modo si crea una cultura in cui il miglioramento continuo e l’analisi approfondita dei rischi sono una cosa ovvia.
Questi settori dimostrano che regolamenti e liste di controllo rigide non sono necessariamente proibitivi. Al contrario: se utilizzate correttamente, aiutano a ridurre al minimo i rischi e gli errori in una fase iniziale. rilevare. La chiave è lavorare davvero nella pratica e imparare da essa, piuttosto che limitarsi a rispettare “ufficialmente” le regole. Questo principio - incorporare la sicurezza in tutti i livelli dell’organizzazione - si applica anche alla sicurezza informatica e delle informazioni.
Dalla conformità all’intrinseco sicurezza Come si fa a passare da un “minimo” a un “minimo”? conformità a una sicurezza intrinseca cultura? Alcuni punti di interesse:
- **Se il management considera la sicurezza principalmente come una voce di costo o una condizione preliminare, anche i dipendenti la percepiranno in questo modo. Solo quando il management chiarisce che la sicurezza è una priorità strategica e stanzia risorse (budget, persone, tempo) a tal fine, l’organizzazione avrà l’opportunità di fare veri passi avanti.
- **Iniziare a chiedersi: “Dove sono i nostri veri gioielli della corona?”. Concentrate la sicurezza sui dati, i processi e i sistemi che causano i danni maggiori in caso di perdita o uso improprio. In questo modo si evita di investire a casaccio in misure “casuali”. soluzioni.
- **Standard come la ISO 27001 e framework come il NIST CSF forniscono una struttura completa e aiutano a non trascurare nulla di importante. Il punto cruciale è che capire perché si spuntano determinate voci e in che modo ciò rende l’organizzazione più sicura. Considerate le liste di controllo come uno strumento, non come un fine in sé. Nei settori in cui la sicurezza è letteralmente una questione di vita o di morte, come quello dell’aviazione, una lista di controllo integrata è un’ottima soluzione. L’approccio è stato centrale per decenni. Dalle liste di controllo pre-volo alla segnalazione degli incidenti, ogni fase è definita in modo procedurale. In questo caso, le liste di controllo non sono solo elenchi di spunte formali, ma strumenti che rendono visibili e verificabili i passaggi cruciali. Gli errori vengono individuati rapidamente e possono essere affrontati sistematicamente.
- Superare l’insularità La sicurezza informatica non riguarda solo l’IT. Gli aspetti legali (contratti, conformità), le risorse umane (procedure di assunzione, formazione), le strutture (sicurezza fisica) e gli acquisti (gestione dei fornitori) svolgono tutti un ruolo. Create un gruppo di lavoro multidisciplinare o un comitato direttivo con ampia responsabilità per l’approccio integrato.
- Miglioramento continuo La sicurezza informatica non è mai “finita”. Creare un ciclo regolare di monitoraggio, valutazione, reporting e adeguamento. Effettuate analisi degli incidenti e delle tendenze per riconoscere i modelli. Questo ciclo “Plan-Do-Check-Act” si collega ai metodi di assicurazione della qualità e garantisce che non siate colti di sorpresa da nuove minacce o da normative in evoluzione.
La strada da percorrere
Molte organizzazioni intendono migliorare la propria sicurezza, ma faticano a tradurla in pratica quotidiana. In occasione di incidenti, come la violazione dei dati di Equifax o gli innumerevoli attacchi ransomware, si vedono Ogni volta abbiamo scoperto che mancavano uno o più aspetti cruciali: la proprietà, la comprensione dei dati preziosi, la disciplina dei processi o la consapevolezza dei dipendenti.
Nel frattempo, cresce la pressione esercitata da leggi e regolamenti, ma anche da clienti e partner di cooperazione che chiedono di garantire riservatezza e continuità. Ma c’è anche un rovescio della medaglia: chi adotta un approccio integrato e investe in persone, processi e tecnologie scoprirà che i requisiti di conformità sono più facili da soddisfare. Inoltre, si otterranno i vantaggi di una maggiore affidabilità e di un’immagine migliore.
La “cybersecurity olistica” può essere vista come un processo di miglioramento continuo, in cui si impara costantemente dagli errori, dalle nuove minacce e dalle intuizioni del settore. Osservando le lezioni apprese nell’aviazione e nel settore farmaceutico, ad esempio, o i rischi aggiuntivi introdotti dall’intelligenza artificiale, è possibile rafforzare la spina dorsale della propria organizzazione. In questo modo, eviterete che la sicurezza sia qualcosa che gestite solo “a posteriori” o “sulla carta” e la renderete un vero fattore di successo.
Questo articolo è stato pubblicato su Quality in Business. (pdf)