Manifatturiero, sanità, utilities, telco. L’ultimo rapporto Clusit parla chiaro, non c’è settore che non sia interessato da un attacco informatico. Nel 2022 l’incremento degli attacchi è stato del 160% e il manifatturiero è stato oggetto del 19% dei raid informatici, con un aumento anno su anno del 191%. Non solo, il costo medio stimato degli incidenti è di oltre 10.000 euro. Ma le conseguenze possono essere ben più pesanti: nel 18 % dei casi il danno economico è compreso tra i 50.000 e i 500.000 euro. Meglio correre ai ripari. Ma come? Che si tratti di manifatturiero, di energy & gas, di pubblica amministrazione, la musica non cambia: serve prevenzione, mettere in atto tutte quelle misure per attenuare e tendenzialmente azzerare i costi economici e di reputazione conseguenti un attacco. Mai però pensare che la tecnologia sia la panacea. Il paradigma della cybersecurity va capovolto: firewall, gateway, qualunque sia il concentrato cyber-tech installato in ambiente Ot ed It non sarà mai sufficiente a creare una vera resilienza. In assenza di una governance del rischio informatico la tecnologia è un vuoto a perdere. Serve una strategia di cybersecurity. E non può che partire da un’attenta risk analysis.
E’ questa la strada maestra che Txt ha voluto intraprendere per dare risposte concrete ed efficaci alle imprese che vogliono predisporre un piano operativo per reagire alle minacce informatiche. Riduzione delle superfici di attacco, segmentazione e compartimentazione delle reti, controllo dei privilegi di accesso, procedure di backup, disaster recovery. Sono tutte condizioni che servono a minimizzare e contenere gli effetti del malware, ma non possono e non devono essere disgiunte da una precisa strategia basata sulla gestione del rischio. Insomma, per Txt la tecnologia deve essere vista come l’elemento abilitante i processi di sicurezza di una strategia cyber-aziendale. Come impostarla? Occorre innanzitutto avere una profonda conoscenza degli standard internazionali e delle normative cogenti. Quindi, consulenza, individuazione delle priorità con attività di assessment, per comprendere il contesto specifico e orientare adeguatamente l’adozione degli standard indirizzando scelte architetturali e di sviluppo di soluzioni Ot e It. Ecco come il gruppo Txt intende supportare le aziende a realizzare una strategia di cyber-resilienza. TLogos e Hspi sono le anime consulenziali mentre le capacità di sw engineering e di system integration appartiene all’universo Txt e-tech, la società controllata al 100% dalla capogruppo Txt e-solutions. «Insieme permettono di strutturare processi, dare vita a strategie e soluzioni coerenti con lo specifico contesto aziendale in compliance alle normative. Un approccio alla sicurezza a 360 gradi, che intendiamo applicare nel manifatturiero, nell’industria dei servizi e nella pubblica amministrazione», dice Gianluca Crecco, managing della divisione industrial & automotive di Txt e-solutions.
«Nello scenario attuale, quasi il 60% delle aziende subisce una violazione dei dati. Ciò vuol dire che i criteri sinora adottati danno dunque luogo a una falsa sicurezza», afferma Corrado Pomodoro, practice information risk management di Hspi. Per sviluppare una difesa informatica, ridurre le minacce e la gravità degli attacchi, consentire una continuità operativa, occorre partire dall’analisi del rischio. «Studiamo le relazioni tra contesto d’impresa e normative/standard di riferimento al fine di modellare le minacce a cui il business è esposto ed individuare i rischi a cui occorre dare una risposta. Attività che servono nella definizione delle architetture Ot e It, nell’implementazione delle soluzioni e nello sviluppo di processi per una completa resilienza d’impresa», dice Davide Scalampa, manager di TLogos. Comprendere i rischi legati alla digitalizzazione, sviluppare la cultura del rischio, allineare le strategie e le politiche di sicurezza nei processi aziendali. E ancora, rispondere ad attacchi informatici sempre più mirati e sofisticati, aumentando la resilienza dell’organizzazione, determinare gli impatti potenziali sui processi/servizi aziendali e i requisiti di sicurezza delle informazioni, definire e gestire il sistema dei controlli interni, predisporre politiche di sicurezza reattive coerenti con obiettivi di business, rispettando il framework normativo. Ecco il manifesto di Txt e-tech per una data strategy della cybersecurity.
Una strategia cyber fondata su processi che derivano dall’interpretazione e assimilazione degli standard di settore
In Italia i più importanti riferimenti per la cybersecurity sono rappresentati dal framework nazionale per la cybersecurity, notoriamente basato sul cybersecurity framework del Nist, dalle misure minime di Agid, a loro volta basate sul framework del Cis (Critical Security Controls del Center for Internet Security, ex Sans-20), e dalla norma Iso/Iec 27001. Agli standard si affianca il quadro normativo, rappresentato dal Gdpr, dalla Direttiva Nis, dal Perimetro di Sicurezza Nazionale Cibernetica, dal Dora e altri importanti regolamenti per i diversi ambiti specifici in via di continuo affinamento. Analisi dei rischi, gestione degli incidenti, continuità operativa, backup e ripristino servizi in caso di disastro informatico, strategie e procedure per valutare l’efficacia delle misure di gestione dei rischi di cybersicurezza, politiche e procedure relative all’uso della crittografia e al controllo degli accessi. In definitiva, gli obiettivi degli standard sono rappresentati dalla prevenzione del rischio e dalle misure tecnico-organizzative per limitare accadimento e impatto delle minacce informatiche. Normative e disposizioni per una strategia cyber che vanno declinate e interpretate al singolo contesto d’impresa. Come dire, gli standard, Nist e altri, costituiscono l’input per mettere a punto una roadmap di cybersecurity. Quindi, risk analysis, assessment, definizione di processi e di responsabilità.
Infine, l’architettura e la tecnologia a supporto della strategia, con una serie di priorità di intervento – a bassa, media, alta intensità – in funzione di quelli che sono gli obiettivi aziendali. Responsabilità, una questione cruciale. «E’ vero, l’affermazione dell’Industrial Iot e il proliferare di macchine connesse, con flussi dati bidirezionali, verso l’alto e verso il basso, dallo shop floor al cloud, segna la definitiva convergenza tra Ot e It, ma sono poche quelle aziende che al proprio interno hanno una visione a 360 gradi delle implicazioni che comporta questa integrazione», dice Giuseppe Acunzo, product manager sicurezza Iot di Txt e-tech. Operation e It manager, a chi spetta la governance della security? I dipartimenti It e Ot, e ancor di più quelli Operation e Security, sono spesso separati in casa. Un limite, che deve essere superato. «Il nostro obiettivo è aiutare le aziende ad avere una strategia e una roadmap alla cybersecurity, assegnando delle priorità, afferma Pomodoro. Dove parto, cosa faccio? Le risposte nascono da un’attenta mappatura degli asset. Una volta consapevoli delle vulnerabilità e dei conseguenti impatti che può avere un attacco informatico, la lista degli interventi su cui iniziare a porre l’attenzione viene semplificata. Certo, Non si può pensare di fare tutto in pochi mesi. Generalmente si tratta di definire dei piani a breve, medio e lungo termine. La cybersecurity è un viaggio verso una precisa destinazione, la resilienza aziendale. E la nostra proposta va proprio in questa direzione».
Assessment, l’attività preliminare per la pianificazione di una strategia cyber a supporto della resilienza aziendale
«L’assessment è una tipica attività per produrre una diagnosi, un processo preliminare per orientare i clienti nella definizione delle misure di contrasto al cybercrime, dice Scalampa. Possiamo intervenire anche su richieste specifiche. Per esempio, aiutare le aziende a sopravvivere ad attacchi ransomware. In questo caso stabiliamo un piano operativo che si traduce poi in un processo cyber. Si parte dai fondamentali, dalla protezione, dalle procedure di backup». E poi soluzioni abilitanti processi di identity access management e data protection. «Siamo specializzati nella cifratura del dato, il che vuol dire che in caso di un data breach, di un furto di dati, le informazioni non sono utilizzabili dagli attaccanti, aggiunge Scalampa. Il supporto si estende inoltre alla technology selection con individuazione delle tecnologie best of breed per implementare una specifica soluzione».
Il rischio cyber non è un problema della sola organizzazione IT. La necessità di un approccio olistico e di un commitment da parte del vertice aziendale
Le minacce informatiche costituiscono un pericolo che può avere un impatto sui partner commerciali, sui fornitori, sui dipendenti e sui clienti. Ecco, quindi, che la consulenza e l’attività di assessment prevede l’identificazione e monitoraggio dei possibili scenari di rischio, la valutazione dei potenziali impatti e l’introduzione di opportune azioni di mitigazione. Un processo che ha l’obiettivo di indirizzare le scelte strategiche, gli investimenti e l’operatività del day-by-day di contrasto alle minacce. «Sono ancora poche le aziende non regolamentate (e talvolta anche quelle regolamentate) che hanno dato vita a un processo di risk management aziendale integrato, dice Pomodoro. Nella maggior parte dei casi la cybersicurezza viene considerata un problema di pertinenza della sola organizzazione It. Sbagliato, poiché il rischio IT è a tutti gli effetti un rischio operativo, ed impone che tutti prendano coscienza della severità delle minacce, in primis i vertici aziendali».
Introdurre tecniche di valutazione del rischio in termini economici, e comprendere l’effettivo valore che l’attività di mitigazione cyber può generare, può quindi contribuire ad avere un coinvolgimento da parte di tutte le componenti aziendali. E sembra che le aziende si stiano ormai muovendo in questa direzione: nell’ultimo anno si stima che il 32% delle imprese abbia integrato un processo di assessment con valutazioni di natura economica- finanziaria, una best practice che semplifica la scelta degli investimenti.
Tecnologie e soluzioni per un monitoraggio continuo della resilienza cyber. La collaborazione con Armis
“Non si può proteggere ciò che non si conosce”, sostiene Acunzo; nasce da qui la collaborazione di Txt e-tech con Armis, la società che ha sviluppato un potente motore di discovery passivo e agentless degli asset che agisce inoltre come “orchestratore” di tutto l’ecosistema di soluzioni differenti presenti in azienda grazie alle numerosissime integrazioni, per la rilevazione dei rischi, la risposta ad eventuali attacchi e un monitoraggio continuo dello stato di sicurezza dell’intera infrastruttura. La trasformazione digitale ha alterato il modo in cui le organizzazioni interagiscono con l’esterno. Le minacce informatiche diventano endemiche ed è sempre più difficile contrastare il malware che può compromettere il business aziendale.
«La valutazione del rischio cyber è una prassi complessa in un contesto in continuo movimento come quello della digitalizzazione, dice Pomodoro. Il faro guida per una roadmap della sicurezza sono gli standard, ne esistono tantissimi. Contribuiscono allo sviluppo di policy aziendali, ma serve capire come interpretarli e adattarli alla singola realtà». Governance e analisi del rischio, quindi, per esprimere obiettivi di sicurezza coerenti con il business aziendale. Quali le vulnerabilità? Quali le conseguenze di una mancata messa in sicurezza dei dati? «La sicurezza non è uguale per tutti. Le dimensioni del rischio informatico sono innumerevoli. Molto spesso ci si sofferma sulla vulnerabilità del server, manca la patch, non si è fatto il backup. Spesso non esistono policy consolidate. Si improvvisa, ma l’improvvisazione è per definizione insufficiente. Non serve fare remediation delle vulnerabilità tecnologiche una tantum, servono strumenti che monitorino i cambiamenti e automatizzino gli aggiornamenti poiché la sicurezza è un’attività incrementale, che deve essere allineata alla capacità di attacco dell’industria del crimine», afferma Scalampa. Come dire, nelle aziende il focus è sulla produttività, ma poca attenzione viene data alla gestione del rischio, che vuol dire resilienza.
