Continui attacchi informatici: coinvolgere i business leader per la nuova normalità

“La verità è che nessuna azienda può difendersi da tutto, anche se esistessero le risorse per sostenere un simile sforzo. Ai leader serve un nuovo approccio”.

Le frodi e i furti in ambito aziendale rappresentano le nuove minacce, e oggi le organizzazioni devono difendersi da avversari digitali ben finanziati e altamente motivati. Le regole della cyber defense sono decisamente cambiate. Gli executive devono conoscere il livello di esposizione delle proprie organizzazioni e adottare le opportune misure per definire una strategia di sicurezza olistica end-to-end in grado di proteggere gli asset più importanti e l’operatività aziendale. Per iniziare, è necessario allineare le priorità strategiche e di business alla sicurezza informatica.

Le organizzazioni devono affrontare un’ondata di crimini informaticiPerdite inattese. Strategie compromesse. Danni per i brand. Gli attacchi informatici possono compromettere rapidamente l’abilità di un’azienda di creare valore—e la loro frequenza, la portata e il grado di sofisticatezza continuano ad aumentare. Lo scorso anno il numero degli attacchi informatici contro le grandi imprese è aumentato del 40% e sono state colpite cinque aziende su sei tra quelle con un organico superiore ai 2.500 dipendenti.1 Gli aggressori stanno attualmente guadagnando terreno nella battaglia per i dati delle compagnie. Le barriere all’ingresso sono inefficaci; con un investimento ridotto e un rischio minimo, per gli avversari non è mai stato più facile o più redditizio trarre profitto dalle proprie azioni. Inoltre, i ladri informatici che operano a livello transnazionale raramente vengono perseguiti. “Gli aggressori continuano ad evolversi, i loro obiettivi ad espandersi e le loro tecniche a cambiare, ma il punto centrale è rimasto lo stesso: troppe organizzazioni non sono preparate alla inevitabile violazione, consentendo così agli aggressori di trattenersi fin troppo a lungo in ambienti compromessi.“2

Le strategie di cyber defense delle organizzazioni non sono al passo con il nuovo scenario tecnologico Nel mondo di oggi, la connettività globale consente alle organizzazioni di ridurre le distanze geografiche, superare i confini e stabilire collegamenti in tempo reale. Ma ogni rivoluzione ha le sue vittime, e una vittima dell’era della connessione 24/7 è la tranquillità, quella che un tempo le aziende avevano in merito alla sicurezza dei loro asset più importanti. Mentre una volta la prima linea della sicurezza era una porta chiusa a chiave e un team di sicurezza sul posto, oggi l’attacco viene portato direttamente al cuore dell’infrastruttura tecnologica di un’azienda. Gli hacker possono sfruttare le iniziative dell’azienda incentrate sulle tecnologie emergenti, come il cloud, gli analytics, le comunicazioni mobili e Internet of Things (IoT) per entrare, del tutto inosservati, nelle aree più sensibili dell’organizzazione e studiarle.

I leaders che hanno scarsa familiarità con i dettagli specifici sulla pervasività della cyber defense potrebbero non essere in grado di riconoscere le lacune presenti nelle loro strategie di digital security. È semplice: Gli enti normativi e altre agenzie governative richiedono la conformità a regole specifiche, finalizzate a soddisfare standard di sicurezza di base, mettendo a tacere chi è a favore di un approccio dinamico alla gestione del rischio informatico. Un tempo la cyber security faceva parte di un business in cui soddisfare il minimo comune denominatore era una pratica di gestione accettabile. Le aziende hanno ben presto compreso che superare le valutazioni di conformità non equivale a garantire la sicurezza dei dati.

Allo stesso modo, una strategia focalizzata sull’acquisto dei prodotti e delle applicazioni add-on di sicurezza più recenti può esaurire rapidamente il budget senza migliorare in modo significativo le scelte di difesa.

@AccentureSecure 2

Per essere tranquilli i dirigenti dovrebbero seguire questi tre approcci in modo da abbassare il rischio a un livello gestibile:

Impegnarsi attivamente per rendere l’azienda più sicura

Rafforzare la collaborazione tra azienda e responsabili della sicurezza

Mantenere sempre dinamiche le difese aziendali

1

3

www.accenture.com/cyberdefense

2

3

Una solida cyber defense richiede l’interazione tra gli stakeholder, la funzione di gestione dei rischi e il team responsabile della security per sviluppare un rapporto autentico che richieda a tutti i dipendenti di assumersi la responsabilità della sicurezza. Proprio come l’agilità e la gestione totale della qualità favoriscono l’efficienza e i risparmi sui costi nel ciclo di vita dei prodotti, così anche la sicurezza richiede un approccio simile per dare priorità a questa sfida all’interno dell’organizzazione.

Alcune aziende assumono involontariamente e inconsapevolmente un comportamento deleterio per la sicurezza, soprattutto nei casi in cui non vengono comprese le più ampie responsabilità e il ruolo che l’organizzazione ha nel proteggere se stessa. La probabilità di rilevare ed eliminare le minacce informatiche si riduce notevolmente se l’azienda non si interfaccia in modo efficace con il team della sicurezza. Alcune sfide tipiche:

• Il team della sicurezza non ha un accesso soddisfacente al top management. La maggior parte delle aziende riconosce che la digital security è un punto importante all’ordine del giorno, ma in molti casi il Chief Information Security Officer (CISO) non ha accesso ai livelli superiori. Più della metà (54%) dei decision maker nell’ambito della sicurezza afferma che nella loro azienda la sicurezza e il rischio sono ancora principalmente focalizzati sulla tecnologia, e una percentuale simile riferisce che il CISO continua a dipendere dalla funzione IT (55%).3 Di conseguenza, la maggior parte di questi dirigenti si concentra sulla tecnologia, anziché sulla sicurezza vista da una prospettiva olistica basata sul business.

• I dipendenti non vengono coinvolti nei problemi di sicurezza. Un altro studio ha rilevato che il 62% dei professionisti della sicurezza ritiene che i dipendenti non si preoccupino della sicurezza al punto di modificare i loro comportamenti.4 La capacità di esprimere al meglio l’importanza della sicurezza e di farlo in modo coinvolgente parte dall’alto. Un metodo efficace per coinvolgere gli utenti è la gamification che offre ai dipendenti incentivi e benefici. Questo strumento può rivelarsi efficace se l’organizzazione predispone e applica anche solide policy di responsabilità e sviluppa strumenti di reporting semplici e intuitivi.

• Non c’è chiarezza riguardo a chi “possiede” i sistemi sotto attacco. I business team cercano di soddisfare le richieste dei clienti; questi team hanno un approccio agile e imprenditoriale e creano continuamente nuove applicazioni e archivi di dati. Quando viene sferrato un attacco, il security team deve sapere chi “possiede” il sistema compromesso e il suo grado di criticità per l’azienda per poter coordinare una risposta efficace. Molte aziende non hanno immediatamente disponibili queste informazioni a causa della mancanza di collaborazione con la security e questo rallenta l’azione e riduce l’efficacia della risposta.

Impegnarsi attivamente per rendere l’azienda più sicura 1

@AccentureSecure 4

I leader devono adottare misure che garantiscano la capacità dell’organizzazione di prevenire, rilevare e rispondere alle minacce presenti e future. Anziché affidarsi a un team di sicurezza che “faccia pulizia” dopo una violazione, le organizzazioni devono tener conto delle potenziali minacce informatiche nell’ambito del processo decisionale. Molti veterani della cyber defense si rendono conto che molte aziende si affidano frequentemente alla provvidenza; ma come tutti sanno, la speranza non è una strategia. I leader più avveduti, invece, scelgono misure proattive per allineare le esigenze commerciali dell’azienda ai requisiti di difesa del team della cyber security, dando vita a una proficua collaborazione in grado di occuparsi della gestione del business, della sicurezza e dei rischi. Questo tipo di interazione si basa su quattro fattori:

• Mantenere il tema della sicurezza all’ordine del giorno. Se le organizzazioni sono in grado di operare in base al principio della “presunzione di violazione”, riconoscendo che un hacker prima o poi bucherà la rete, la visione della corretta strategia di sicurezza da adottare diventa molto precisa. La disponibilità di una strategia e di difese valide è un fattore chiave alla base della resilienza di un’azienda e della fiducia nel marchio. Accenture insieme al Ponemon Institute, un centro di ricerca indipendente specializzato nella valutazione delle tendenze e delle best practice in ambito di sicurezza, ha realizzato uno studio mirato a identificare le principali caratteristiche necessarie per migliorare l’efficacia della sicurezza. Lo studio suggerisce che un approccio focalizzato sull’innovazione e sulla strategia di difesa è il fattore che distingue le organizzazioni leader da quelle in ritardo sui temi della security.5 Le prime abbracciano e implementano nuove idee, sviluppano strategie di sicurezza ufficialmente autorizzate, fanno della information security una priorità aziendale e, cosa importante, rendono i dipendenti pienamente consapevoli dei requisiti della sicurezza.

• Riconoscerelacomplessitàdellasfida. Le organizzazioni migliori considerano la gestione del rischio in termini dinamici, dando priorità alla protezione delle informazioni critiche e sapendo che i costi potrebbero aumentare significativamente in futuro. È importante stabilire dove collocare l’asticella per quanto riguarda la tolleranza delle perdite. Parte della sfida è riconoscere la complessità dei ruoli; l’organizzazione ha obiettivi di fatturato e di altro tipo, mentre il team responsabile della sicurezza ha una serie di obiettivi propri. Gli scopi possono anche essere diversi, ma l’obiettivo finale di ciascun gruppo deve comunque essere il successo dell’azienda.

• Collaborareperidentificareidaticriticidell’organizzazione. Non tutti i rischi possono essere attenuati, ma certamente possono diventare più gestibili adottando un criterio che stabilisce il livello di urgenza. La maggior parte delle aziende è in grado di individuare i principali rischi conseguenti in una piccola percentuale delle loro reti—a cui poi applicare un maggiore livello di protezione. Stabilendo il livello di gravità e assegnando la priorità a ciò che è veramente critico, un’organizzazione può ridurre gran parte del rischio e contrastare la linea dell’avversario. Inoltre, dal punto di vista della gestione dei dati, le organizzazioni dovrebbero industrializzare i processi, come parte di un ciclo continuo, per eliminare, razionalizzare o crittografare con cadenza regolare le informazioni datate e non critiche.

• Far evolvere la cultura aziendale per attrarre e trattenere i migliori talenti nel campo della sicurezza. Ora che la digital security è al centro dell’attenzione, la ricerca dei migliori talenti è più intensa che mai e le aziende si danno battaglia per aggiudicarsi i migliori professionisti. Sempre più organizzazioni stanno valutando le tradizionali linee guida che disciplinano le assunzioni per attirare e trattenere i “millennials” con le competenze giuste. Oggi i talenti nell’ambito della sicurezza desiderano ruoli stimolanti e la possibilità di sviluppare costantemente nuove competenze tecnologiche. Le organizzazioni incapaci di offrire queste opportunità professionali dovranno affrontare sforzi e costi di reclutamento maggiori. Considerare in modo proattivo il pool di talenti; collaborare con le università per preparare figure professionali di rilievo nell’ambito della cyber security e cercare competenze al di fuori dei canali tradizionali.

Rafforzarelacollaborazionetraaziendaeresponsabili della sicurezza 2

“I volumi sono importanti; per capitalizzare sulle informazioni PII [personally identifiable information], i criminali informatici cercano di sottrarre il maggior numero possibile di file dei clienti. Gli hacker scelgono con attenzione le loro vittime: ne studiano il business, si informano sulle relazioni con i partner e testano i loro punti di debolezza e le vulnerabilità”.6

www.accenture.com/cyberdefense5

“I singoli hacker e gruppi criminali organizzati stanno utilizzando tecniche all’avanguardia per infettare centinaia di migliaia, a volte milioni di computer causando perdite finanziarie enormi, e diventando contemporaneamente sempre più difficili da identificare”.7

La storia della cyber defense è interessante, ma cosa possono fare i leader per migliorare la sicurezza dei dati aziendali? Concentrarsi sullo sviluppo di difese attive a livello dell’intera organizzazione:

Testare incessantemente i sistemi di difesa. Un modo per diventare più resilienti è la preparazione continua, come fa un atleta professionista. I pugili che si allenano esclusivamente al sacco non avranno la minima chance contro un avversario vero. Allo stesso modo, un’azienda totalmente concentrata sulle difese convenzionali sarà una preda facile per i criminali informatici sempre più aggressivi del giorno d’oggi.

Le organizzazioni più moderne nella cyber defense testano le proprie soluzioni con “sparring partner” che dispongono di competenze e tecnologie del tutto simili a quelle degli hacker, ma senza l’intento doloso. Le organizzazioni che si impegnano costantemente in sessioni che simulano gli attacchi informatici, traggono vantaggio dal ciclo di feedback generato da tali pratiche, sviluppando una reale comprensione della capacità con cui l’azienda rileva, neutralizza e risponde agli attacchi. In questo modo si impara dagli errori senza dover affrontare gli effetti catastrofici di un attacco vero e proprio.

Cercare entro il perimetro delle difese aziendali. Quando i leader ritengono che l’azienda sia già compromessa, allora riescono a trovano metodi migliori per cercare incessantemente gli intrusi in tutte le aree dell’organizzazione. Progettano architetture di sicurezza e processi aziendali per le tecnologie emergenti e scandagliano i sistemi in modo proattivo per anticipare al meglio gli attacchi e ridurre significativamente i tempi di individuazione delle minacce—anziché attendere una segnalazione statica di rischio di attacco, che con ogni probabilità giungerà quando sarà troppo tardi per ridurre al minimo l’impatto.

Migliorarel’efficaciadellarisposta. Attraverso l’esercitazione costante con un partner esperto nella valutazione della sicurezza— sperimentando le stesse tattiche degli avversari—l’azienda imparerà a tenere sempre alta la guardia. Maggiore è il tempo che i contendenti passano sul ring, maggiore sarà il loro livello di sicurezza e di performance. Allo stesso modo le organizzazioni che si esercitano in modo ripetitivo e coerente sono in grado di minimizzare con più efficacia l’impatto di un evento. Affrontano gli avversari con maggiore determinazione e difendono attivamente l’azienda con interventi rapidi, incisivi e precisi. Maggiore è l’efficacia della risposta alle incursioni, maggiore è la capacità di mitigarne l’impatto.

Mantenere sempre dinamiche le difese aziendali 3

@AccentureSecure 6

Conclusioni

La frode e il furto non sono una novità, ma l’intensità, l’impatto e il grado di sofisticatezza che hanno raggiunto oggi gli attacchi rendono i crimini informatici un enorme pericolo per le aziende e gli enti governativi digitali. In un ambiente in continua evoluzione i leader hanno bisogno di soluzioni reali per migliorare la resilienza— iniziando con l’allineamento della sicurezza agli imperativi strategici.

Mettere in atto un piano operativo di cyber defense di 100 giorni

Una volta che l’azienda ha valutato i suoi punti di forza e le debolezze in materia di cyber defense, è indispensabile sviluppare un piano d’azione. Ciò implica saper valutare in quali ambiti investire e creare un sistema che stabilisca le priorità per gestire i problemi di sicurezza oggi e in futuro. Dopo aver eseguito le valutazioni, le organizzazioni possono impostare piani precisi di 100 e 365 giorni e trovare la spinta necessaria per realizzare i loro obiettivi di cyber defense.

www.accenture.com/cyberdefense7

Copyright © 2016 AccentureAll rights reserved.

Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

AutoriBill Phelps Managing Director, Global Security Services bill.phelps@accenture.com Twitter: @waphelps

Ryan LaSalle Managing Director, Security Growth & Strategy Lead ryan.m.lasalle@accenture.com Twitter: @labsguy

Kevin Richards Managing Director, North America Security Practice k.richards@accenture.com Twitter: @kevin_richards

Matt Devost Co-founder and CEO of FusionX matt.devost@accenture.com Twitter: @MattDevost

Steve Culp Senior Managing Director, Accenture Finance & Risk Services steven.r.culp@accenture.com Twitter: @steve_culp

David Smith Senior Managing Director, Talent & Organization david.y.smith@accenture.com

AccentureAccenture è un’azienda leader a livello globale nel settore dei servizi professionali, che fornisce una vasta gamma di servizi e soluzioni nei settori strategy, consulting, digital, technology e operations. Combinando un’esperienza unica e competenze specialistiche in più di 40 settori industriali e in tutte le funzioni aziendali - sostenuta dalla più ampia rete di delivery center a livello mondiale – Accenture opera all’intersezione tra business e tecnologia per aiutare i clienti a migliorare le proprie performance e creare valore sostenibile per i loro stakeholder. Con oltre 373.000 professionisti impegnati a servire i suoi clienti in più di 120 paesi, Accenture favorisce l’innovazione per migliorare il modo in cui il mondo vive e lavora. Visita: www.accenture.it – www.accenture.com

DISCLAIMER: Questo documento è inteso a fini di informazione generale e non prende in considerazione circostanze specifiche del lettore, e potrebbe non riflettere gli sviluppi più recenti. Accenture nega, nella misura massima consentita dalla legge applicabile, qualsiasi responsabilità per l’esattezza e la completezza delle informazioni contenute in questo documento e per qualsiasi atto o omissione fatta sulla base di queste informazioni. Accenture non fornisce servizi legali, di regolamentazione, di controllo, o di consulenza fiscale. I lettori sono responsabili di ottenere tali servizi dal proprio legale o da professionisti certificati.

I diritti su marchi menzionati nel presente documento, a parte i marchi Accenture, appartengono ai rispettivi proprietari. Decliniamo qualsiasi interesse di natura patrimoniale nei marchi e nomi di terzi.

Fonti1. Internet Security Threat Report, Volume 20, Symantec Corp.

http://www.symantec.com/security_response/publications/ threatreport.jsp

2. Mandiant, M-Trends 2015, A View from the Front Lines, 2014. https://www2.fireeye.com/rs/fireye/images/rpt-m-trends-2015.pdf

3. Forrester, “Evolve to Become the CISO of 2018 or Face Extinction,” August 14, 2015.

4. Clearswift survey of 4,000 employees and 500 decision makers in the UK, Germany, the US and Australia. http://www.tripwire.com/state- of-security/security-data-protection/cyber-security/one-third-of- employees-would-sell-corporate-information-for-the-right-price- reveals-clearswift-survey/

5. “The Cyber Security Leap: From Laggard to Leader,” Accenture and the Ponemon Institute

6. Forrester, The Cybercriminal’s Prize: Your Customer Data and Intellectual Property, Sept. 2, 2015

7. Source: Department of Justice, ASSURING Authority for Courts to Shut down Botnets, March 11, 2015. http://www.justice.gov/opa/ blog/assuring-authority-courts-shut-down-botnets