Strategie di sicurezza per le PMI

Nel corso dell’ultimo Cybertech (Roma,  26-27 di settembre), Omar Abbosh, Chief Strategy Officer di Accenture, ha fatti il punto sullo stato dell’arte e gli scenari futuri della cybersecurity.  Lo abbiamo intervistato perché entrasse maggiormente nel dettaglio delle pratiche da adottare, perché le PMI non sempre sono autonome ma questo non deve penalizzarle. L’analisi fornitaci parte da uno specifico punto di partenza: a fronte delle tecnologie che aumentano la superficie di attacco e causano problemi d’integrazione, si devono perseguire tre specifici obiettivi.

• Leadership orientata alla cooperazione, per elevare la cybersecurity al livello di tutti gli altri rischi operativi per l’azienda, considerando i dati dei clienti come una priorità essenziale.
• “Brilliant basics” come base d’approccio, implementando gli elementi base della protezione piuttosto che realizzare solo una compliance di facciata (ad esempio proteggendo tutta la value chain e implementando la segmentazione, l’isolamento ed altre tecniche di base).
• Innovazione come traino, dunque se gli attaccanti sono creativi non si dovrebbe smettere mai di selezionare e sperimentare nuove tecnologie per adottare le più adatte alla propria realtà.

Le PMI sono spesso gestite da A.d. non concentrati su problemi digitali e di sicurezza. Come guidarne mentalità verso il cambiamento?

La sicurezza costituisce il lavoro di tutti. Le mentalità degli amministratori delegati, così come degli altri dirigenti, è tale per cui sposteranno immediatamente le priorità alla sicurezza informatica se, e solo se, c’è un attacco. Ma allora è troppo tardi. I team di sicurezza devono ottenere dai loro leader un approccio preventivo della sicurezza.

Devono costruire ponti di comunicazione con loro ed affrontare la nota asimmetria intrinseca che sta fra i decisori e i tecnici. Spesso non si parla la stessa lingua, perché la maggior parte dei dirigenti ha argomentazioni a sfondo finanziario e non è un esperto in IT.

Inoltre, le metriche di sicurezza di “ieri” ovvero quei parametri di controllo della conformità basati su punteggi “alti, medi e bassi”, non sono rilevanti per consigliare i leader aziendali sullo stato di prontezza e reazione ad una emergenza di sicurezza informatica.

È necessario dotarsi di “use case” per parlare con i decisori utilizzando un contesto imprenditoriale significativo negli esempi, adottando la caratteristica della trasparenza e utilizzando sofisticate tabelle di punteggi che aiutino a cambiare la mentalità perché forniscono a chi guida l’azienda, un linguaggio più comprensibile ed importanti informazioni per capire e reagire.

Questo sforzo di comunicazione e presentazione dei dati consente loro di impegnarsi con la sicurezza informatica in modo molto simile a quello che sostengono, ad esempio, nella redditività delle grandi unità aziendali.

L’obiettivo è quello di convincere i leader ad impegnarsi per rendere la sicurezza informatica una priorità strategica e quando si aiuta a creare questa connessione, si possono attuare in modo proattivo le responsabilità fiduciarie perseguendo in modo persistente la responsabilità verso la cybersecurity.

Di solito le PMI operano con risorse minime. Cosa suggerire per scegliere le basi giuste?

Ottenere le basi giuste non è facile. Se lo fosse, non avremmo visto attacchi di vecchio tipo a rinnovato successo come WannaCry e Petya, oppure la maggior parte di questi avrebbero potuto essere evitati con “l’igiene di base di sicurezza” costituita dalla applicazione di patch.

Non vedremmo neanche una spesa così spettacolare per la sicurezza informatica, che peraltro continua a salire nonostante il problema peggiori, come risulta dalla ricerca Accenture sui costi del cybercrime, svolta in collaborazione con l’Istituto Ponemon, che ha evidenziato come le aziende italiane abbiano subíto un danno medio totale di crimini informatici pari a 6,73 milioni di dollari.

Attuare i “briallinat basics” significa rendere incredibilmente difficile il successo per gli attaccanti.

Le piccole e medie imprese possono guadagnare terreno contro gli attaccanti, in particolare dovrebbero:

– Condurre test di pressione estrema e essere brutalmente onesti su dove sei e dove dovrai essere.
– Utilizzare autenticazione multifattore e una forte segmentazione.
– Misurare la sicurezza con metriche di business nuove e più strategiche, non metriche IT.
– Proteggere i gioielli della corona e i collegamenti più deboli … e se la protezione non riesce, conoscere le conseguenze e i costi per il business.
– Andare oltre l’ambiente IT e OT per proteggere l’intera catena del valore end-to-end.
– Assicurarsi che il team di leadership non si accontenti mai della sola conformità che sostanzialmente significa “siamo finiti”.

Non tutte le PMI possono sviluppare un laboratorio di ricerca interno per sperimentare nuove tecnologie. La risposta può essere quella di affidarsi ad un servizio esterno?

Nella sicurezza, non c’è bisogno far tutto da soli. Le innovazioni si stanno evolvendo in un ecosistema globale e multidisciplinare. La comunità di security può costituire l’inizio di un percorso eccellente verso l’innovazione e l’incubazione.

Le aziende dovrebbero concentrarsi sulla creazione di propri ecosistemi di sicurezza e scegliere con attenzione i fornitori, i partner, i laboratori di innovazione, ecc. Se si tenta di operare in un singolo ambito della sicurezza, si potrebbero dimenticare le funzionalità cyber più promettenti del mercato.

L’inserimento e aiuto di un innovation partner esterno o di un laboratorio di cyberecurity può essere un modo molto economico per aiutare la propria azienda a maturare notevolmente il programma interno di sicurezza informatica.

In materia di cybersecurity. per le PMI l’approccio a servizio funziona. Ma sarebbe meglio avviare competenze basilari in casa?

Se un’azienda mantiene la sicurezza in-house e sfrutta un partner solo tecnologico per gestire le proprie operazioni di sicurezza o utilizza una combinazione di questi due approcci, troppo spesso si ritrova in una situazione costosa a causa della quantità di soluzioni puntuali che non sono integrate e non adattate all’industria o all’azienda. Quindi indipendentemente se si è un’organizzazione piccola, media e grande, la decisione è fondamentale.

Il trucco è trovare i professionisti della sicurezza – che abbiano esperienza nel proprio settore – che possono scalare secondo esigenze (si parla di security as service n.d.r.), integrando con l’adozione di tutte e sole quelle tecnologie che proteggeranno la propria attività end-to-end.

È inoltre importante ricordare che non è necessario prendere al buio decisioni importanti di spesa su chi gestirà le proprie operazioni. Le valutazioni rigorose devono essere effettuate utilizzando use-case quantitativamente validi che aiuteranno nella presa di decisioni di tipo strategico, ma sulla base di dati ben formati e di numeri precisi, in modo da spendere le giuste quantità sugli obiettivi corretti (persone, tecnologie, governance, modelli operativi, ecc.)