La via della sostenibilità nella cybersecurity

Ormai tutte le aziende devono farci i conti, ma sono soprattutto microimprese, PMI e PA a dover tenere in considerazione il Total cost of ownership della sicurezza, premiando un approccio interdisciplinare.

Le spese dirette e indirette di un attacco cyber sono in costante crescita. Per il mantenimento delle misure di difesa, le aziende si sono trovate a dover fronteggiare un problema composto da differenti variabili: tecnologie, rischio cyber, competenze necessarie e costi di gestione. In altre parole, come rimanere sicuri ossia proteggere i dati e la missione d’impresa, attingendo a tecnologie sostenibili aziendalmente e a competenze recuperabili dal mercato o disponibili internamente, e, al contempo, tenere sotto controllo il rischio cyber e gli investimenti in cybersicurezza.

“In tempi di crescente incertezza economica e politica, la principale questione di qualsiasi business, in particolare di quelli medio piccoli, ma anche delle microimprese è come mantenere sostenibile la cybersecurity a fronte della necessità di trasformazione digitale, di una incrementale aggressività del cybercrime e della crescente fragilità del business”, spiega Enrico Frumento, cybersecurity senior domain expert di Cefriel.

Nei fatti, il cybercrime ha raggiunto livelli di complessità e rischio del tutto nuovi. Ogni azienda che voglia attenuare il rischio associato a queste crescenti minacce ha bisogno di attivarsi. Allo stesso tempo, però, occorre far sì che la cybersecurity sia ‘sostenibile’, non in termini energivori e non soltanto in termini economici, ma anche di tecnologie, processi, persone e, soprattutto, in termini di conoscenze. A seguito di queste considerazioni si parla insistentemente di interdisciplinarità e di terziarietà nella cybersecurity, entrambe caratteristiche che sono nel DNA di Cefriel. Grazie al nostro particolare ruolo di centro di innovazione not-for-profit, in questo articolo affrontiamo quindi il tema della sostenibilità della cybersecurity.

Nuove strategie di difesa, un tema per tutti

La recente pandemia ha accelerato una nuova ondata di cambiamenti tecnologici ed economici dirompenti, con diverse conseguenze, dirette e indirette di lunga durata, sia sugli ecosistemi economici, sui mercati e sulle PA, che sulle Tattiche, Tecniche e Procedure (TTPs) della criminalità informatica. Questo, anche grazie al crescente stato di tensione internazionale attuale, ha messo a dura prova la sicurezza informatica, a causa del moltiplicarsi degli obiettivi vulnerabili: dalle organizzazioni precedentemente non interessanti per gli attaccanti e ai lavoratori operanti al di fuori delle aree protette dell’organizzazione, per esempio da casa, che utilizzano e scambiano risorse digitali più frequentemente.

In questo quadro generale, le organizzazioni, siano esse micro, medie o piccole imprese o la Pubblica Amministrazione, devono considerare nuove strategie di difesa efficienti e soprattutto sostenibili. Oggigiorno, infatti, le PMI e le PA, già sotto pressione economica, ‘forzate’ a progredire rapidamente lungo l’agenda di trasformazione digitale, devono fare i conti anche con il nuovo crimine informatico attivo come mai in precedenza. Parallelamente anche il cybercrime, un’industria economicamente florida, evolve rapidamente introducendo nuove e automatizzate tecniche di attacco.

In questo quadro complesso diventa quindi fondamentale affrontare il tema della sostenibilità: le risorse, non solo economiche, da dedicare alla crescita e alla difesa sono limitate e occorre ottimizzarle per mantenere l’integrità aziendale e tenere sotto controllo il rischio cyber e le spese. In questo scenario complesso, formato da contrapposte esigenze, Cefriel affronta, grazie anche al suo particolare ruolo di centro di innovazione not-for-profit, il tema della sostenibilità della cybersecurity.

La sostenibilità della cybersecurity per PMI e PA

Le aziende altamente innovative sono spesso le prime ad adottare nuove tecnologie ICT e quindi le prime a doversi assicurare misure di sicurezza informatica all’avanguardia. Questo bisogno viene sempre più influenzato dalla crescente complessità della cybersecurity, intesa come l’insieme di tutti i processi necessari al mantenimento della sicurezza aziendale e alla mitigazione del rischio cyber. La cybersecurity è oggi un processo complesso, critico per le aziende, che richiede conoscenze di dettaglio, il più possibile senza polarizzazioni rispetto all’offerta di mercato.

Uno dei primi effetti collaterali del COVID-19 è stata l’accelerazione della cosiddetta agenda di trasformazione digitale per quasi tutti i settori commerciali, compresi anche quelli precedentemente più conservatori, come l’edilizia. L’aumento del numero di dipendenti in smart working, la loro delocalizzazione, e la trasformazione del perimetro di difesa dell’organizzazione sono solo tre delle conseguenze più evidenti.

Un’altra importante conseguenza è il cambiamento delle dinamiche nelle supply-chain a causa dell’interruzione nei sistemi di approvvigionamento sia in conseguenza dei lockdown dovuti al COVID-19, sia più recentemente per via del conflitto russo-ucraino. Questi effetti combinati (lavoro smart, filiere più corte e più resilienti insieme all’incertezza geopolitica) interessano lmicro, piccole e medie imprese, che si sono trovate ad accelerare sul fronte della loro trasformazione digitale e quindi facendole diventare più interessanti per la criminalità informatica .

Allo stesso tempo, la crescente crisi economica ha portato le organizzazioni e in particolare le PMI a prestare maggiore attenzione a tutti gli investimenti. Oggi micro, piccole e medie imprese, insieme anche alla PA, sono soggette a diversi fenomeni (dalla guerra russo-ucraina, alla maggiore competitività del mercato, dallo smartworking dovuto al COVID-19 all’inserimento in nuove supply chain ‘più resilienti’) che le portano ad avere una rinnovata esposizione al cybercrime, modificando, generalmente in peggio, la loro ‘cybersecurity posture’, ossia lo stato di esposizione generale al rischio cyber dell’azienda.

Un sondaggio pubblicato nell’agosto 2020 da ISSA in collaborazione con ESG riporta che, mentre il 25% delle PMI riteneva che le proprie organizzazioni sarebbero state costrette a ridurre la spesa per la sicurezza per il 2022, il 30% affermava che la sicurezza informatica sarebbe stata la loro principale priorità. Nonostante questo, però, secondo un recente rapporto sullo stato di digitalizzazione delle PMI in Italia, circa il 40% delle imprese italiane sembra aver fatto investimenti molto modesti nelle tecnologie digitali. Senza contare che, a tutto questo, va aggiunto l’altro grosso nodo della trasformazione di business e servizi digitali derivanti dal Green Deal europeo.

Oggi più che mai occorre considerare la sicurezza informatica come una decisione di business, per esempio guidata da una corretta stima rischi-benefici e valutando bene tutti gli impatti di una decisione. Non si tratta quindi della semplice acquisizione di uno strumento di difesa, ma di bilanciare i processi legati alla sicurezza informatica con la reale capacità operativa delle PMI, una capacità che emerge da fattori di tempo, preparazione del personale, ritorni economici, tecnologie a disposizione e ‘cyber posture’. La sostenibilità in questo contesto è quindi intesa non solo come sostenibilità ambientale, ma come il risultato di differenti driver, tutti legati fra loro dal concetto di Total Cost of Ownership della cybersecurity (vedi Figura sotto).

In sintesi, la sostenibilità della cybersecurity comporta una visione olistica del problema che necessita di un approccio multidisciplinare, neutro rispetto alle logiche di mercato ed innovativo.

Come si vede in figura, il Total cost of ownership nella sicurezza informatica è composto da 5 pilastri o aree in cui i costi sono modellati. Trasformare la cybersecurity in un approccio sostenibile significa tenere sotto controllo i costi in queste cinque aree, ossia: processi, tecnologie, fattore umano, competenze, costs and economics.

 

 

Un approccio che premia terzietà e interdisciplinarità

Cefriel è una società consortile non a scopo di lucro fin dalla sua fondazione nel 1988 per promuovere la collaborazione tra imprese, amministrazioni pubbliche e università nei processi di innovazione, ricerca e formazione centrata sulle tecnologie digitali. L’assenza del fine di lucro è una condizione utile quando si tratta di progetti digitali, ma diventa addirittura essenziale in tema di protezione cyber.

Preferire una soluzione o una tecnologia rispetto a un’altra per interessi economici, sponsorizzazioni o partnership rischia di ridurre drasticamente l’efficacia delle proposte di cybersecurity. Questo vale a maggior ragione in un panorama di offerte e sistemi di protezione cyber complesso e vasto, dove non tutti i prodotti sono adatti a una specifica realtà aziendale, non solo per motivazioni tecnologiche.

Le soluzioni di cybersecurity in termini generali devono essere libere da condizionamenti. L’imparzialità diventa quindi un valore fondamentale per progettare e implementare soluzioni di cybersecurity efficaci, ma soprattutto sostenibili per le aziende. Nel contesto dalla cybersecurity questo comporta le seguenti azioni fondamentali:

1. Abilitare, accompagnare e accelerare i processi di innovazione digitale di imprese e amministrazioni pubbliche. Nello specifico campo della cybersecurity questo implica selezionare e implementare tecniche di mantenimento della integrità aziendale personalizzate, adatte a ogni azienda e costruite intorno ai processi esistenti.

2. Promuovere la crescita delle imprese e del loro capitale umano attraverso la condivisione e il trasferimento delle conoscenze. In questo contesto l’attività di formazione proposta da Cefriel si inserisce nel più vasto quadro delle iniziative europee legate al reskilling/upskilling e alla trasformazione del training come strumento di riduzione del rischio cyber.

3. Rendere l’innovazione un processo concreto, sostenibile e ripetibile che produca un impatto di valore e continuo nel tempo. In questo contesto è di importanza vitale, per dare sostanza agli altri obiettivi, la ricerca e la partecipazione ai bandi europei per la ricerca finanziata. Tale scientificità poggia sull’expertise di oltre 140 professionisti, supportata dalla presenza all’interno di un sistema di networking scientifico europeo, anche attraverso la partecipazione ad associazioni strategiche di livello internazionale, tra le quali la European e Italian Digital SME Alliance, EIT Manufacturing, GAIA-X, IDSA e altre.

Come anticipato, per ottenere questi elementi sono fondamentali la terzietà tecnologica e operativa, ma anche un approccio interdisciplinare fondato sulla condivisione della conoscenza fra differenti competenze. Questo ultimo aspetto, legato al concetto di interdisciplinarità, è rilevante in quanto la cybersecurity, come dimostrato dalle ultime tecniche di attacco, è un problema di tutti e non solo dei tecnici ICT. In particolare:

– Terzietà. La si ottiene tipicamente affidandosi, per le fasi più strategiche del proprio approccio alla sicurezza, a soggetti che hanno nella loro constituency una natura no-profit o comunque non alterata da interessi di mercato ed accompagnata da una chiara visione di quali siano i temi cogenti della ricerca e i bisogni delle aziende.

– Interdisciplinarità (o transdisciplinarità). Parte dall’assunto che la cybersecurity sia un problema di tutti e come tale debba essere affrontato da differenti punti di vista. L’interdisciplinarità nel contesto del cybercrime non è una novità, ma lo è nel contesto della cybersecurity. Anche la cybersecurity negli anni recenti ha subito un processo di trasformazione che ha messo al centro la valenza di molteplici discipline scientifiche, non solamente legate al mondo informatico. È oramai chiaro che la sicurezza cyber sia un problema di tutti e non solo dei ruoli più prettamente tecnici. Per questi motivi l’interdisciplinarità nella cybersecurity è emersa come una delle principali sfide, sia per quanto riguarda la pianificazione delle difese, sia nel mantenimento dei servizi di sicurezza informatica di un’azienda, sia nei programmi di formazione.

– Condivisione della conoscenza. Interdisciplinarità e terziarietà comportano che al centro dei progetti di cybersecurity ci sia la condivisione delle conoscenze e la collaborazione tra persone con diverse competenze. Per esempio, una necessità importante è quella di intervenire non solo per rispondere a un’esigenza di un’azienda o di una PA, ma per accompagnare le persone che lavorano nelle organizzazioni verso la comprensione delle attività che si stanno programmando e realizzando. Una parte integrante dei progetti di cybersecurity, per esempio, deve essere quella di far ‘crescere’ le persone.

L’intramontabile importanza del fattore umano nella cybersecurity

Sono oggi unanimemente condivise da tutti gli analisti le seguenti evidenze relative alla scarsa postura di cybersicurezza di molte aziende: oltre il 90% degli attacchi informatici moderni di successo ha sfruttato qualche forma di errore umano; oltre il 50% degli utenti che aprono una mail di phishing clicca anche sul link malevolo; le pagine di phishing sono aumentate del 153% rispetto al periodo precedente al COVID-19 e le campagne di phishing sono oggigiorno altamente contestualizzate.

Per ultimo, il Global Risks Report del 2022 pubblicato quest’anno dal World Economic Forum riporta che il 95% dei problemi di cybersecurity è riconducibile a un errore umano. Per errore umano si intende sia il caso di un dipendente che, per esempio, abbia attivato una mail di phishing, sia di un addetto alla security che abbia compiuto un errore, per esempio non seguendo correttamente le procedure previste o sottovalutando un allarme SOC. Altro aspetto da rilevare è che tali valori non variano dal settore pubblico a quello privato.

L’attività del gruppo criminale LAPSUS$, che Microsoft denomina DEV-0537, per esempio, è caratterizzata da un uso avanzato delle tecniche di ingegneria sociale. LAPSUS$ potrebbe essere il primo gruppo a rendere estremamente ovvio al resto del mondo che ci sono molti obiettivi ‘soft’ che non sono abituati a essere attaccati in questo modo.

Per questo, tra tutti gli anelli della catena che devono saper resistere alla sollecitazione di un tentativo di offesa, le persone sono considerate l’anello più debole ovvero l’elemento a cui è associato il livello di rischio più critico. È stato il cybercrimine a fare emergere questa vulnerabilità, servendosi oltre che delle abilità di hacking, anche di un notevole cinismo nelle modalità di inganno dell’essere umano. Da un lato, i criminali hanno dimostrato di saper usare ogni espediente, non limitandosi agli aspetti tecnologici e impiegando tutte le tipologie di social engineering, e, dall’altro, un gruppo di cybersecurity aziendale moderno ha bisogno di attingere da diverse discipline nelle azioni di contrasto (per esempio, discipline socio-umanistiche come la psicologia o le scienze cognitive e comportamentali o la human behavioural analysis).

In quest’ottica, la nostra cybersecurity si è distinta per la sensibilità rivolta alle persone attraverso metodi di stima dei rischi e di applicazione di contromisure che fossero rispettose dei vincoli etici, giuslavoristi e giuridici e al contempo sostenibili in termini di impatto tecnologico, organizzativo e di valutazione e mitigazione del rischio cyber. In questo caso la sostenibilità della cybersecurity non è da intendersi soltanto come riduzione dell’impatto energetico o economico (anche), ma soprattutto come accettazione psicologica delle rilevazioni e dei rimedi proposti per gli attori coinvolti e come tollerabilità per le aziende e le organizzazioni nell’adeguare i propri processi verso una maggiore sicurezza. Sostenibile significa quindi anche accettabile. Se le persone sono la principale fonte di rischio per le imprese, è altrettanto vero che la diffusione di una buona cultura cyber e di collaudati processi di risposta agli eventi di attacco può portare ampi margini di riduzione del rischio, misurabili e continui nel tempo.

Le persone prima di essere considerate una fonte di rischio sono una risorsa, mentre un approccio tradizionale alla cybersecurity dell’elemento umano considera le vittime un problema, anche per nascondere manchevolezze nella formazione o nel design dei sistemi. Occorre invece concentrarsi sull’analisi del comportamento umano di fronte ai tentativi di inganno e sul design di nuovi metodi di contrasto: per esempio, Cefriel, nel proprio insieme di metodologie chiamato ‘Sustainable Cybersecurity Playbook’, offre una serie di servizi professionali specifici per ridurre il rischio cyber in azienda legato al fattore umano.

“Come soggetto terzo, Cefriel fa da garante nei confronti di ogni fornitore per mettere in campo soluzioni che non siano viziate da interessi inespressi o di mercato, affrontando il tema a tutto tondo, con in mente null’altro che gli obiettivi del progetto”, dichiara in conclusione Frumento.

La ricerca della sostenibilità attraverso la cybersecurity consiste nell’adozione di un approccio innovativo, teso a facilitare il raggiungimento degli obiettivi economici, ambientali e sociali che si è posta l’azienda. Ma la sostenibilità nella cybersecurity è un obiettivo che va perseguito nel tempo non solo in termini energetici, ma anche traguardando i processi, l’adeguato livello di conoscenze presenti nell’impresa, i flussi di dati, i costi, la stima dei rischi e l’adozione preventiva di contromisure.

Office Automation è il periodico di comunicazione, edito da Soiel International in versione cartacea e on-line, dedicato ai temi dell’ICT e delle soluzioni per il digitale.


Soiel International, edita le riviste

Officelayout 198

Officelayout

Progettare arredare gestire lo spazio ufficio
Luglio-Settembre
N. 198

Abbonati
Innovazione.PA n. 56

innovazione.PA

La Pubblica Amministrazione digitale
Luglio-Agosto
N. 56

Abbonati
Executive.IT n.5 2024

Executive.IT

Da Gartner strategie per il management d'impresa
Settembre-Ottobre
N. 5

Abbonati