“Una violazione IT può causare danni notevoli a operation, vendite, reputazione e anche al prezzo delle azioni di un’azienda, oltre a mettere improvvisamente la parola fine alla carriera di un CEO o di un CSO, come è avvenuto nel caso di alcuni attacchi informatici negli ultimi anni”. Inizia così la riflessione sulla gestione di una crisi di sicurezza di Sergej Epp, CSO, Central European Region di Palo Alto Networks.

L’Allianz Risk Barometer 2020 (il più grande sondaggio sui rischi a livello mondiale) ha riconosciuto le interruzioni del business causate da violazioni di sicurezza IT come il rischio più grave per le organizzazioni. Ora, anche se non si può mai prevedere quando si verrà attaccati, è possibile guadagnare tempo mettendo in atto un piano di cyber resilienza ben collaudato ed efficace, essenziale per mitigare gli effetti peggiori di un attacco mantenendo l’azienda in attività.

Per questo Epp propone cinque regole che qualsiasi CEO dovrebbe rispettare nella gestione di una crisi di sicurezza informatica, che (è bene ricordarlo) potrebbe verificarsi in qualsiasi momento.

1 – Prendere il comando

Rimboccatevi le maniche. Delegare il lavoro al team IT durante una violazione informatica può essere pericoloso per l’azienda. Se non gestiti a dovere, le interruzioni operative e i costi delle controversie legali hanno un effetto immediato sulla reputazione. Non sorprende infatti che gli azionisti stiano iniziando a richiedere conseguenze personali per le aziende coinvolte in un incidente informatico. Una gestione efficace comporta un impegno a livello di consiglio di amministrazione, di COO e di CFO. Ma un CEO è spesso la persona migliore per gestirla.

2 – L’importanza della comunicazione

Quando si è colpiti da un attacco, nessuno vuole essere al centro dell’attenzione. Si è trattato di una lacuna nella sicurezza o di un attacco hacker in piena regola? Avete valutato davvero la portata dei dati trafugati? Ci sono altre backdoor che potrebbero essere utilizzate per attività di sabotaggio? Una crisi IT è quasi sempre molto complessa. Possono essere necessari da mesi ad anni per rispondere a tutte queste domande.

Tuttavia, la giusta strategia di comunicazione determinerà il parere dell’opinione pubblica sul modo in cui avete gestito l’incidente. Trattare la crisi in modo trasparente vi porterà benefici tra cui il sostegno delle autorità, dei ricercatori e dei clienti. Ma dovete essere pronti a sopportare la pressione.

clusit

3 – Competenze in materia di sicurezza informatica

La maggior parte delle aziende si affida al CISO per la gestione della crisi, ma secondo Epp spesso conviene coinvolgere i seguenti stakeholder nel processo.

  • Incidenti di sicurezza ed esperti di crisi – La segnalazione e l’analisi tecnica possono probabilmente essere fatte in modo più efficace da aziende esterne che hanno affrontato situazioni simili.
  • Fornitori di sicurezza – La maggior parte delle aziende è scettica nel considerare i fornitori di sicurezza come partner ma, in realtà, sono forse loro i partner migliori per aiutarvi a mitigare la minaccia.
  • Peer – La sicurezza IT è uno sport di squadra e la maggior parte delle minacce da affrontare ha probabilmente già colpito alcuni dei vostri colleghi. Coinvolgerli e chiedere aiuto è fondamentale.
  • Le forze dell’ordine – In molti paesi il coinvolgimento delle forze dell’ordine è più che altro un atto formale per registrare l’incidente. Tuttavia, le autorità in alcuni stati alcuni hanno notevoli capacità di investigazione e supporto nella protezione delle reti.

4 – Utilizzare il contenimento intelligente

Contenere una crisi informatica potrebbe richiedere anni se si seguono tutte le raccomandazioni disponibili. Come riesce il CISO a bilanciare il contenimento degli incidenti mantenendo l’operatività? A volte è persino necessario tenere l’aggressore per un po’ di tempo nella propria rete per determinare le sue vere motivazioni. Per tutti gli attacchi mirati, c’è sempre una domanda da porre al CSO: abbiamo identificato il paziente zero?

Come nelle epidemie di virus, il paziente zero può aiutarvi a ricostruire il percorso dell’attacco e identificare le potenziali backdoor create come backup nella vostra rete. Se la vostra task force non riesce a identificare il paziente zero, non sarà capace di confermare la presenza dell’hacker nella rete o di determinare la portata dell’attacco.

5 – Siate prudenti, non dispiaciuti

Alla fine la maggior parte delle aziende che vivono una crisi informatica aumenta significativamente gli investimenti in sicurezza. Concentrarsi su principi come Zero Trust, migliorare la cyber-igiene e semplificare i processi e le tecnologie di sicurezza sono alcune delle cose più importanti e fondamentali da fare.

Non importa quale sia il vostro settore. Un piano di cyber resilienza adeguato è un must se volete essere preparati per lo scenario peggiore. Ridurre la portata dei danni di un attacco cibernetico è l’obiettivo primario di un piano di cyber resilienza. Una cosa è tentare di mettere in sicurezza la rete, ma attivare un piano di business continuity ben pensato e testato può far risparmiare grandi quantità di tempo e denaro. Quindi siate ben preparati.