Alcuni attacchi cyber, come gli attacchi ransomware, comportano serie conseguenze alle organizzazioni: interruzione di servizi, perdite di produttività, di entrate e di reputazione, per non parlare dei costi di ripristino (come, ad esempio, pagare il riscatto del ransomware) dell’eventuale perdita di dati e persino sanzioni normative.
Tuttavia, tali incidenti informatici possono causare anche danni personali.
A partire dalla famosa "Target Breach", passando da Home Depot, Sony, alla violazione di Equifax ed Imperva, diversi amministratori delegati sono stati ritenuti responsabili e costretti a dimettersi dopo incidenti informatici altamente dannosi.
Si potrebbe pensare che il CISO debba essere il principale responsabile in tali casi, ma gli analisti di Gartner affermano che gli attacchi informatici futuri saranno diretta responsabilità per il 75% dei CEO entro il 2024.
In poche parole, l’intera C-Suite deve prepararsi alle conseguenze di un possibile attacco informatico, che potrebbe danneggiare sia l’azienda sia la carriera di coloro che hanno il compito di garantire la sicurezza dell’organizzazione.
Rischio, Regolamentazione e Minacce in Evoluzione
Fino a poco tempo fa, le aziende potevano tenere sotto controllo gli incidenti informatici e i data breach lontano dagli occhi del pubblico. Tuttavia, le evoluzioni in ambito di regolamentazione, l’opinione pubblica e la natura degli attacchi informatici hanno cambiato tutto ciò.
HIPAA, GDPR, CCPA, NYC DFS e una miriade di altre normative sulla violazione dei dati e sulla privacy hanno reso impossibile per le aziende nascondere legalmente il fatto di aver subito un grave incidente informatico.
Le aziende e gli individui che provano a sminuire tali normative possono essere scoperti e penalizzati, come nel caso dell’ex CISO di Uber che ora è accusato di intralcio alla giustizia.
Presumibilmente ha cercato di nascondere un attacco del 2016 che ha compromesso milioni di utenti e conducenti e lo ha giustificato come un penetration test (mentre avrebbe pagato i criminali informatici per andarsene).
Anche la natura degli attacchi è cambiata. I nuovi attacchi ransomware adesso si impossessano di grandi volumi di dati prima di crittografarli e annunciare al mondo che la vittima è stata colpita.
I criminali informatici minacciano di pubblicare o vendere i dati rubati se le richieste di riscatto non vengono soddisfatte.
In molti casi, ciò significa che il pubblico quasi certamente verrà a conoscenza dell'incidente, a quel punto danneggerà ulteriormente la reputazione della vittima se continua a negarlo o si rifiuta persino di fare un commento pubblico in merito.
Inoltre, poiché il pubblico è diventato sempre più consapevole di quanti dati - e quanto possono essere sensibili – su di loro siano in possesso le aziende, c'è una crescente rabbia nei confronti delle organizzazioni accusate di avere pratiche di sicurezza lassiste.
Molti consumatori credono che le organizzazioni dovrebbero essere ritenute responsabili per negligenza in materia di sicurezza: un recente sondaggio ha rilevato che il 35% dei consumatori britannici vede il CEO come personalmente responsabile in caso di incidente informatico.
Non sorprende, quindi, che i casi di dirigenti ritenuti personalmente responsabili di tali incidenti non siano difficili da trovare.
L'amministratore delegato di FACC, produttore austriaco di componenti aerospaziali, è stato licenziato dopo che la società è stata colpita da una frode informatica che le è costata circa 47 milioni di dollari.
I dettagli sono confusi, ma la frode ha le sembianze di un classico attacco di Business Email compromise: qualcuno della dirigenza all’interno di FACC, forse il CEO, ha ricevuto un’email da un partner o un vendor e ha approvato un trasferimento di denaro direttamente al criminale informatico.
Una volta avvenuto il trasferimento, è stato scoperto che il partner in questione non ha mai contattato l’azienda e l’organizzazione ha perso il denaro, il CEO e il CFO sono stati licenziati.
In altri casi, i dirigenti sono stati ritenuti responsabili perché la cyber security è ormai considerata un’operazione aziendale fondamentale.
Ad esempio, dopo il data breach di SingHealth, il CEO e altri 4 manager senior sono stati multati per la loro “responsabilità di leadership collettiva”.
7 Step per Proteggere la Tua Azienda
Sappiamo che mantenere la propria azienda al sicuro non è semplice, ma esiste un percorso ben definito verso la sicurezza aziendale che le organizzazioni possono seguire. SentinelOne ha stilato una lista di 7 step da seguire per la protezione della propria azienda.
#1 - Valutare il Livello di Sicurezza
Il primo step da considerare è il livello di sicurezza dell’organizzazione. I Decision Maker (CIO, CSO, CISO) devono avere una panoramica completa e aggiornata degli apparati di sicurezza aziendali, inclusi la formazione del personale, i sistemi e le procedure, la risposta agli incidenti e la business continuity.
L’azienda si affida ancora a soluzioni AV legacy che possono essere facilmente aggirate dai criminali informatici? Chi è incaricato del rilevamento delle minacce e con quale frequenza? Qual è la procedura da seguire per la risposta agli incidenti?
Considerando che le minacce sono sempre più sofisticate, è fondamentale avere una panoramica completa della posizione di sicurezza dell’azienda.
#2 - Eseguire una Valutazione del Rischio Informatico
Il CEO e i C-level devono comprendere la natura delle minacce informatiche che l’organizzazione deve affrontare. Sono disponibili molti strumenti per la valutazione del rischio, compreso l’utilizzo di benchmark di settore, raccomandazioni di enti preposti all’applicazione della legge e del governo e feed di intelligence sulle minacce.
La valutazione del rischio dovrebbe includere anche quelli normativi e commerciali come la perdita di reputazione a causa di attacchi informatici.
#3 - Sviluppare un Piano di Sicurezza Aziendale
Con una chiara comprensione di quali minacce l’organizzazione deve affrontare e l’attuale posizione in materia di sicurezza, è possibile valutare dove l'organizzazione è ben strutturata e dove sono necessari miglioramenti.
È fondamentale avere un piano per colmare queste lacune in base alla propensione al rischio delle organizzazioni. Il piano dovrebbe includere una moderna piattaforma EDR, capacità di risposta agli incidenti e mitigazione, sistemi di backup e procedure di business continuity.
#4 - Allocazione di Risorse Sufficienti
Dopo aver formulato e approvato un piano di sicurezza, è necessario allocare le risorse umane, organizzative e finanziarie adeguate. Questo è fondamentale.
Un piano che richiede risorse umane che non abbiamo e che non prevediamo di inserire non è tanto un piano ma un desiderio che non può essere realizzato.
Un piano che non può essere implementato perché richiede cambiamenti strutturali che l'organizzazione non è disposta a fare è semplicemente un esperimento sprecato.
Un piano che non comprende un budget studiato e approvato suggerisce che non c'è una reale volontà o intenzione di facilitare tale cambiamento. Niente di tutto questo andrà bene quando le parti interessate inizieranno a distribuire le colpe nell'analisi post-incidente.
#5 - Monitoraggio Continuo
L'implementazione di un piano ben congegnato e dotato di risorse sufficienti deve essere accompagnato da monitoraggio e report ai C-level.
Un piano di contingency che viene attuato solo in parte, non attuato come previsto o che non è “adatto allo scopo” come sembrava, potrebbe essere peggio che non avere nessun piano.
I responsabili della sicurezza dovrebbero monitorare lo sviluppo delle operazioni aziendali e come i cambiamenti impattino sul piano di sicurezza. Per esempio, l’improvviso cambiamento nelle modalità di lavoro come lo smart working ha cambiato molto il panorama dei rischi a cui un’organizzazione può andare incontro, ma quante aziende hanno aggiornato il piano di sicurezza in merito?
#6 - Incaricare un Audit Estero
È raccomandabile introdurre un audit esterno per la validazione e l’esecuzione del piano progettato dal CISO. Tra i vantaggi ci sono sicuramente uno sguardo imparziale e oggettivo alla preparazione e alla conformità.
#7 - Rinse & Repeat
Alla fine del periodo (anno fiscale, di calendario, quarter) è necessario valutare il successo del piano e decidere se continuare con lo stesso o eseguire dei cambiamenti.
Come Rispondere Quando Avviene un Attacco Informatico
Ma i C-level non vengono valutati solamente sulla base di come strutturano il piano e monitorano la situazione. Vengono valutati anche nel momento in cui è necessario rispondere ad una crisi.
Quando arriva una crisi, è meglio agire secondo il piano predefinito. Se non ce n'è uno, è importante comunicare la situazione a esperti in risposta agli incidenti e gestione delle crisi il prima possibile.
È imperativo comunicare la situazione ai C-level, i dipendenti, i clienti e i media. Le organizzazioni che reagiscono rapidamente, in modo onesto e trasparente di solito ricevono il supporto di tutti.
Ad esempio, il sito di Q&A Quora ha subìto una violazione dei dati a fine 2018, che ha colpito circa 100 milioni di utenti Quora. Il CEO ha risposto velocemente, pubblicando un post sul blog e notificando tutti gli utenti con un’email specificando la situazione.
L’azienda ha quindi creato un sito dedicato domande e risposte con aggiornamenti tempestivi sull’evoluzione della situazione.
In Conclusione
Proteggere la propria azienda da minacce informatiche è un imperativo aziendale. Sono ormai lontani i tempi in cui la direzione doveva soltanto assumere un amministratore IT per l’implementazione di un antivirus e inserire un firewall attorno al perimetro della rete.
Nell’era del cloud computing, con workload containerizzati, utenti che lavorano da remoto e l’aumento di dispositivi IoT non protetti che entrano ed escono dalla rete, combinati con la crescita esponenziale di attacchi informatici sempre più sofisticati, la sicurezza non è solo una responsabilità per i C-level, ma deve diventare una priorità.
Per avere maggiori informazioni su come proteggere la tua azienda con SentinelOne invia una mail a cio@florence-consulting.it o chiama lo (055) 538-3250. Visita la pagina dedicata sul nostro per ricevere ulteriore materiale informativo o per richiedere una demo gratuita.
In alternativa, puoi compilare il form sottostante con la tua domanda.
