Continui attacchi informatici: coinvolgere i business

Continui attacchi informatici:
coinvolgere i business leader
per la nuova normalità
Executive Summary
Gli attacchi informatici possono compromettere
rapidamente la capacità di un’azienda di creare valore,
e la loro frequenza, la portata e il grado di sofisticatezza
continuano ad aumentare.
I leader che non hanno familiarità con le complessità della cyber defense potrebbero non essere in
grado di riconoscere le lacune presenti nelle loro strategie di digital security. È facile: gli enti normativi
e altre agenzie governative impongono alle aziende di concentrarsi sulla conformità a regole specifiche,
mettendo a tacere chi è a favore di un approccio dinamico alla gestione del rischio informatico.
Tuttavia, le organizzazioni hanno compreso che superare le valutazioni di conformità non equivale a
garantire la sicurezza dei dati. Allo stesso modo, una strategia focalizzata sull’acquisto dei prodotti e
delle applicazioni add-on di sicurezza più recenti può esaurire rapidamente il budget senza migliorare in
modo significativo le scelte di difesa.
Se è vero che nessuna organizzazione può difendersi da tutti gli attacchi informatici, i tre approcci
descritti di seguito possono certamente contribuire ad abbassare il rischio a un livello gestibile:
1
Impegnarsi attivamente per rendere l’azienda più sicura
2
Rafforzare la collaborazione tra azienda e responsabili della sicurezza
I leader che non hanno familiarità con le complessità della cyber
defense potrebbero non essere in grado di riconoscere le lacune
presenti nelle loro strategie di digital security. È facile: gli enti
normativi e altre agenzie governative impongono alle aziende
di concentrarsi sulla conformità a regole specifiche, mettendo a
tacere chi è a favore di un approccio dinamico alla gestione del
rischio informatico.
Tuttavia, le organizzazioni hanno compreso che superare le
valutazioni di conformità non equivale a garantire la sicurezza
dei dati. Allo stesso modo, una strategia focalizzata sull’acquisto
dei prodotti e delle applicazioni add-on di sicurezza più recenti
può esaurire rapidamente il budget senza migliorare in modo
significativo le scelte di difesa.
3 Mantenere sempre dinamiche le difese aziendali
Gli attacchi informatici possono compromettere rapidamente la capacità
di un’azienda di creare valore, e la loro frequenza, la portata e il grado di
sofisticatezza continuano ad aumentare.
@AccentureSecure
1 Impegnarsi attivamente per
rendere l’azienda più sicura
Una solida cyber defense richiede l’interazione tra gli stakeholder,
l’ufficio di gestione dei rischi e il team responsabile della
sicurezza per sviluppare un rapporto autentico che richieda a
tutti i dipendenti di assumersi la responsabilità della sicurezza.
La capacità di rilevare ed eliminare le minacce informatiche cala
bruscamente se gli stakeholder non sono in grado di collaborare
pienamente con il team della sicurezza. Alcune sfide tipiche:
• Il team della sicurezza non ha un accesso soddisfacente al top
management: La maggior parte delle aziende riconosce che la
digital security è un punto importante all’ordine del giorno, ma
in molti casi il Chief Information Security Officer (CISO) non ha
accesso ai livelli superiori dell’azienda.
• I dipendenti non vengono coinvolti nei problemi di sicurezza:
Spesso i dipendenti non si preoccupano della sicurezza al punto
di modificare il loro comportamento. La capacità di esprimere
al meglio l’importanza della sicurezza e di farlo in modo
coinvolgente parte dall’alto.
• Non c’è chiarezza riguardo a chi “possiede” i sistemi sotto
attacco: I team hanno un approccio agile e imprenditoriale
e creano continuamente nuove applicazioni e archivi di dati
per soddisfare le esigenze dei clienti. Durante un attacco
informatico, il team di sicurezza deve sapere chi “possiede” il
sistema compromesso, altrimenti l’azione sarà ostacolata e si
ridurrà l’efficacia della risposta.
2 Rafforzare la collaborazione tra azienda e responsabili della sicurezza
Le aziende leader sono in grado di allineare le loro esigenze
commerciali e i requisiti di difesa del team di cyber defense,
avviando una proficua collaborazione. Questo tipo di interazione si
basa su quattro fattori:
• Mantenere il tema della sicurezza all’ordine del giorno: Se le
organizzazioni sono in grado di operare in base al principio della
“presunzione di violazione”, riconoscendo che un hacker prima
o poi bucherà la rete, la visione e l’allineamento della corretta
strategia di sicurezza possono diventare molto precisi.
• Riconoscere la complessità della sfida: Le organizzazioni
devono comprendere la complessità dei sistemi che si
apprestano a difendere e stabilire dove collocare l’asticella per
quanto riguarda la tolleranza delle perdite. Parte della sfida è
riconoscere la complessità dei ruoli; l’organizzazione ha obiettivi
di fatturato e di altro tipo, mentre il team responsabile della
sicurezza ha una serie di obiettivi propri.
• Collaborare per identificare i dati critici dell’organizzazione:
Spesso il compito sembra enorme, in quanto non è possibile
attenuare tutti i rischi—ma può diventare molto semplice da
gestire se un’azienda è in grado di individuare la maggior parte
dei rischi gravi nelle reti pertinenti e assegnare a queste il
massimo livello di protezione.
• Far evolvere la cultura aziendale per attrarre e trattenere i
migliori talenti nel campo della sicurezza: Le aziende più capaci
in questo ambito hanno un approccio proattivo al pool di talenti;
ciò implica la collaborazione con le università per preparare
figure professionali di rilievo nel campo della cyber security e la
ricerca di competenze al di fuori dei canali tradizionali.
3 Mantenere sempre attive le difese
aziendali
I dirigenti aziendali dovrebbero inoltre concentrarsi sullo sviluppo
delle difese nei seguenti modi:
• Testare incessantemente i sistemi di difesa: Le organizzazioni
più all’avanguardia nella cyber defense testano le proprie
soluzioni con “sparring partner” indipendenti che dispongono di
competenze e tecnologie del tutto simili a quelle degli hacker,
ma senza intento doloso. Come nel caso di un pugile, chi si
allena esclusivamente contro un avversario statico, non avrà la
minima chance quando ne incontra uno vero. Allo stesso modo,
un’azienda totalmente concentrata sulle difese convenzionali
statiche sarà una preda facile per i criminali informatici sempre
più aggressivi di oggi.
• Cercare entro il perimetro delle difese aziendali: Presumere che
la sicurezza sia compromessa e cercare costantemente gli intrusi
all’interno dell’ambiente aziendale.
• Migliorare l’efficacia della risposta: Attraverso l’esercitazione
costante con un partner esperto nella valutazione della
sicurezza, sperimentando le stesse tattiche degli avversari,
l’azienda imparerà a tenere sempre alta la guardia. Le
organizzazioni che si esercitano in modo ripetitivo e coerente
sono in grado di minimizzare con più efficacia l’impatto di un
evento. L’intensità e la gravità degli attacchi digitali odierni
rendono i crimini informatici un enorme pericolo per le aziende.
In un contesto nuovo e confuso, molti leader si chiedono cosa
fare per rendere le loro aziende più resilienti. Dopo aver valutato
i punti di forza e di debolezza in termini di cyber defense,
l’azienda dovrebbe sviluppare piani d’azione di 100 e 365 giorni
per trovare lo slancio necessario alla realizzazione degli obiettivi
di protezione.
www.accenture.com/cyberdefense
Autori
Accenture
Bill Phelps
Managing Director, Global Security Services
[email protected]
Twitter: @waphelps
Accenture è un’azienda leader a livello globale nel settore dei servizi
professionali, che fornisce una vasta gamma di servizi e soluzioni
nei settori strategy, consulting, digital, technology e operations.
Combinando un’esperienza unica e competenze specialistiche in più
di 40 settori industriali e in tutte le funzioni aziendali - sostenuta
dalla più ampia rete di delivery center a livello mondiale – Accenture
opera all’intersezione tra business e tecnologia per aiutare i clienti
a migliorare le proprie performance e creare valore sostenibile per
i loro stakeholder. Con oltre 373.000 professionisti impegnati
a servire i suoi clienti in più di 120 paesi, Accenture favorisce
l’innovazione per migliorare il modo in cui il mondo vive e lavora.
Visita: www.accenture.it – www.accenture.com
Ryan LaSalle
Managing Director, Security Growth & Strategy Lead
[email protected]
Twitter: @labsguy
Kevin Richards
Managing Director, North America Security Practice
[email protected]
Twitter: @kevin_richards
Steve Culp
Senior Managing Director, Accenture Finance & Risk Services
[email protected]
Twitter: @steve_culp
DISCLAIMER: Questo documento è inteso a fini di informazione
generale e non prende in considerazione circostanze specifiche del
lettore, e potrebbe non riflettere gli sviluppi più recenti. Accenture
nega, nella misura massima consentita dalla legge applicabile,
qualsiasi responsabilità per l’esattezza e la completezza delle
informazioni contenute in questo documento e per qualsiasi atto
o omissione fatta sulla base di queste informazioni. Accenture
non fornisce servizi legali, di regolamentazione, di controllo, o di
consulenza fiscale. I lettori sono responsabili di ottenere tali servizi
dal proprio legale o da professionisti certificati.
David Smith
Senior Managing Director, Talent & Organization
[email protected]
I diritti su marchi menzionati nel presente documento, a parte i
marchi Accenture, appartengono ai rispettivi proprietari. Decliniamo
qualsiasi interesse di natura patrimoniale nei marchi e nomi di terzi.
Matt Devost
Co-founder and CEO of FusionX
[email protected]
Twitter: @MattDevost
Copyright © 2016 Accenture
All rights reserved.
Accenture, il suo logo e
High Performance. Delivered.
sono marchi commerciali di Accenture