Continui attacchi informatici: coinvolgere i business
Transcript
Continui attacchi informatici: coinvolgere i business
Continui attacchi informatici: coinvolgere i business leader per la nuova normalità Executive Summary Gli attacchi informatici possono compromettere rapidamente la capacità di un’azienda di creare valore, e la loro frequenza, la portata e il grado di sofisticatezza continuano ad aumentare. I leader che non hanno familiarità con le complessità della cyber defense potrebbero non essere in grado di riconoscere le lacune presenti nelle loro strategie di digital security. È facile: gli enti normativi e altre agenzie governative impongono alle aziende di concentrarsi sulla conformità a regole specifiche, mettendo a tacere chi è a favore di un approccio dinamico alla gestione del rischio informatico. Tuttavia, le organizzazioni hanno compreso che superare le valutazioni di conformità non equivale a garantire la sicurezza dei dati. Allo stesso modo, una strategia focalizzata sull’acquisto dei prodotti e delle applicazioni add-on di sicurezza più recenti può esaurire rapidamente il budget senza migliorare in modo significativo le scelte di difesa. Se è vero che nessuna organizzazione può difendersi da tutti gli attacchi informatici, i tre approcci descritti di seguito possono certamente contribuire ad abbassare il rischio a un livello gestibile: 1 Impegnarsi attivamente per rendere l’azienda più sicura 2 Rafforzare la collaborazione tra azienda e responsabili della sicurezza I leader che non hanno familiarità con le complessità della cyber defense potrebbero non essere in grado di riconoscere le lacune presenti nelle loro strategie di digital security. È facile: gli enti normativi e altre agenzie governative impongono alle aziende di concentrarsi sulla conformità a regole specifiche, mettendo a tacere chi è a favore di un approccio dinamico alla gestione del rischio informatico. Tuttavia, le organizzazioni hanno compreso che superare le valutazioni di conformità non equivale a garantire la sicurezza dei dati. Allo stesso modo, una strategia focalizzata sull’acquisto dei prodotti e delle applicazioni add-on di sicurezza più recenti può esaurire rapidamente il budget senza migliorare in modo significativo le scelte di difesa. 3 Mantenere sempre dinamiche le difese aziendali Gli attacchi informatici possono compromettere rapidamente la capacità di un’azienda di creare valore, e la loro frequenza, la portata e il grado di sofisticatezza continuano ad aumentare. @AccentureSecure 1 Impegnarsi attivamente per rendere l’azienda più sicura Una solida cyber defense richiede l’interazione tra gli stakeholder, l’ufficio di gestione dei rischi e il team responsabile della sicurezza per sviluppare un rapporto autentico che richieda a tutti i dipendenti di assumersi la responsabilità della sicurezza. La capacità di rilevare ed eliminare le minacce informatiche cala bruscamente se gli stakeholder non sono in grado di collaborare pienamente con il team della sicurezza. Alcune sfide tipiche: • Il team della sicurezza non ha un accesso soddisfacente al top management: La maggior parte delle aziende riconosce che la digital security è un punto importante all’ordine del giorno, ma in molti casi il Chief Information Security Officer (CISO) non ha accesso ai livelli superiori dell’azienda. • I dipendenti non vengono coinvolti nei problemi di sicurezza: Spesso i dipendenti non si preoccupano della sicurezza al punto di modificare il loro comportamento. La capacità di esprimere al meglio l’importanza della sicurezza e di farlo in modo coinvolgente parte dall’alto. • Non c’è chiarezza riguardo a chi “possiede” i sistemi sotto attacco: I team hanno un approccio agile e imprenditoriale e creano continuamente nuove applicazioni e archivi di dati per soddisfare le esigenze dei clienti. Durante un attacco informatico, il team di sicurezza deve sapere chi “possiede” il sistema compromesso, altrimenti l’azione sarà ostacolata e si ridurrà l’efficacia della risposta. 2 Rafforzare la collaborazione tra azienda e responsabili della sicurezza Le aziende leader sono in grado di allineare le loro esigenze commerciali e i requisiti di difesa del team di cyber defense, avviando una proficua collaborazione. Questo tipo di interazione si basa su quattro fattori: • Mantenere il tema della sicurezza all’ordine del giorno: Se le organizzazioni sono in grado di operare in base al principio della “presunzione di violazione”, riconoscendo che un hacker prima o poi bucherà la rete, la visione e l’allineamento della corretta strategia di sicurezza possono diventare molto precisi. • Riconoscere la complessità della sfida: Le organizzazioni devono comprendere la complessità dei sistemi che si apprestano a difendere e stabilire dove collocare l’asticella per quanto riguarda la tolleranza delle perdite. Parte della sfida è riconoscere la complessità dei ruoli; l’organizzazione ha obiettivi di fatturato e di altro tipo, mentre il team responsabile della sicurezza ha una serie di obiettivi propri. • Collaborare per identificare i dati critici dell’organizzazione: Spesso il compito sembra enorme, in quanto non è possibile attenuare tutti i rischi—ma può diventare molto semplice da gestire se un’azienda è in grado di individuare la maggior parte dei rischi gravi nelle reti pertinenti e assegnare a queste il massimo livello di protezione. • Far evolvere la cultura aziendale per attrarre e trattenere i migliori talenti nel campo della sicurezza: Le aziende più capaci in questo ambito hanno un approccio proattivo al pool di talenti; ciò implica la collaborazione con le università per preparare figure professionali di rilievo nel campo della cyber security e la ricerca di competenze al di fuori dei canali tradizionali. 3 Mantenere sempre attive le difese aziendali I dirigenti aziendali dovrebbero inoltre concentrarsi sullo sviluppo delle difese nei seguenti modi: • Testare incessantemente i sistemi di difesa: Le organizzazioni più all’avanguardia nella cyber defense testano le proprie soluzioni con “sparring partner” indipendenti che dispongono di competenze e tecnologie del tutto simili a quelle degli hacker, ma senza intento doloso. Come nel caso di un pugile, chi si allena esclusivamente contro un avversario statico, non avrà la minima chance quando ne incontra uno vero. Allo stesso modo, un’azienda totalmente concentrata sulle difese convenzionali statiche sarà una preda facile per i criminali informatici sempre più aggressivi di oggi. • Cercare entro il perimetro delle difese aziendali: Presumere che la sicurezza sia compromessa e cercare costantemente gli intrusi all’interno dell’ambiente aziendale. • Migliorare l’efficacia della risposta: Attraverso l’esercitazione costante con un partner esperto nella valutazione della sicurezza, sperimentando le stesse tattiche degli avversari, l’azienda imparerà a tenere sempre alta la guardia. Le organizzazioni che si esercitano in modo ripetitivo e coerente sono in grado di minimizzare con più efficacia l’impatto di un evento. L’intensità e la gravità degli attacchi digitali odierni rendono i crimini informatici un enorme pericolo per le aziende. In un contesto nuovo e confuso, molti leader si chiedono cosa fare per rendere le loro aziende più resilienti. Dopo aver valutato i punti di forza e di debolezza in termini di cyber defense, l’azienda dovrebbe sviluppare piani d’azione di 100 e 365 giorni per trovare lo slancio necessario alla realizzazione degli obiettivi di protezione. www.accenture.com/cyberdefense Autori Accenture Bill Phelps Managing Director, Global Security Services [email protected] Twitter: @waphelps Accenture è un’azienda leader a livello globale nel settore dei servizi professionali, che fornisce una vasta gamma di servizi e soluzioni nei settori strategy, consulting, digital, technology e operations. Combinando un’esperienza unica e competenze specialistiche in più di 40 settori industriali e in tutte le funzioni aziendali - sostenuta dalla più ampia rete di delivery center a livello mondiale – Accenture opera all’intersezione tra business e tecnologia per aiutare i clienti a migliorare le proprie performance e creare valore sostenibile per i loro stakeholder. Con oltre 373.000 professionisti impegnati a servire i suoi clienti in più di 120 paesi, Accenture favorisce l’innovazione per migliorare il modo in cui il mondo vive e lavora. Visita: www.accenture.it – www.accenture.com Ryan LaSalle Managing Director, Security Growth & Strategy Lead [email protected] Twitter: @labsguy Kevin Richards Managing Director, North America Security Practice [email protected] Twitter: @kevin_richards Steve Culp Senior Managing Director, Accenture Finance & Risk Services [email protected] Twitter: @steve_culp DISCLAIMER: Questo documento è inteso a fini di informazione generale e non prende in considerazione circostanze specifiche del lettore, e potrebbe non riflettere gli sviluppi più recenti. Accenture nega, nella misura massima consentita dalla legge applicabile, qualsiasi responsabilità per l’esattezza e la completezza delle informazioni contenute in questo documento e per qualsiasi atto o omissione fatta sulla base di queste informazioni. Accenture non fornisce servizi legali, di regolamentazione, di controllo, o di consulenza fiscale. I lettori sono responsabili di ottenere tali servizi dal proprio legale o da professionisti certificati. David Smith Senior Managing Director, Talent & Organization [email protected] I diritti su marchi menzionati nel presente documento, a parte i marchi Accenture, appartengono ai rispettivi proprietari. Decliniamo qualsiasi interesse di natura patrimoniale nei marchi e nomi di terzi. Matt Devost Co-founder and CEO of FusionX [email protected] Twitter: @MattDevost Copyright © 2016 Accenture All rights reserved. Accenture, il suo logo e High Performance. Delivered. sono marchi commerciali di Accenture