I cambiamenti imposti dall’emergenza sanitaria sul mondo del lavoro stanno portando a compimento un’evoluzione che era da tempo già in atto, ma che negli ultimi due anni ha subito un’accelerazione imprevista: la digitalizzazione di processi e servizi.
Di pari passo alla crescita digitale, abbiamo purtroppo visto aumentare anche gli episodi di cyber crime, che hanno imparato a sfruttare in modo sempre più sofisticato e veloce le vulnerabilità dei sistemi informatici delle aziende, esposte soprattutto nella loro componente mobile.
Se nel biennio 2020/21 c’è stato un aumento di attacchi soprattutto nei settori di sanità e istruzione, i dati previsionali per il 2022 mostrerebbero che nessun settore sarà risparmiato, e il rischio di data breach è molto alto per realtà produttive, infrastrutture critiche e istituzioni.
Come difendersi dalle minacce del cyber crime?
La domanda che tutte le aziende si fanno è: “C’è qualcosa che possiamo fare per proteggerci?”. Fortunatamente, la risposta è sì: è fondamentale giocare d’anticipo, quindi puntare sulla prevenzione, ma, al tempo stesso, prepararsi ad affrontare un possibile incidente, che purtroppo, può sempre accadere.
La prevenzione è fatta di igiene digitale, formazione del personale e buone prassi operative; la preparazione comprende l’adozione di adeguati processi di rilevazione e mitigazione. Si tratta di creare una policy e un piano di Incident Response, che in quest’ottica allargata non è solo una pratica di risposta a un cyber attacco andato a segno.
Incident Response, protezione proattiva
L’Incidente Response è una vera e propria attività strategica, che coinvolge top-down a tutti i livelli aziendali e che dovrebbe condizionare l’assetto digitale di ogni organizzazione che voglia mettere al riparo capitale e reputazione da imprevisti.
Prevede infatti la creazione di un team interno, l’IRT (Incident Response Team), capace di interfacciarsi con i vertici aziendali, le autorità preposte e il fornitore esterno a cui è stata affidata l’erogazione dei servizi legati all’IR.
Più nello specifico, il processo di Incident Response si compone solitamente di 4 fasi:
- Preparazione – che include l’analisi degli asset fondamentali da proteggere, la strutturazione del team IRT, e la riduzione al minimo della superficie esposta e il suo costante monitoraggio;
- Rilevamento e analisi – che prevede la verifica periodica, tramite Risk Assessments regolari, degli indicatori individuati e la reportistica su ogni evento rilevante. La priorità è chiaramente assegnata agli eventi più importanti o che impattano su asset essenziali;
- Contenimento, rimozione e recovery – che comprende le operazioni volte ad eliminare le conseguenze di un attacco, se questo è possibile, o comunque a limitarle. La finalità è mantenere operativi i sistemi, o comunque riportarli in funzione il prima possibile.
- Attività post incidente – una volta concluso l’incidente, vengono raccolte e condivise informazioni che servono sia a individuare i responsabili, in vista anche delle conseguenze legali, sia a prevedere azioni di prevenzione come backup e patch.
Gli standard ISO/IEC 27001 e 27002
Un’altra strategia di protezione è adottare uno standard ISO per la sicurezza informatica: nello specifico, ISO/IEC 27001 è lo standard per la gestione della sicurezza delle informazioni per qualsiasi tipo di organizzazione, e ad esso è strettamente legato lo standard ISO/IEC 27002 che fornisce una raccolta di linee guida che possono essere adottate per soddisfare la 27001.
Ricordiamo che, mentre la ISO/IEC 27001 è il documento normativo di certificazione al quale l’organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato, la norma ISO/IEC 27002 non è certificabile in quanto è una semplice raccolta di raccomandazioni.
Nel febbraio del 2022 è stata pubblicata l’ultima versione della ISO/IEC 27002 che mira a rispondere maggiormente alle esigenze delle aziende, che si ritrovano ad operare in uno scenario completamente diverso da quello di soli pochi anni fa. Già dal titolo – “Sicurezza delle informazioni, sicurezza informatica e protezione della privacy — Controlli sulla sicurezza delle informazioni” – sembra che nuovi aspetti riguardanti la cybersecurity, la sicurezza cloud e data protection vengano trattati maggiormente.
Il numero dei controlli passa da 114 a 93, ma la maggior parte di essi rimane invariata, anche se alcuni sono stati compattati considerate alcune ridondanze presenti nella precedente versione. Eppure la nuova versione è profondamente trasformata, soprattutto nella struttura: si passa dalle 14 sezioni della versione precedente, alle quattro sezioni e ai due allegati di quella attuale.
Ad ogni controllo sono stati aggiunti due nuovi attributi: Scopo e Tabella degli attributi, ossia una sorta di riepilogo di tutti gli attributi associati al controllo. Questi elementi aiutano a scegliere e a giustificare l’uso di un controllo: infatti non tutti i controlli della nuova ISO/IEC 27002 sono rilevanti per ogni organizzazione, ma se lo sono devono essere messi in atto perché questa possa ottenere la certificazione ISO/IEC 27001.
Altro fatto da sottolineare è che degli 11 nuovi controlli introdotti, ben 9 sono di tipo preventivo: dimostra che lo standard mira a diventare uno strumento di gestione efficace della sicurezza e pone l’accento sull’importanza di anticipare le situazioni potenzialmente pericolose organizzando correttamente il contesto aziendale per quanto riguarda la sicurezza delle informazioni.
