Cos’è la Cyber Resilience e perché sta diventando fondamentale per le organizzazioni
A cura di Giulia Tonussi, Cybersecurity Consultant, Andrea Ierinò, Cybersecurity Consultant, Andrea Natta, Cybersecurity Consultant, Massimo De Nardi, Cybersecurity Analyst, Daniele De Menna, Cybersecurity Junior Consultant
In un'epoca in cui la tecnologia e l'informazione sono sempre più presenti e nella quale il cliente assume un ruolo sempre più centrale nel business delle aziende, diventa essenziale proteggere i dati sensibili e le infrastrutture critiche dalle minacce informatiche che possono compromettere da un lato la sicurezza delle organizzazioni e degli individui e dall’altro la corretta erogazione dei servizi verso i propri clienti, causando danni finanziari oltre che reputazionali. Per questi motivi, nel corso degli ultimi anni si sta affermando sempre di più il concetto di Cyber Resilience.
La Cyber Resilience, definita dal NIST come “La capacità di anticipare, resistere, recuperare e adattarsi a condizioni avverse, stress, attacchi o compromissioni di sistemi che utilizzano o sono abilitati da risorse informatiche” , viene in aiuto quando si ricerca una strategia che consenta alle organizzazioni di resistere e rispondere attivamente e rapidamente ad un’interruzione del servizio causata, ad esempio, da attacchi informatici ma anche quando si vuole ottenere una gestione complessiva degli incidenti maggiormente efficace.
Una corretta adozione della Cyber Resilience a livello organizzativo permetterebbe, tra le altre cose, di sviluppare e progettare strategie che complementano l’infrastruttura IT, migliorando di fatto la sicurezza e la protezione di tutta l’organizzazione. Agisce come un vero e proprio orchestratore, definisce cioè gli obiettivi e stabilisce nuovi requisiti, raccogliendo e integrando gli input provenienti da altre Funzioni aziendali al fine di guidare le decisioni e garantire la resilienza dei Servizi di Business importanti.
Come progettare la Cyber Resilience per garantire continuità all’esperienza del cliente
Tenendo conto poi dell’importanza di inserire il cliente al centro del proprio business, la Cyber Resilience (e più in generale la Resilienza Operativa) introduce il concetto di Customer Journey, ma prima di spiegare in cosa consiste è necessario illustrare la differenza tra approccio per processi e approccio per servizi:
- l’approccio per processi (tipico della Business Continuity classica) vede questi ultimi come una serie di attività interconnesse che mirano al raggiungimento di un obiettivo specifico. In questo caso, l’esecuzione dei test di continuità viene fatta considerando l’indisponibilità di un asset e valutando gli impatti e le relative soluzioni di continuità su ogni processo impattato.
- l’approccio per servizi vede invece questi ultimi come un insieme di risorse e capacità che coinvolgono uno o più processi e che consentono quindi di fornire un servizio completo ai clienti; questo approccio, in caso di interruzione o degrado, consente di valutare in maniera più precisa gli impatti nel loro complesso, e quindi identificare l’obiettivo di tolleranza.
Avendo chiaro in cosa differiscono processi e servizi risulta semplice dare una definizione del concetto di Customer Journey, il quale si basa su un approccio per servizi e consiste nell’insieme delle fasi attraverso le quali il cliente stesso interagisce con l’organizzazione per utilizzare un certo servizio (ad esempio il servizio Bonifico da Mobile Banking di una Banca).
La Cyber Resilience deve quindi essere progettata tenendo conto del Customer Journey, e per farlo è necessario visualizzare i propri servizi dal punto di vista del cliente per garantire che il livello minimo di servizio, durante un evento dannoso che potrebbe comprometterne la continuità, soddisfi le aspettative del cliente.
La tecnologia alla base della Cyber Resilience: il Security Orchestration Automation Response (SOAR)
Come anticipato in precedenza, la Cyber Resilience implica una risposta attiva e rapida per la risoluzione degli incidenti informatici. In tal senso, dal punto di vista tecnologico per raggiungere questo obiettivo un’organizzazione può avvalersi di un sistema di Security Orchestration Automation Response (SOAR).
Seguendo la definizione di Gartner, questo termine descrive una classe di piattaforme software che combinano in un’unica soluzione funzionalità di risposta agli incidenti, orchestrazione, automazione, e gestione della piattaforma di threat intelligence (Gartner, n.d.). Il SOAR, dunque, è una tecnologia che permette di gestire eventi di sicurezza informatica in modo efficace ed efficiente utilizzando un'unica piattaforma, la quale colleziona le informazioni da più fonti, raccolte dai vari sistemi di sicurezza (ad esempio SIEM, firewall, IDS, IPS etc.) e che risultano utili al monitoraggio dell’infrastruttura da parte del team di security operations aziendale. Tale strumento permette all’organizzazione di definire un processo di analisi e risposta degli incidenti tramite un workflow definito.
I prodotti SOAR attualmente in commercio permettono una gestione della sicurezza informatica tramite l’aggregazione di una grande mole di dati, utilizzo di moduli di threat intelligence, artificial intelligence e machine learning per classificare e individuare le minacce informatiche più gravi, la cui risoluzione necessita una risposta immediata da parte del team di sicurezza.
Un SOAR permette di descrivere tramite codice o interfaccia utente le azioni e i dati necessari per risolvere un evento di sicurezza. Tale processo si concretizza in un cosiddetto “workflow”. L'automazione consiste nell'uso della tecnologia per eseguire attività con un intervento umano ridotto, mentre l'orchestrazione è il coordinamento di più automazioni individuali per completare un flusso di lavoro. Tali caratteristiche di un SOAR portano ai seguenti benefici in termini di risposta ad un incidente e, dunque, in termini di Cyber Resilience:
- una riduzione del tempo medio di risoluzione di un incidente grazie all’automazione dei processi di risposta;
- riduzione degli errori umani e maggiore coerenza nell’esecuzione dei processi di risposta agli incidenti;
- migliore gestione di volumi elevati degli allarmi di sicurezza senza necessità di aumentare il personale;
- risparmio in termini di costi e possibilità da parte degli analisti di sicurezza di concentrarsi su attività strategiche;
- minor numero di incidenti non rilevati e una visualizzazione e reportistica più completa delle misure di sicurezza e protezione utilizzate.
La tecnologia SOAR, in pratica: identificare le mail di phishing
Un esempio di “Use Case” implementabile su una piattaforma SOAR può riguardare l’individuazione di mail di phishing. Infatti, un’azienda può ricevere un volume giornaliero di mail di sospetto phishing molto alto rendendo non gestibile manualmente la fase di triage in cui si identifica se una mail è malevola o meno (un operatore può impiegare dai 10 ai 45 minuti per analizzare una singola mail). Con un SOAR la fase di analisi e quarantena della mail viene automatizzata portando ad una riduzione del tempo di risoluzione e riducendo l’errore dell’operatore che potrebbe non identificare una mail malevola o, viceversa, segnalare come malevola una mail legittima.
Nonostante il SOAR rappresenti una soluzione che permette di migliorare la resilienza informatica di un’organizzazione, questo rimane uno strumento al servizio delle persone che compongono l’azienda le quali devono essere consapevoli dei rischi informatici in cui possono incorrere e le procedure che devono essere attivate nel caso si verifichino incidenti di sicurezza.
Infatti, nonostante la sofisticatezza dei sistemi di sicurezza, è importante sottolineare che la loro efficacia dipende soprattutto dalle azioni delle persone che compongono l'azienda. Ad esempio, un utente che utilizza la stessa password non sicura su tutti i suoi account è vulnerabile ad attacchi indipendentemente dai sistemi di sicurezza utilizzati. Per questo motivo, alla base della Cyber Resilience e della Cybersecurity più in generale ci sono gli utenti, che devono essere informati e addestrati ad adottare le best practice da seguire. Solo attraverso un approccio completo che coinvolge sia la tecnologia che gli utenti finali, si può garantire un livello di sicurezza adeguato per le organizzazioni e gli individui.
La normativa italiana ed europea in materia di Cyber Resilience
La Cyber Resilience riveste un ruolo sempre più centrale anche nel contesto normativo europeo e italiano in ambito Cybersecurity e le regolamentazioni emanate negli ultimi anni ne sono la testimonianza. Tali normative hanno portato ad un incremento degli adempimenti richiesti alle organizzazioni e un’attenzione sempre maggiore alla gestione e mitigazione dei rischi ICT e alla garanzia di mantenimento della resilienza, anche cibernetica.
La strategia adottata a livello Europeo mira, infatti, a stabilire un quadro normativo comune in cui definire e uniformare le misure necessarie ad assicurare la Cyber Resilience dell’UE e dei suoi Stati Membri, rafforzare la sicurezza di reti e sistemi informativi, migliorare le capacità in ambito Cybersecurity, di gestione dei rischi e di segnalazione degli incidenti, insieme a norme sulla cooperazione, la condivisione delle informazioni e la vigilanza.
Tra le principali normative europee e nazionali emanate nel corso del 2022 e “impegnate" sul fronte della Cyber Resilience occorre citare le seguenti:
- DORA - Digital Operational Resilience Act (Regolamento UE 2022/2554 e Direttiva UE 2022/2556 - dicembre 2022)
- Direttiva NIS2 (Direttiva UE 2022/2555 - dicembre 2022)
- Cyber Resilience Act (proposta di Regolamento UE - settembre 2022)
- Circ. 285 Banca d’Italia 40° aggiornamento (novembre 2022)
Le normative riportate, seppur differenti per tipologia (es. Regolamenti/Direttive europee, leggi nazionali) e applicazione (es. settore finanziario, cross-settore), trattano tematiche ricorrenti (es. controlli sulle Terze Parti, governance dei rischi ICT, segnalazioni degli incidenti etc.) e mirano a rafforzare la capacità delle organizzazioni di prevenire, resistere e rispondere alle minacce informatiche e di garantire la continuità dei servizi digitali in caso di eventi avversi, interruzioni di servizio e incidenti di sicurezza cyber.