Cybersecurity: La Gestione Del Rischio Aziendale Nell’era Digitale

Business Impact Analysis (BIA) è un processo che valuta il potenziale impatto e le ricadute sul business di eventi che causano l’interruzione dell'attività aziendale.
L’analisi di impatto richiede che si identifichino le diverse implicazioni relative ad una interruzione dei processi aziendali causata da un evento interno o esterno. Tale attività ha lo scopo di individuare e valutare i processi aziendali rilevanti ai fini della continuità operativa e di sviluppare valutazioni sull’impatto conseguente al verificarsi di scenari che possano minacciare il normale svolgimento del business.
In questo caso, la BIA sarà utilizzata per identificare gli elementi critici del sistema informativo di un'organizzazione. A tal fine, la BIA correla gli elementi di sistema (sistemi, reti e dati) con la mission dichiarata dell'organizzazione, identificando gli elementi del sistema informativo più critici in base al costo che l'interruzione causerebbe.

Ci sono tre passaggi coinvolti nel completamento di un BIA:
1. Determinare la mission / processi aziendali e la criticità del ripristino: il primo passo implica l'identificazione dei processi aziendali supportati dal sistema in considerazione della valutazione dell'impatto nel caso in cui il sistema venga interrotto. L'organizzazione dovrebbe anche valutare il tempo massimo che può permettersi di essere offline pur essendo in grado di soddisfare la sua mission.
2. Identificare i requisiti delle risorse: il valutatore dovrebbe identificare le risorse necessarie per riprendere le operazioni commerciali il prima possibile. Le risorse possono includere software, personale, hardware o componenti di sistemi critici.
3. Identificare le priorità di ripristino per le risorse di sistema: in base alle informazioni raccolte durante le prime due fasi, il valutatore collega i sistemi alla mission aziendale e ai processi importanti. In tal modo, i sistemi possono essere organizzati in base a livelli di priorità per attuare le attività di recupero.

I sistemi critici
Le organizzazioni dipendono da vari sistemi per raggiungere i propri obiettivi operativi. L'importanza di questi sistemi varia notevolmente da un'organizzazione all'altra. Il fallimento di un sistema operativo potrebbe avere conseguenze diverse a seconda della sua importanza potendosi tradurre in pesanti perdite economiche. Questi sistemi critici possono essere riassunti in tre categorie:
1. Sistemi mission-critical: questi sono i sistemi responsabili dell'esecuzione di funzioni da cui le organizzazioni dipendono per raggiungere gli obiettivi dichiarati. Il fallimento della mission dei sistemi critici può comportare la completa incapacità di un'organizzazione di continuare le sue operazioni chiave. La rete elettrica ucraina, ad esempio, dipende dai suoi sistemi di controllo industriale per distribuire l'elettricità alle case dei residenti. Senza questo sistema, non possa raggiungere l’obiettivo di fornitura elettrica, rendendolo un sistema mission-critical. Questo sistema è stato preso di mira nel 2015 da parte di russi. L'attacco ha sostanzialmente bloccato l'accesso ai sistemi di controllo industriale che gestiscono i generatori di energia. Di conseguenza, gli hacker avrebbero potuto interrompere il flusso di elettricità di almeno trenta sottostazioni.
2. Sistemi business-critical: questi sistemi hanno una funzione specifica nel garantire un’efficace fornitura dei servizi di un'organizzazione. I sistemi Business-critical si concentrano sulla gestione delle risorse e, a differenza dei sistemi mission-critical, il fallimento di un sistema business-critical non si traduce in un arresto completo dei servizi di un'organizzazione. Il fallimento di sistemi critici altera o interrompe l'organizzazione dei servizi per un certo periodo di tempo, con notevoli perdite economiche. Un esempio di un sistema critico per l'azienda è un sito web bancario. Tra il 2011 e il 2013, numerosi attacchi DDoS hanno impedito agli utenti l'accesso alle pagine web di importanti banche statunitensi, come la Bank of America. Sebbene le pagine web fossero inaccessibili, le banche continuarono le loro operazioni quotidiane con difficoltà nel fornire servizi bancari ai clienti.
3. Sistemi critici per la sicurezza: sono i sistemi che proteggono la sicurezza fisica e l'ambiente di una organizzazione. I guasti nei sistemi critici per la sicurezza hanno la possibilità di causare danni all'ambiente o mettere a rischio la vita umana. Per esempio, nel 2016, i servizi di emergenza del 911 in dodici stati degli Stati Uniti sono stati interrotti con un attacco DDoS su larga scala. L'attacco è stato eseguito quando migliaia di telefoni cellulari e tablet, infatti, sono stati spinti dall'hacker ad inviare ripetutamente chiamate ai centri di emergenza. L'elevato volume di traffico dei chiamanti ha posto i centri di emergenza a rischio di perdere il servizio. Questo ha reso quasi impossibile rispondere alle chiamate di emergenza, mettendo in pericolo la salute e la sicurezza pubblica.

Industrie a rischio e sistemi critici per settore
La trasformazione digitale sta interessando tutti i settori della nostra economia cambiando il modo di fare industria, le nostre relazioni e la società stessa.
Gli attacchi informatici costano alle organizzazioni milioni di dollari ogni anno.
Secondo il rapporto del Politecnico di Milano sulle minacce subite dalle aziende45, i cyberattacchi son in crescita a due cifre (+40% sul 2019) mentre gli investimenti effettuati dalle aziende per la cybersicurezza crescono del quattro per cento.
Il 2020 è stato un anno difficile in cui solo il 40% delle grandi imprese ha incrementato gli investimenti mentre un quinto ha ridotto il budget a causa della recessione. Lo scenario che si è venuto a creare, per una impresa su due, è stata l’occasione per investire in formazione e in tecnologie per aumentare la consapevolezza e la sensibilità sulla sicurezza e sulla protezione dei dati dei dipendenti. Nel primo semestre 2020, un’incidente di sicurezza su sette è legato al tema Covid.
Le aziende dimostrano una scarsa maturità, solo nel 41% dei casi la responsabilità della sicurezza ICT è affidata a un direttore della sicurezza informatica e nel 38% dei casi non è prevista nessuna comunicazione al board sulla materia. A seguito della spinta normativa, la gestione della protezione dei dati si è evoluta e la maggior parte delle imprese dispone di un responsabile della protezione dei dati (DPO), figura prevista dal GDPR.
Critica appare la situazione delle PMI. Per il 59% l’uso dei pc personali e delle reti domestiche ha esposto le aziende a maggiori rischi di sicurezza e per la metà sono aumentati gli attacchi informatici. Per le PMI è emergenza risorse perché solo il 22% per quest’anno ha previsto investimenti in sicurezza ma è stata poi obbligata a ridurre il budget a causa della congiuntura negativa; un terzo non si è dato un budget e più di un quarto non è interessato all’argomento sicurezza.
Il Framework Nazionale per la Cybersecurity può essere adattato ai diversi contesti eterogenei presenti nel panorama nazionale tramite la creazione di apposite contestualizzazioni. Aziende di settori merceologici diversi, in ambito cyber, hanno infatti requisiti, criticità e peculiarità diverse.
Questo vuol dire che a seconda di un insieme di fattori (quali settore merceologico, tipo di servizi o prodotti, dimensione, esposizione al rischio, etc.), l’insieme delle pratiche di sicurezza da mettere in atto e i processi necessari, possono essere anche molto differenti tra loro.
Le contestualizzazioni del Framework sono strumenti di altissimo valore, in quanto permettono di strutturare la gestione del rischio cyber delle organizzazioni target. Creare una contestualizzazione è un’operazione complessa che richiede ci sia un’elevata conoscenza del dominio applicativo e una significativa padronanza del Framework Nazionale.

Il progetto mira alla stesura di contestualizzazioni del Framework per:
• grandi imprese (a seconda del settore merceologico, es. energetico, edilizia, telecomunicazioni);
• grandi aziende ospedaliere;
• grandi PA centrali (es. ministeri);
a opera di partenariati privato-accademia per il primo caso, pubblico-privato-accademia per gli altri due.
Le ricadute del progetto saranno molteplici: oltre a innalzare il livello di sicurezza generale del tessuto imprenditoriale e della PA italiana, si avrà una coerenza cross-settoriale nella gestione del rischio, un linguaggio cyber comune condiviso tra pubblico e privato e anche tra privato e privato, che agevolerà la condivisione e la cooperazione dei requisiti.