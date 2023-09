4. Siamo davvero aggiornati sulla valutazione delle minacce emergenti?

I criminali informatici non dormono mai, sono sempre in azione. “Quando si parla di strategia di sicurezza informatica, è necessario tenere una conversazione molto diretta sulla nuova natura delle minacce informatiche”, suggerisce Griffin Ashkin, senior manager della società di consulenza aziendale MorganFranklin Consulting.

L’esperienza recente ha dimostrato che i criminali informatici stanno andando oltre il ransomware per passare alla cyber-estorsione, avverte Ashkin. “Minacciano di diffondere all’esterno le informazioni di identificazione personale (PII) dei dipendenti, esponendo i dipendenti a un rischio significativo di furto d’identità”.

Ashkin ritiene che i responsabili della sicurezza debbano sforzarsi di trasferire il maggior numero possibile di risorse infrastrutturali on-premise, spostando così le responsabilità della protezione informatica ai fornitori di cloud. Inoltre, le conversazioni periodiche con il management dovrebbero portare a decisioni-chiave, come quelle relative ai potenziali investimenti in strumenti di sicurezza aumentati, ai materiali di formazione aggiornati per la consapevolezza della sicurezza, alla comunicazione aggiuntiva con gli utenti finali per sensibilizzarli sulle più recenti minacce alla sicurezza e qualsiasi altra misura rilevante necessaria per affrontare e mitigare il rischio dei dipendenti.

5. Abbiamo un piano di risposta agli incidenti realmente efficace?

Ogni azienda deve tenere una conversazione incentrata sulla risposta agli incidenti, raccomanda Zachary Folk, direttore delle soluzioni di ingegneria della società di cybersicurezza Camelot Secure.

Secondo Folk, la pianificazione è fondamentale. Le discussioni devono coinvolgere il personale esecutivo dell’azienda, tra cui il CIO, il CISO, il CTO, il coordinatore del team di risposta agli incidenti e tutti i capi reparto. Le riunioni e le conversazioni dovrebbero portare allo sviluppo o all’aggiornamento di un piano di risposta agli incidenti, suggerisce Folk. Le discussioni dovrebbero anche esaminare gli asset e le priorità mission-critical, valutare il probabile impatto di un attacco e identificare le minacce più probabili.’

Cambiando l’approccio alla gestione del rischio dell’azienda, passando da una misurazione basata su matrici (alta, media o bassa) a una riduzione quantitativa del rischio, si basa l’impatto potenziale effettivo sul numero di variabili necessario, dice Folk. “Utilizzando semplici simulazioni Monte Carlo e i dati raccolti dall’azienda, è possibile fornire ai membri del personale senior una probabilità effettiva di perdita, un evento potenziale e un impatto”.

6. Stiamo ottenendo il massimo ROI sui nostri investimenti in sicurezza?

È ora di smettere di fuggire dalle conversazioni sul ROI della sicurezza, afferma Brian Contos, CSO di Sevco, società che si occupa di visibilità degli asset IT e di cybersecurity. Le aziende hanno investito molto in CMDB, SIEM, SOAR, EDR [in inglese], gestione delle vulnerabilità e soluzioni correlate.

“Per ottenere valore da queste soluzioni, le imprese devono assicurarsi che le informazioni che vi confluiscono, come quelle sulle risorse, siano tempestive, accurate e con uno spazio ridottto al minimo”, tiene a precisare. Una solida asset intelligence all’interno delle soluzioni di sicurezza di classe enterprise non solo aiuterà a mitigare meglio i rischi, ma migliorerà il ritorno di questi investimenti.

Secondo Contos, la conversazione sul ROI dovrebbe portare i team dedicati alla sicurezza, alle IT operations e alla GRC (governance, risk e compliance) a ottenere una migliore visibilità del proprio ambiente. Dovrebbe concentrarsi su tutto ciò che è positivo e negativo, identificando le aree che richiedono un miglioramento più rapido. Le azioni prioritarie possono quindi essere assegnate ai team appropriati per affrontare argomenti quali licenze, miglioramento dei processi, ricerca di vulnerabilità, visibilità dei controlli di sicurezza e mandati normativi.

“In definitiva, la mitigazione del rischio e la massimizzazione del ROI dovrebbero combinarsi quando l’asset intelligence viene utilizzato per arricchire l’efficacia degli strumenti esistenti incentrati sulla sicurezza, sulle operazioni IT e sul GRC”, consiglia l’esperto.

7. Qual è la reale portata della nostra esposizione finanziaria?

Forse la conversazione più critica sulla strategia di sicurezza IT si concentra sulla risposta a un’unica domanda: “Quali perdite finanziarie subirebbero i nostri clienti se i nostri sistemi IT andassero in tilt?”.

L’obiettivo di queste discussioni dovrebbe essere la creazione di un ambiente IT sicuro, solido e resiliente, che i clienti possano percepire come attivo e funzionante, consentendo la fornitura di prodotti e servizi senza interruzioni, dice Rob Fitzgerald, field CISO della società di strategie e servizi gestiti IT Blue Mantis.

Questa conversazione dovrebbe avvenire non meno di una volta all’anno e, idealmente, prima della stagione del budget, in modo che il CIO e il CISO possano pianificare di conseguenza, consiglia Fitzgerald. Se si verificano eventi di grande impatto per l’azienda, la conversazione deve avvenire anche in quei momenti. “Per esempio, se un’impresa sta per vendere una divisione o acquisire un’altra azienda, il CIO e il CFO hanno l’obbligo fiduciario di rivalutare la perdita fiscale che i clienti subirebbero in caso di indisponibilità dei sistemi IT”.