10 regole sulla sicurezza informatica proattiva.

Benvenute, e benvenuti, a una nuova serie di contenuti, che ho denominato "Il digitale per tutti" e che vi faranno compagnia tutti i venerdì mattina fino alla fine del 2023 su questo blog. Sono, essenzialmente, dei decaloghi nei quali ho elaborato una serie di regole, comprensibili anche per i non esperti, per affrontare singoli temi legati alla cybersecurity e agli attacchi informatici. Il fine è, ovviamente, quello di aumentare la sensibilità nei confronti di questi temi e, di conseguenza, le difese collettive.

Alcune premesse

Nel mondo della sicurezza informatica e degli attacchi criminali, molto interessante è il concetto che è stato sviluppato dagli esperti di "sicurezza proattiva", una vera propria strategia che, se bene implementata, può diventare fondamentale anche e soprattutto in contesti molto ampi e difficili da gestire (si pensi a un ente pubblico, a una multinazionale o a un ospedale).

Un approccio "proattivo" presuppone, molto genericamente, che si sia sempre pronti a reagire in caso di attacco o di incidente informatico e che si abbia, quindi, un articolato apparato interno (persone, software, hardware e servizi) deputato a ciò.

Come si reagisce, in concreto, in maniera proattiva? Mettendo in campo, prima, una serie di ruoli, di funzioni e di procedure "pronte", appunto, ad attivarsi non appena vi sia un momento, o accadimento, critico.

Il primo passo è solitamente quello di progettare con cura (e creare concretamente) un centro di sicurezza operativo (che sia interno o esterno, poco importa) che permetta di rilevare, identificare, analizzare e segnalare gli attacchi prima che gli stessi possano trasformarsi in una minaccia concreta per l’azienda o per l'ente.

Il tutto deve avvenire con, alla base, l'impostazione di un corretto protocollo di reazione a eventuali attacchi informatici prevedendo un approccio strutturato e ben organizzato anche con riferimento ai ruoli di tutte le persone coinvolte e a delle policy specifiche.

Il quadro finale dovrà prevedere senza esitazioni e pianificare come gestire gli incidenti, come limitare i danni diretti e indiretti al sistema, agli asset e alle persone, e come ridurre i tempi e i costi di ripristino delle attività.

DIECI semplici regole da conoscere per comprendere questi punti

1. Diventa indispensabile creare, all'interno dell'azienda o dell'ente, una sorta di "centro di pronto intervento", o "unità di crisi" che dir si voglia, che sia pronta a intervenire immediatamente in caso di incidente informatico o attacco cibernetico.
2. Fondamentale è stabilire chiaramente i ruoli di tutti i soggetti, interni ed esterni, che vantano un ruolo correlato alla sicurezza informatica e alla gestione degli incidenti.
3. Ococrre coordinarsi sin dall'inizio con il Data Protection Officer, comprendendo e facendo ben comprendere a tutti il suo ruolo e integrando le sue attività (si pensi all'analisi del rischio e alle valutazioni d'impatto) con quelle dei ruoli più "puri" legati alla cybersecurity.
4. Importante è verificare le procedure legate ai possibili data breach, sia nei confronti degli obblighi che si hanno verso l'Autorità di Controllo, sia verso gli interessati/clienti, prevedendo e formalizzando un protocollo di intervento mirato (o una policy) sulla gestione degli incidenti informatici.
5. Bisogna cercare di anticipare il più possibile gli attacchi, analizzando anche gli incidenti già avvenuti e tenendo, a tal fine, un aggiornato registro degli incidenti (anche di quelli più piccoli e apparentemente irrilevanti).
6. Molto utile è elaborare un regolamento interno con la chiara indicazione dei protocolli di reazione a seconda dei vari tipi di incidenti (cosa fare in caso di attacco criminale ransomware, in caso di problemi interni e di dipendenti infedeli, in caso di smarrimento o furto di un computer, etc).
7. Occorre creare una "mappa", o organigramma completo sia interno sia esterno, di tutte le persone deputate a gestire le crisi informatiche, e renderlo noto a tutti i dipendenti (così sanno a chi rivolgersi e vedono immediatamente il ruolo cui devono riportare eventuali incidenti).
8. Fondamentale diventa coinvolgere anche tutti i partner che forniscono servizi tecnici e, soprattutto, i loro amministratori di sistema e i loro responsabili della sicurezza.
9. Bisogna formare specificamente gli amministratori di sistema, e l’ufficio di gestione della sicurezza e degli incidenti informatici.
10. Buona cosa è valutare la previsione di strumenti specifici di mitigazione e di contenimento del danno e l'eventuale accensione di coperture assicurative, soprattutto per coprire i costi di ripristino delle funzionalità del sistema.