Cyberwarefare linee guida per la sicurezza aziendale

Nella storia le guerre si sono combattute a terra, in mare e in cielo, quella di oggi vede un ulteriore terreno di scontro: il cyberspace.

È una guerra economica e strutturale che mira a minare il funzionamento e l’operatività non solo delle infrastrutture strategiche ma anche del tessuto economico e sociale dei paesi coinvolti attaccando direttamente le aziende, pubbliche e private.

I criteri per identificare i target, le aziende obbiettivo di attacco, sono determinati da software che in autonomia scansionano la rete alla ricerca di vulnerabilità e il più delle volte prescindono da una valutazione umana circa la riconoscibilità, la dimensione o l’importanza strategica della vittima.

Per questo motivo il retropensiero che porta molte aziende a non considerarsi come possibili target di attacco e quindi a sottovalutare il pericolo, è frutto di una non corretta comprensione delle dinamiche di selezione e di attacco.

In un momento particolare come quello della guerra tra Russia e Ucraina, che come abbiamo visto, si combatte anche nel cyberspace e ha visto un aumento esponenziale degli attacchi alle aziende occidentali, ogni rete connessa a internet dovrebbe venir considerata come possibile target ed alzare velocemente le proprie difese.

L’Istituto Nazionale per gli Standard e la Tecnologia (NIST) agenzia governativa statunitense, punto di riferimento mondiale per la ricerca in sicurezza informatica, ha creato un modello, una road map per la sicurezza informatica aziendale.

Il Cybersecurity Framework di Nist si compone di 5 fasi funzionali all’aumento della sicurezza che segnano 5 step obbligatori nella road map per la sicurezza aziendale:

1) Identificazione

Mettere a fuoco il contesto organizzativo, l’ambito applicativo dell’azienda, l’ambiente esterno, gli asset da tutelare (software, hardware, prodotti, servizi, dati, risorse umane, know how, avviamento, segreti industriali).

2) Protezione

Identificare le soluzioni che possano impedire il verificarsi di un incidente di sicurezza informatica o quantomeno mitigarne gli effetti. Responsabilizzare e sensibilizzare il personale, implementare le misure di sicurezza. Rendere sicuro l’accesso agli asset e alle informazioni, proteggere i dati sensibili, effettuare backup regolarmente (e controllarne il funzionamento), proteggere i devices.

3) Rilevamento

Implementare metodologie volte a identificare eventi configurabili, anche solo astrattamente come incidenti informatici, rilevando anomalie e relativo impatto infrastrutturale.

4) Risposta

È l’insieme di attività che devono essere coordinate, e quindi pianificate precedentemente, in caso di incidente informatico. Ridurre il più possibile l’impatto e la diffusione degli effetti dell’incidente, dei relativi danni, possibilmente compartimentando la struttura aziendale.

5) Ripristino

È l’attività di ripristino della struttura oggetto di incidente alla normalità. Progettare in anticipo le attività di ripristino attivando sistemi di resilienza informatica quali la dotazione di sistemi di back up, di disaster recovery e business continuity.

Le attività indicate nel Cybersecurity Framework, quindi, necessitano di un importante attività preventiva e di programmazione che dovrebbero essere la priorità per ciascuna azienda, specialmente in questa fase di guerra cibernetica.

Giovanni Brancalion Spadon

Giovanni Brancalion Spadon

Nato a Venezia, ha studiato presso l’Università di Bologna e presso l’UCLA California, è iscritto all’Albo Avvocati di Venezia dal 2004. Dopo la laurea ha conseguito un master in Diritto delle Nuove Tecnologie, uno in Diritto Ambientale e uno in Diritto d’Autore e dello spettacolo e si è specializzato in Blockchain Technologies presso il Massachusetts Institute of Technology (MIT) di Boston. Docente presso la Business School dell’Università Ca’Foscari di Venezia, collabora con istituti di formazione per le materie connesse al diritto delle nuove tecnologie, alla privacy e alla blockchain e relative applicazioni, all’amministrazione digitale; è consulente di P.A. per la digitalizzazione e l'adeguamento GDPR. Socio fondatore di Porto4, è dedicato principalmente ai programmi 4ANALYSIS - analisi strategica d'Impresa, 4 GDPR  e 4FORMAZIONE - per la diffusione della cultura legale nelle imprese. Da oltre 15 anni opera nel diritto delle nuove tecnologie, industriale, d’autore e societario. E’ interessato ai processi d’innovazione in ogni ambito, appassionato d’arte contemporanea e insegna teatro.