Generalmente si pensa che la sicurezza informatica abbia due funzioni: rilevare e proteggere dalle minacce. Gli esperti, tuttavia, sanno che la cybersecurity è costituita da cinque pilastri: oltre a rilevare e a proteggere dalle minacce, è fondamentale fare un’analisi di tutto ciò che occorre proteggere, avere un piano di risposta quando si subisce un attacco e avviare la fase di recovery se necessario. Non si tratta solo di costruire un muro, ma di assicurarsi che il muro sia al posto giusto e che ci siano piani per quando (e non se) il muro viene violato. Per le aziende che si affidano agli MSP, è vitale avere la certezza che il loro operato sia guidato da tutti e cinque i pilastri.
La spina dorsale di un programma di cybersecurity è pianificare ciò che potrebbe accadere se qualcosa va storto, non trascurando nessun aspetto di sicurezza relativo alla rete. Devono esserci reportistiche rigorose per assicurarsi che gli errori non si ripetano all’infinito. Agli MSP spetta garantire non solo la propria sicurezza, ma anche quella dei loro clienti.
Il Cyber Security Framework di NIST (National Institute of Standards and Technology degli Stati Uniti) riunisce un insieme di linee guida e principi che un’azienda può prendere come riferimento per assicurarsi che stia seguendo le migliori pratiche di cybersecurity. Sviluppato per verificare le infrastrutture critiche, il framework è usato in tutto il mondo per verificare se i controlli di cybersecurity adeguati siano in atto.
Il framework NIST copre cinque funzioni fondamentali: identificazione, protezione, rilevamento, risposta e recupero.
Identificazione
Identificare quali risorse devono essere protette è fondamentale per le aziende. La prima domanda da porsi per un’azienda è se sappia con certezza dove sono i rischi maggiori e quali dovrebbero essere considerate le parti davvero critiche per l’azienda.
Ci sono numerose ragioni per cui un’azienda può perdere di vista il suo patrimonio IT. Per esempio, fusioni e acquisizioni possono lasciare i team IT alle prese con hardware e software che non conoscono. Inoltre, nuovi dipartimenti e gerarchie mutevoli possono portare a confusione. L’identità è forse la categoria più difficile su cui le aziende devono riflettere. Se un’azienda sta subendo troppe intrusioni, sa che ci sono problemi che devono essere risolti. Tuttavia, se parti dell’azienda non sono identificate e non sono protette, allora sono, per definizione, sconosciute.
Protezione
La sezione “protezione” del framework NIST è la prima che viene in mente quando si pensa alla sicurezza informatica. Le reti sono protette dagli attacchi? È in uso l’autenticazione a più fattori? I dipendenti vengono sottoposti a uno screening del rischio? La formazione è costante? E le minacce sono tracciate, identificate e documentate? In altre parole, se l’identificazione consiste nel decidere dove è necessario costruire un muro, questa sezione consiste nell’assicurarsi che il muro possa resistere a qualsiasi attacco.
Quando si pensa alla cybersecurity, questo è l’aspetto che più probabilmente salta alla mente – che i controlli di sicurezza informatica siano stati messi in atto per facilitare i principi di riservatezza, integrità e disponibilità dei dati e delle infrastrutture.
Rilevamento
Insieme alla protezione, questo è l’altro pilastro più conosciuto della sicurezza informatica. Usando la stessa analogia del muro di prima, è possibile affermare se qualcuno è dalla parte sbagliata ed individuare attività insolite e vulnerabilità? Che dire del personale non autorizzato, delle connessioni, dei dispositivi e del software?
Ingenti investimenti vengono fatti nel rilevamento – ed è probabilmente dove un’azienda inizierà il suo programma di cybersecurity. La prima cosa a cui si pensa quando ci si protegge dagli hacker è se è stato installato o meno un software antivirus. Le aziende meno mature in materia di cybersecurity vedranno la presenza di un antivirus come la soluzione al problema delle minacce informatiche, le aziende più competenti in materia di cybersecurity lo vedranno come un’area che necessita di attenzione continua.
Risposta
Qualcosa è andato storto. E adesso? Ci sono processi da attuare per mitigare le vulnerabilità? Questa parte della cybersecurity viene spesso trascurata: dopo tutto, se la protezione e il rilevamento funzionano come previsto, nulla dovrebbe andare storto. Naturalmente, non pianificare la risposta ad un attacco significa aprire le porte al disastro.
Considerando i risultati di questa nostra survey di inizio anno, poco più della metà (59%) delle aziende registra il numero di eventi, e solo un quarto (28%) misura gli eventi storici. Come possono le aziende rispondere se non registrano correttamente, e come possono imparare dall’esperienza?
Recupero
Cosa succede dopo che si ha subito un attacco? Esiste un piano di recovery? Simile alla fase di risposta, consente di rimettersi in pista e di tornare alle operazioni normali.
Le aziende che sono generalmente fiduciose nella loro capacità di recuperare dopo aver subito attacchi informatici, comunicano efficacemente agli stakeholder interni ed esterni. Ma quante aziende hanno in corso test automatici e manuali dei loro piani di risposta agli incidenti e di recovery? Inoltre è importante testare se il backup può essere ripristinato.
Riflettere su questi cinque pilastri permette alle aziende di considerare attentamente le aree che sono più spesso ignorate ed è uno strumento importante per gli MSP per scoprire proattivamente e mettere in sicurezza le loro aree più deboli, aggiungendole al contempo al loro portafoglio di servizi.
A cura di Lewis Pope, Head Nerd of Security di N-able
