La strategia di riduzione del rischio cyber sta emergendo come uno dei problemi più significativi che le organizzazioni devono affrontare nella gestione della propria cybersecurity. Inoltre, a fronte dell’espansione degli ecosistemi digitali, è fondamentale che le organizzazioni abbiano una visione approfondita delle loro risorse digitali principali e del livello di rischio presente.
Pertanto, vediamo di seguito di che si tratta.
Comprendere e monitorare la superficie di attacco la propria organizzazione
Di fatto il cammino verso la cybersecurity inizia con la presa di coscienza della propria organizzazione e soprattutto della superficie di attacco. Le organizzazioni di oggi dispongono di centinaia di migliaia di asset digitali – i.e. nel cloud, in tutte le aree geografiche, le business unit e le filiali – il che rende difficile individuare i punti in cui possono risiedere dei rischi.
Il primo passo fondamentale per definire una roadmap di cybersecurity è l’identificazione dei rischi su tutto il portafoglio digitale dell’organizzazione. Ciò significa analizzare in modo continuo la superficie di attacco per ottenere una visione completa delle vulnerabilità. Inoltre, è essenziale poter eseguire scansioni in qualsiasi momento per localizzare con precisione le risorse digitali, comprese le istanze cloud, lo shadow IT e valutare il rischio informatico associato a ciascun asset.
È doveroso evidenziare che, oggi, esistono sul mercato veri e propri cruscotti intelligenti che sono in grado di monitorare continuamente e di identificare immediatamente le lacune nei controlli di sicurezza (i.e. vulnerabilità, configurazioni errate e sistemi privi di patch) negli ambienti on-premise, nel cloud e negli uffici remoti in modo tale da utilizzare le informazioni per creare piani adeguati di gestone del rischio cyber.
Svolgere un benchmark di cybersecurity
Si consiglia di confrontare il proprio programma di cybersecurity con altre organizzazioni di dimensioni simili del settore di appartenenza per prendere decisioni più informate su dove concentrare i propri sforzi in materia di cybersecurity, oltre a coinvolgere il top management ed il Consiglio di amministrazione in modo che capiscano in che modo il programma si allinea sia agli standard del settore sia alla galassia normativa europea. Ciò è propedeutico a garantire: il miglioramento dei piani di sicurezza; l’allocazione delle risorse; la cooperazione tra operatori del settore; la condivisione dei risultati in linea con i requisiti normativi europei.
Comprendere e mitigare il rischio di terze parti
Le terze parti ricoprono sempre più un ruolo essenziale nei nostri ecosistemi e possono essere vettori dei rischi cyber. Di fatto, gli attacchi alla supply chain stanno diventando sempre più comuni e la mitigazione di questi rischi deve essere presa in considerazione nella roadmap della cybersecurity, soprattutto considerando i stringenti requisiti della direttiva NIS2 e del regolamento DORA.
Si tratta di eseguire le valutazioni di sicurezza dei fornitori, in modo da ottenere una panoramica, quasi in tempo reale, del loro stato di sicurezza, con punteggi più elevati che indicano prestazioni di sicurezza migliori. Di fatto, gli strumenti di valutazione possono essere utilizzati sia prima dell’onboarding sia durante tutto il ciclo di vita del contratto con il fornitore, permettendo di valutare rapidamente i rischi associati. Ad esempio, qualora un fornitore acquisisca un’altra società o espanda il proprio portafoglio tecnologico, è possibile generare un report per verificare se ci sono stati cambiamenti nel comportamento di sicurezza. Tale aspetto è particolarmente rilevante, considerando che spesso un fornitore ha accesso a dati sensibili, quali: buste paga, informazioni legali o contabili.
Inoltre, si consiglia di stabilire soglie di rischio accettabili da osservare da parte del fornitore e integrarle nei contratti, analogamente a un Service Level Agreement (SLA) e clausole di uscita. Inoltre, se la valutazione del fornitore scende al di sotto di tali soglie, viene generato un avviso e il reparto competente può coinvolgere il fornitore per avviare le azioni correttive o rescindere il contratto. Ancora, il fornitore dovrà sempre più garantire – inserendo anche tale clausola – la continuità del business attraverso adeguati piani di disaster recovery e di business continuity, oltre che partecipare periodicamente a test ed esercitazioni per comprovare l’allineamento con l’organizzazione e la capacità di reazione agli incidenti cyber.
Dare priorità alla consapevolezza e alla formazione in termini di competenze in cybersecurity
Secondo l’ultimo rapporto Verizon 2025 sulla violazione dei dati, l’elemento umano è nel 60% dei casi la causa principale dei data breach. Per mitigare questo rischio, è necessario pianificare frequenti sessioni di formazione sulla consapevolezza della cybersecurity.
Inoltre, è consigliabile stabilire una cadenza periodica della formazione che si adatti alle esigenze dei dipendenti – oltre che al ruolo ricoperto – prevedendo, ove il caso, anche percorsi di certificazione tecnica. Si consiglia di iniziare con un ciclo di quattro o sei mesi, dopodiché è utile mettere alla prova i dipendenti per verificare il livello di apprendimento e, in base ai risultati, apportare eventuali modifiche al programma di formazione.
È opportuno, in primis, concentrarsi su alcuni argomenti fondamentali, tra cui: la corretta gestione delle password, la sicurezza delle reti Wi-fi, l’importanza di applicare regolarmente le patch di sicurezza e altri aspetti simili. Inoltre, è doveroso ricordare che la formazione e le esercitazioni sono uno dei requisiti di NIS2 e DORA.
Comunicare lo stato di sicurezza al CdA
È fondamentale, comunicare lo stato di sicurezza al CdA o organi direttivi, considerando che ora sono “accountable” per la gestione del rischio cyber. Ricordiamo che, in caso di violazioni, il consiglio sarà ritenuto responsabile e dovrà dimostrare di aver ricevuto una formazione adeguata in cybersecurity e di aver approvato le misure di gestione del rischio informatico adeguate.
Una comunicazione efficace in ambito cybersecurity si basa su report accurati e significativi. Tuttavia, l’estrazione manuale di metriche dai diversi sistemi può risultare dispendiosa in termini di tempo e risorse. Per questo motivo, molte soluzioni di cybersecurity oggi offrono funzionalità di reporting centralizzate, che consentono ai vertici aziendali di accedere rapidamente a informazioni complete sulle prestazioni di sicurezza e sull’esposizione finanziaria dell’organizzazione.
Inoltre, questi strumenti permettono di generare report dettagliati sull’impatto degli investimenti in cybersecurity, mettendo in evidenza decisioni più efficaci basate sul rischio. In questo modo, si offre al Consiglio di amministrazione/ordini direttivi un supporto concreto per prendere decisioni informate e tempestive, con l’obiettivo di migliorare la postura di sicurezza complessiva dell’azienda.
Conclusione
È essenziale, nell’attuale era digitale, garantire la capacità di anticipare, resistere e riprendersi da eventi cyber avversi, seguendo una roadmap semplificata, ma efficace, come quella sopra descritta.
Di fatto, cybersecurity, information security, gestione del rischio e continuità operativa rappresentano strumenti chiave in questo percorso: il risk management e la business continuity consentono di identificare, valutare i rischi e misurare gli impatti; la cybersecurity protegge sistemi e reti da attacchi e minacce; l’information security tutela le informazioni sensibili da accessi non autorizzati o perdite.
È quindi fondamentale garantire una risposta efficace agli incidenti, basata su una strategia solida che includa non solo formazione periodica, ma anche esercitazioni e test regolari, al fine di rafforzare la cyber resilienza aziendale. Una capacità sempre più richiesta sia dall’ecosistema normativo europeo sia dalle compagnie assicurative per la sottoscrizione delle polizze cyber, sia dalle banche come prerequisito per l’accesso al credito.
Cybsec-news.it vi invita alla terza edizione della CYBSEC EXPO, in programma a Piacenza dal 9 all’11 Giugno 2025.
