Scenario

Palo Alto Networks: come gestire una crisi di sicurezza informatica

Si parla oramai da anni, decenni, di gestione della crisi in azienda. Un interesse specifico, sempre più crescente, è quello che riguarda le crisi informatiche, che oramai non coinvolgono più solo i reparti T.

Il motivo? Mettere down i sistemi, risolvere flussi e processi, richiede un mix di competenze e azioni che possono avere un impatto significativo sul business immediato di una compagnia.

Non a caso, l’Allianz Risk Barometer 2020 – il più grande sondaggio sui rischi a livello mondiale – ha riconosciuto le interruzioni del business causate da violazioni di sicurezza IT come il rischio più grave per le organizzazioni.

Ed è il motivo per cui Palo Alto Networks ha messo assieme quelle che, secondo il gruppo, sono le regole d’oro che ogni CEO dovrebbe conoscere e da mettere in pratica nel corso di una crisi.

Come spiega Sergej Epp, chief security officer, Central European region, Palo Alto Networks, la prima regola è prendere il comando. «Delegare il lavoro al team IT durante una violazione informatica può essere pericoloso per l’azienda e per voi personalmente».

«Le interruzioni operative e i costi delle controversie legali hanno un effetto immediato sulla reputazione, se non gestiti a dovere. Non sorprende infatti che gli azionisti stiano iniziando a richiedere conseguenze personali per le aziende coinvolte in un incidente informatico. Una gestione efficace comporta un impegno a livello di consiglio di amministrazione».

Sergej Epp, chief security officer, Central European region, Palo Alto Networks
Facce Aziendali

Poi, capire che è tutta una questione di comunicazione. «Quando si è colpiti da un attacco, nessuno vuole essere al centro dell’attenzione. Si è trattato di una lacuna nella sicurezza o di un attacco hacker in piena regola? Avete valutato davvero la portata dei dati trafugati? Ci sono altre backdoor che potrebbero essere utilizzate per attività di sabotaggio?»

«Una crisi IT è quasi sempre molto complessa. Possono essere necessari da mesi ad anni per rispondere a tutte queste domande. Tuttavia, la giusta strategia di comunicazione determinerà il parere dell’opinione pubblica sul modo in cui avete gestito l’incidente. Trattare la crisi in modo trasparente vi porterà benefici tra cui il sostegno delle autorità».

Il terzo punto è la necessità di coinvolgere vari stakeholder nel processo di difesa e ripristino. «La segnalazione e l’analisi tecnica possono probabilmente essere fatte in modo più efficace da aziende esterne che hanno affrontato situazioni simili. La maggior parte delle aziende è scettica nel considerare i fornitori di sicurezza come partner ma, in realtà, sono forse loro i partner migliori per aiutarvi a mitigare la minaccia».

Contenere una crisi informatica potrebbe richiedere anni se si seguono tutte le raccomandazioni disponibili. Come riesce il CISO a bilanciare il contenimento degli incidenti mantenendo l’operatività? «La task force può applicare un approccio di contenimento basato sul rischio, affrontando le questioni più importanti. Come nelle epidemie di virus, il paziente zero può aiutarvi a ricostruire il percorso dell’attacco e identificare le potenziali backdoor create come backup nella vostra rete».

Infine, bisogna essere prudenti, non dispiaciuti. «Stimate il costo complessivo dell’attacco. Non solo nel caso in cui abbiate un’assicurazione, ma anche per ricavare l’investimento necessario per la sicurezza».

«Non importa quale sia il vostro settore, un piano di cyber resilienza adeguato è un must se volete essere preparati per lo scenario peggiore. Ridurre la portata dei danni di un attacco cibernetico è l’obiettivo primario».