Checklist per le vacanze: nella valigia del CISO maschera, pinne e Cyber Resilience

Eccoci, in partenza: finalmente le ferie. Dopo un anno come questo mi merito una vacanza tranquilla.

Hotel prenotato, tagliando auto fatto, green pass scaricato, bagaglio pronto. Magliette e cambi sotto, pinne sopra. Il tablet lo metto in uno zainetto ridotto all’osso, mi porto soltanto i cavi di alimentazione e le cuffie. Non so se ho dimenticato qualcosa ma tanto ho segnato tutto su OneNote.

Adesso devo soltanto organizzare l’assenza dal lavoro. Deve essere tutto in ordine, perché vorrei evitare di ritrovarmi come lo scorso anno: chiamata del collega dopo venti minuti di autostrada, tentativo riuscito di intrusione, data breach, vacanza passata a fare call dal balcone mentre guardo la famiglia in spiaggia che si rilassa.

Purtroppo è più facile a dirsi che a farsi: quello delle ferie è uno dei periodi dell’anno preferiti dagli hacker, perché si abbassa il livello di attenzione, tutte le attività sono ridotte al minimo e si dilatano i tempi di risposta.

I malware e ransomware sono forse il problema più diffuso in questo periodo: partono da attacchi di phishing e/o smishing e approfittano della distrazione, o magari dell’uso da parte dei dipendenti in ferie di reti WIFI non sicure.

Ci sono poi gli attacchi a livello rete, come i DDoS: non si può rischiare che i clienti non possano accedere al nostro sito e ai nostri servizi perché resi indisponibili da un attacco di Denial Of Service.

E, oltre agli attacchi mirati, va considerata anche l’eventualità di lateral movement,in cui chi attacca compromette un dispositivo di un dipendente o di un fornitore, per poi farsi strada verso i server centrali.

Proprio per riuscire a resistere, rispondere e recuperare in caso di attacco, anche e soprattutto nei periodi in cui l’azienda è più vulnerabile (come quello delle ferie), ho messo in opera una serie di operazioni orientate alla Cyber Resilience: credo di poter essere ragionevolmente certo che non accada nulla di brutto in mia assenza, ma un ultimo check su OneNote non guasta.

Dunque:

  • Backup – fatto. I backup sono organizzati, programmati con frequenza maggiore del solito e salvati in cloud. In particolare, il salvataggio in cloud dei backup è essenziale per mantenerli al sicuro: se fossero in linea o su una NAS, chi attacca potrebbe raggiungerli e distruggerli insieme ai dati originali.
  • Vulnerabilità – fatto. Sono partito organizzando un programma di gestione delle vulnerabilità. Un primo giro di controllo, eliminazione di tutti i servizi di shadow IT che ho trovato e patching di tutte le vulnerabilità trovate. Adesso ho uno strumento che esegue controlli quotidianamente, e ho stabilito con tutti i service manager, sia interni che esterni, tempi precisi per l’eliminazione delle vulnerabilità.

Ho anche ingaggiato una società esterna per fare un penetration test approfondito su tutta l’architettura, confrontandone poi i risultati con il programma di analisi di vulnerabilità. Le vulnerabilità, i livelli di rischio degli asset e il rispetto dei tempi di remediation sono su interfaccia fruibile dall’esterno, per cui mi basta un’occhiata al tablet per verificare che sia tutto in ordine.

  • Security Awareness – fatto. Il mese scorso ho fatto fare a tutti i dipendenti un corso di Security Awareness, con ottimi risultati: conoscendo meglio i rischi cyber, faranno molta attenzione prima di lasciare in giro le password o autenticarsi su social o app improbabili con le credenziali aziendali.
  • Autenticazione e Gestione Credenziali fatto. Ho chiesto di far scadere tutte le password, così, anche nel caso di qualche Bot di Account Take Over, le credenziali non saranno già più valide. In questo modo le informazioni aziendali saranno al sicuro anche nel caso in cui le credenziali siano finite in qualche collection per essere pubblicate o rivendute dagli hacker.

Per chi accede dall’esterno, siano dipendenti, consulenti o fornitori, ho anche strutturato un servizio di VPN con accesso a due fattori, OTP su cellulare e modalità di accesso frictionless (in cui l’autenticazione a due fattori è richiesta solo nel caso in cui cerchi di accedere con caratteristiche diverse dal solito).

In questo modo iniziamo già ad implementare un approccio Zero Trust: diffidare di tutti e proteggere tutto è di fatto l’unica filosofia possibile quando dati, software e dipendenti non sono più solo “dentro” l’azienda.

  • Availability – fatto. Garantire la disponibilità dei servizi online non è stato semplice, non tanto dal punto di vista tecnologico ma dello stanziamento del budget. Però alla fine l’ho spuntata: è bastato coinvolgere la Direzione in una simulazione in cui per tre ore li ho messi nella mia posizione, ad affrontare un attacco con tempi e risorse economiche limitate. Adesso DNS, WebServer e Backend sono in alta affidabilità.
  • Compliance- fatto. Tutte le operazioni sono loggate, e tutti i log sottoposti a backup con le regole stringenti di cui sopra. Il sistema di auditing ha richiesto quasi l’ultimo anno di lavoro: integrare i log provenienti da tutti gli apparati di sicurezza, le informazioni richieste per il GDPR e i dati di autenticazione secondo i criteri Zero Trust è stato impegnativo, ma ora è tutto a norma. Manca ancora la certificazione ISO 27001, ma intanto ho realizzato con il mio team tutti i processi e le procedure necessarie. Abbiamo fatto tutte le verifiche rispetto all’Annex A giusto la scorsa settimana, e risulta tutto in ordine. Soprattutto abbiamo testato i processi del SOC (adesso pare si chiami Purple team) e sappiamo che funzionano a dovere.

Sì, sembra proprio tutto in ordine. E alla certificazione ci penserò al rientro delle ferie. Dopotutto anche il Lead Auditor si merita un po’ di sano riposo.

Iscriviti alla nostra newsletter!