Le aziende investono molto tempo, risorse e denaro per evitare le violazioni dei dati. Accade che si effettuino test e finti attacchi che colpiscono i sistemi aziendali per fornire garanzie sulla mitigazione dei rischi. Tuttavia, i cosiddetti breach (violazioni) accadono e il tempo investito nell’evitarli dovrebbe essere anche dedicato a stilare un piano nel caso in cui dovessero accadere.
In tema di violazioni dei dati, la mitigazione è diventata più di un semplice problema tecnologico. Il danno delle violazioni è spesso determinato dall’opinione e dalla percezione pubbliche.
Il modo in cui l’evento viene gestito può spesso determinare se l’azienda e il suo posizionamento saranno in grado di sopravvivere all’opinione pubblica. Senza dimenticare l’impatto sul valore delle azioni nel caso di società quotate.
Secondo Paul Calatayud, Chief Security Officer di Palo Alto Networks America la migliore difesa nei confronti delle violazioni consiste in una strategia proattiva e offensiva.
I responsabili IT, sostiene, devono giocare un ruolo attivo nella preparazione alle violazioni, andando oltre l’analisi dei rischi tecnici o i penetration test per accertarsi che i sistemi IT siano sicuri e includano elementi chiave per il business.
Tutto questo spesso si racchiude in un piano di risposta alle violazioni. Alcune aziende dovrebbero estendere i processi in corso per includere la cybersecurity, sotto forma di piano di crisis management, che dovrà essere documentato, rivisto e, soprattutto, dovrà includere esercitazioni pratiche.
Secondo Calatayud un piano a prova di violazioni dovrebbe essere strutturato su cinque attività.
Azione 1: definire un dirigente sponsor. Questa figura dovrebbe essere un manager interno all’azienda, responsabile di questioni cruciali, ad esempio il COO o similare. Spesso, un CISO o CIO potrebbero sottovalutare un problema non tecnologico. Senza fraintendimenti, questi manager saranno responsabili, ma il business ha un ruolo fondamentale, quindi eleggere una figura appartenente ai vertici aziendali può salvaguardare l’interesse della società.
Azione 2: conoscere i ruoli e le responsabilità chiave. Potrebbe essere semplice, ma non lo è. Perché non avere solo risorse che svolgono il proprio lavoro rispondendo a una violazione? In caso di crisi aziendale, le persone dovranno avere ruoli definiti e specializzati nella sua risoluzione. È importante identificare delegati, perché non tutti gli incaricati saranno disponibili in caso di breach.
Azione 3: formulare una strategia basandosi su violazioni presenti o passate. Il piano deve avere un obiettivo ben definito. Deve focalizzarsi su ripristino rapido e risposte veloci alla data discovery e applicare la legge, quando possibile. Analizzare violazioni simili accadute in passato può essere efficace per formulare un piano di attacco. Riflettere sugli errori e identificare azione corrette che garantiscano fiducia e sicurezza all’opinione pubblica.
Azione 4: assicurarsi che media/PR siano coinvolti. Come anticipato, la risposta ai breach prevede la comunicazione con clienti, board, investitori e pubblico. È importante stabilire chi, in azienda, può e deve farlo. Non sempre è il CEO, potrebbe essere anche il CISO o un’altra figura o un insieme di ruoli direttivi, in base alla natura e alla portata del breach.
Azione 5: avere sostituti in panchina. Tecnicamente parlando, potrebbe essere una figura esterna di terze parti, ingaggiata per ampliare il team e fornire expertise e competenze. Ancora una volta, è importante pensare oltre l’aspetto tecnico. Il vostro team di comunicazione potrebbe aver bisogno di una figura esterna per la gestione della crisi. Il team cyber desidererà competenze legali. Spesso questi ruoli non si basano solo sul talento, ma sulla fiducia. E la verifica di terze parti richiede molto tempo. È fondamentale anche ricordarsi del settore operation: i call center, ad esempio, possono gestire il supporto generale e una terza parte potrebbe intervenire utilizzando uno script preimpostato.
Si potrebbe continuare, ma il punto principale è che CISO e team IT valutino un piano ben documentato, basato su situazioni precedenti, che coinvolga diverse figure aziendali e che possa essere esteso a risorse di terze parti quando necessario.
“E una volta pronto – dice Calatayud – siate pronti a cestinarlo“.
