Sean Deuby

Per far fronte all'esplosione del crimine informatico e al suo impatto sulle operazioni aziendali, molte organizzazioni stanno aggiornando i loro piani di disaster recovery per includere la risposta agli incidenti informatici. Molti dei processi e delle linee guida dei tradizionali piani di ripristino d'emergenza sono cambiati poco negli anni, a volte anche in più di dieci anni, il che li rende poco adatti ad affrontare i disastri informatici. Inoltre, a livello aziendale, il disaster recovery è solo un aspetto di una disciplina più ampia: la resilienza operativa.

Simon Hodgkinson, ex Chief Information Security Officer di bp e consulente strategico di Semperis, sottolinea la necessità per le organizzazioni di considerare il disaster recovery nel contesto della redditività complessiva dell'azienda, compresa la prevenzione, il rilevamento e la risposta ai cyberattacchi.

"Il disaster recovery è una definizione piuttosto ristretta e di solito viene considerato in un arco di tempo limitato", afferma. "La resilienza operativa è molto più ampia e comprende aspetti come il tipo di governance messa in atto, la gestione del rischio operativo, i piani di continuità operativa e la gestione del rischio informatico, delle informazioni e dei fornitori terzi".

In altre parole, i piani di disaster recovery si occupano principalmente del recupero. La resilienza operativa guarda al quadro più ampio: l'intero ecosistema e ciò che si può fare per mantenere l'azienda operativa durante gli eventi di disturbo.

Riparare una catena rotta

L'obiettivo più ampio della resilienza operativa richiede la partecipazione di tutta l'organizzazione. Non si può affidare il compito a un solo reparto o a un solo team. È invece necessario coinvolgere tutti, dai dirigenti e dal consiglio di amministrazione ai singoli dipendenti di diversi reparti.

"La leadership deve comprendere il rischio e conoscere la tolleranza e la propensione al rischio dell'azienda", afferma Hodgkinson. "Questo include anche aspetti come le funzioni di approvvigionamento e gli accordi con i fornitori terzi. La resilienza deve essere integrata in ogni cosa Se un unico fornitore non è sufficiente a gestire il rischio, è necessario diversificare le forniture".

Hodgkinson parla di una realtà importante che molti sembrano dimenticare: nel clima odierno, non è solo la vostra organizzazione a essere minacciata. Anche i vostri fornitori, partner e venditori sono bersagli. Se un fornitore importante viene compromesso o messo fuori uso, la vostra azienda potrebbe affondare con lui.

"Ho visto molti casi interessanti in cui un evento informatico presso un fornitore ha impedito a più organizzazioni di raggiungere i loro obiettivi aziendali", ricorda Hodgkinson. "Per esempio, si pensi a un'organizzazione di vendita al dettaglio che si avvale di un fornitore di logistica per far arrivare i prodotti ai propri punti vendita e che si ritrova con le scorte esaurite. Per evitare questi scenari è necessaria una prospettiva più ampia. Nel contesto della resilienza operativa, ogni scenario e processo di gestione del rischio deve considerare la catena di fornitura".

La resilienza operativa è un'operazione

Il Dipartimento dei Trasporti degli Stati Uniti ha proposto una multa di 1 milione di dollari contro la Colonial Pipeline per "fallimenti nella gestione della sala di controllo" nel cyberattacco del 2021 che ha interrotto le consegne di gas negli Stati Uniti orientali, aggiungendosi alle perdite di fatturato dell'azienda dovute all'attacco stesso. Il governo ritiene che la società abbia ignorato la resilienza operativa: Invece di pianificare come gestire e limitare la portata di un incidente, l'organizzazione ha semplicemente spento le reti di controllo dei processi nell'istante in cui il malware ha colpito i suoi sistemi.

"È uno scenario davvero interessante", afferma Hodgkinson. "Ma purtroppo non credo che sia unico. Direi che molte organizzazioni non comprendono appieno l'impatto della tecnologia operativa in un incidente informatico".

"Idealmente, le organizzazioni che gestiscono infrastrutture nazionali o forniture critiche dovrebbero pensare molto di più alla gestione della continuità operativa e ai controlli di mitigazione", afferma. "Tale riflessione inizia con la conoscenza del proprio profilo di rischio e con una pianificazione adeguata per gestirlo. Le organizzazioni devono anche verificare cosa possono fare in termini di spegnimento delle reti, assicurandosi di avere la capacità di interrompere la connessione tra tecnologia informatica e tecnologia operativa, in modo che le minacce informatiche non facciano fallire tutto".

Colmare il divario tra IT e OT

La tecnologia che gestisce sistemi come oleodotti e raffinerie è nettamente diversa da quella di un tipico ambiente d'ufficio. Esistono protocolli di rete diversi, un approccio diverso allo stack di sicurezza e una maggiore preoccupazione per le questioni di sicurezza critiche. Secondo Hodgkinson, una delle maggiori fonti di attrito per le aziende industriali - e il motivo per cui le iniziative di resilienza operativa spesso falliscono - è la disconnessione tra tecnologia informatica (IT) e tecnologia operativa (OT).

Nessuno dei due reparti comprende appieno i flussi di lavoro e le sfide dell'altro. Questo scollamento deve cambiare. E questo inizia con un cambiamento di percezione.

"Credo che al momento parte del problema sia che il cyber è ancora considerato speciale", afferma Hodgkinson. "La discussione sembra sempre concludersi con l'assunto che il team di sicurezza o il reparto IT sta gestendo un rischio particolare, quindi nessun altro deve preoccuparsene. Dobbiamo demistificare la sicurezza informatica. Solo con un'adeguata comprensione del business e con la proprietà del rischio è possibile mettere in atto meccanismi di resilienza adeguati. Ciò che ha funzionato molto bene nella mia esperienza in Bp è stato portare l'ingegneria nel cyber e il cyber nell'ingegneria, dando a ciascun team competenze e prospettive che prima non aveva".

La verità è che i diversi team hanno priorità diverse. Il team di ingegneri potrebbe essere consapevole dell'importanza della sicurezza informatica, ma deve dare priorità agli elementi procedurali e alle questioni critiche per la sicurezza. Incoraggiando la collaborazione tra i vari reparti, le aziende possono stabilire come facilitare l'introduzione di controlli e strategie in ogni ambiente.

"Credo che alla fine sia tutta una questione di contesto", afferma Hodgkinson. "Che cosa sta cercando di ottenere l'azienda e quali risultati sta cercando di raggiungere? Come supporta questi risultati? Quale tecnologia utilizza? Cosa conta per l'azienda in termini di riservatezza, integrità e disponibilità?".

L'importanza della sicurezza e del ripristino di Active Directory nella costruzione della resilienza operativa

Active Directory (e Azure AD, negli ambienti di identità ibrida) occupa un posto centrale nella ricerca della resilienza operativa.

"Si dispone di un meccanismo per la definizione delle priorità, ma è interessante notare che spesso si dimentica che la singola applicazione più importante [in tutte le dimensioni] è Active Directory", afferma Hodgkinson. "Senza di essa, non è possibile raggiungere nessuno dei risultati aziendali. Active Directory è al centro della vostra capacità di operare e di fornire risultati di business, e deve far parte della vostra strategia di resilienza operativa invece di essere trattata come un'isola".

Assumere un ruolo attivo nella resilienza operativa

I piani di disaster recovery che si concentrano sui disastri naturali sono insufficienti per affrontare le moderne minacce alla resilienza operativa. Poiché il sistema di identità dell'organizzazione è fondamentale per il funzionamento delle operazioni - ed è l'obiettivo principale dei cyberattacchi - la sua protezione è fondamentale. Dando priorità alla difesa del sistema di identità, le organizzazioni possono affrontare una delle minacce più gravi alla resilienza operativa.

Per saperne di più