Nell'economia di oggi, in cui le aziende hanno digitalizzato la maggior parte dei processi principali, i dati sono più preziosi che mai. Non solo alimentano le operazioni quotidiane, ma rappresentano una fonte significativa di informazioni che possono essere analizzate per generare insight e migliorare i risultati di business.

In parallelo alla crescente importanza dei dati, tuttavia, il patrimonio di informazioni della maggior parte delle organizzazioni si è esteso ben oltre il data center tradizionale, rendendole più vulnerabili a ransomware sofisticati e altri attacchi informatici che possono impedirne l'accesso e paralizzare le operazioni.

Questo scenario ha portato in primo piano il valore della resilienza IT, oggi più importante che mai. CIO e responsabili IT devono attingere a risorse che includano persone, processi e tecnologie per garantire i livelli di resilienza IT richiesti in modo efficiente. Ma quali sono le risorse che possono supportarli?

Una cultura consapevole del rischio

Una risorsa spesso trascurata per la resilienza IT è la creazione di una cultura consapevole del rischio in tutta l'organizzazione, dall'alto in basso. In termini pratici, significa che la sicurezza non è solo responsabilità del CIO o del team IT, ma anche di chi lavora nella contabilità, nell'ufficio legale, nel marketing e così via. Dal momento che non si possono evitare completamente i rischi, è necessario promuovere la conoscenza e la comprensione di quelli da affrontare, in modo da poterli riconoscere e pianificare misure strategiche.

Tutti devono essere consapevoli che gli attacchi di phishing sono una minaccia reale e persistente e che cliccare sul link sbagliato o fornire informazioni al telefono a qualcuno che si spaccia per chi non è, può avere conseguenze disastrose.

In termini di resilienza, uno degli investimenti più economici che un CIO possa fare e che, nonostante il costo contenuto, offre il massimo in termini di profitto, consiste nel formare il personale sulle best practice di sicurezza, che si tratti della corretta archiviazione di file o di come riconoscere i segni rivelatori di un attacco di phishing o di social engineering. Questa formazione non deve avvenire una volta sola, ma deve essere svolta regolarmente e in modo continuativo, preferibilmente ogni mese.

Come esercizio mentale, tutti in azienda dovrebbero immaginare che si sia verificata una devastante violazione della sicurezza, e poi chiedersi: qual è l'attività che ho rimandato e che avrebbe potuto contribuire a limitarne l'impatto? Affrontare quel compito il giorno stesso dovrebbe poi diventare la loro priorità. Tutto questo è parte integrante della creazione di una cultura del rischio. Chiedere a tutti i membri dell’organizzazione quali mansioni abbiano rimandato nella loro lista che avrebbero potuto potenzialmente aiutare a essere più sicuri e resilienti. Forse un account manager aveva intenzione di archiviare un thread di email sensibili o spostare alcuni contratti in un repository di documenti sicuri, ma continuava a essere distratto dalle varie attività da gestire ogni giorno. Si può chiedere loro di dare priorità a questo compito, nella giornata o settimana.

Nel creare una cultura consapevole del rischio, le organizzazioni dovrebbero prendere in considerazione anche l'implementazione di tecnologie di cyber deception come parte di un approccio integrato alla gestione del rischio. L'inganno informatico è emerso come elemento fondamentale nelle strategie di cybersicurezza a più livelli, offrendo strumenti sofisticati che rilevano e deviano gli attacchi prima che causino danni. Catturando i "cattivi" in anticipo, i buoni hanno maggiori possibilità di combattere.

Consolidamento e Automazione

Altre risorse chiave che i CIO possono sfruttare per garantire la resilienza IT della loro organizzazione sono consolidamento e automazione. L’idea di fondo è quella di ridurre la complessità dello stack tecnologico generale, perché più elementi ci sono, maggiore è la superficie di attacco e le opportunità di vulnerabilità.

Affidarsi ad applicazioni SaaS è un buon metodo per raggiungere questo obiettivo, mantenendo la resilienza IT grazie al modello di responsabilità condivisa, in base al quale i fornitori cloud offrono sicurezza a livello logico e infrastrutturale e verifica di accesso alla piattaforma, mentre la responsabilità dell'accesso dell'utente e del controllo dei dati rimane nelle mani dell'utente stesso.

Tenendo in considerazione queste opzioni, un primo passo verso consolidamento e automazione consiste nell’esaminare un particolare flusso di lavoro, per esempio l'ambiente di assistenza clienti, e iniziare ad analizzare i processi e l’infrastruttura tecnica che li supporta. Mettere realmente tutto nero su bianco e tracciare una mappa dell'architettura: che aspetto ha? Si potrà contare il numero di sistemi, integrazioni e punti di contatto, oltre a vedere quali servizi siano SaaS o meno. Questa percezione fondamentale del livello di complessità dei vari flussi di lavoro aiuterà a stabilire le priorità di quelli da consolidare per primi.

Nello svolgere questa attività, le aziende dovrebbero prestare particolare attenzione non solo al numero di applicazioni presenti in un determinato ambiente, ma anche al numero di integrazioni – che rappresentano il punto in cui molti sistemi IT falliscono, soprattutto se costruite su misura. Un'integrazione compromessa può servire come facile vettore di attacco che consente ai malintenzionati di accedere da un singolo sistema ai molti altri con cui è integrato.

Se il consolidamento è una misura importante per la resilienza IT, l'automazione è altrettanto fondamentale: i processi manuali creano occasioni di errore umano e gli errori creano opportunità per hacker e altri malintenzionati.

Per esempio, un errore innocente, come quello di un amministratore server che dimentica accidentalmente di spuntare la casella di un'impostazione di sicurezza durante la distribuzione di una nuova istanza di un servizio, può creare una falla facilmente sfruttabile. L'automazione del processo non solo lo rende più ripetibile e scalabile, ma aiuta a limitare l'errore umano, eliminando falle accidentali nella sicurezza che possono compromettere la resilienza.

Un piano completo di Business Continuity/Disaster Recovery

Un'ultima risorsa da non trascurare è un piano di business continuity/disaster recovery (BC/DR) completo. Per quanto l'organizzazione sia sicura e ben preparata, non esiste l'invulnerabilità e bisogna essere pronti nel caso in cui dovesse accadere qualcosa.

Ciò richiede ai CIO di pensare non solo alla tecnologia, ma anche ai processi che supportano. Considerare il DR come la parte tecnologica dell'equazione: si è verificato un disastro, il sistema e i dati sono andati persi. Come recuperarli il più rapidamente possibile e tornare operativi? Occorre la tecnologia giusta.

La Business Continuity, invece, è la parte di processo dell'equazione. Se si perde l'accesso a strumenti o persone che eseguono i processi, è possibile garantire comunque che continuino a funzionare? Pensiamo a processi standard, come buste paga, vendite o assistenza clienti. Se all'improvviso mancassero persone e ruoli in una particolare area geografica o in un determinato ufficio a causa di un evento imprevisto, cosa si potrebbe fare per garantire la continuità operativa?

Prima della pandemia, i CIO non si confrontavano molto con questo tipo di domande. Il loro ruolo tradizionale si concentrava maggiormente sul DR perché più direttamente collegato allo stack tecnologico. Il Covid ha cambiato la funzione del CIO, che ora deve partecipare alla conversazione sulla continuità operativa e su come mantenere i processi in azione anche se una parte di tecnologia dovesse guastarsi.

Saranno necessarie risorse – una persona o un team - dedicate a questa attività, che non la svolgano come semplice aggiunta alle altre responsabilità. Queste risorse saranno responsabili di test ed esercitazioni regolari e costanti. In modo che, in caso succedesse qualcosa, sia possibile reagire in modo quasi automatico per avviare i piani di BC/DR e continuare a restare operativi.

Interrompere le potenziali interruzioni

Le sfide che le aziende e i loro dati devono affrontare non mancano, ma le risorse giuste, opportunamente sfruttate, possono garantire la resilienza IT necessaria a proteggere le informazioni e mitigare l'impatto di un attacco informatico o altro evento disastroso.

Creando una cultura consapevole del rischio, consolidando l’infrastruttura tecnologica, eliminando il potenziale di errore umano e definendo una strategia efficace di BC/DR, le aziende scopriranno di avere a disposizione risorse potenti per evitare che una serie di potenziali disastri interrompa le loro operazioni.

Reza Morakabati è il CIO di Commvault