I 6 passi necessari secondo FireEye per non farsi trovare impreparati
Il Responsabile degli Affari Legali di un’azienda affronta quotidianamente sfide impegnative, nessuna è però così complessa e delicata come l’affrontare un attacco informatico. Già prima che si verifichi un incidente informatico c’è da considerare lo stress comportato dal fatto di non sapere a priori quando possa verificarsi, il fatto che non vi siano metodi garantiti per la prevenzione assoluta e che qualsiasi organizzazione possa finire nel mirino. Secondo l’M-Trends Report 2019 di FireEye ci sono state violazioni informatiche praticamente in tutti i settori.
Il Responsabile degli Affari Legali, prima di potersi concentrare sullo sviluppo di un adeguato piano di Incident Response (IR), si ritrova quindi a dover comprendere pienamente i rischi correlati a una futura violazione.
“Gli attaccanti odierni non sono solo più sofisticati nelle attività di compromissione delle reti rispetto al passato, ma hanno anche perfezionato le loro abilità, così da rendere più difficile la loro identificazione una volta infiltrati all’interno di una rete aziendale”, dichiara Gabriele Zanoni, Consulting Systems Engineer di FireEye.
Il report M-Trends 2019 di FireEye, infatti, ha rivelato che nel corso del 2018 il tempo di permanenza medio di un attaccante all’interno di una rete aziendale prima di essere scoperto è stato di 78 giorni. Questo è un arco temporale ampiamente sufficiente per acquisire e sottrarre dati critici come le proprietà intellettuali, le informazioni personali, i segreti commerciali e molto altro.
Un aspetto molto importante che il Responsabile degli Affari Legali deve considerare è il costo di un incidente. Uno studio, presentato nel corso del 2018, ha rivelato che il costo medio globale di una violazione dei dati è di 3,86 milioni di dollari. Oltre a questo, ciò che deve essere considerato sono anche gli elementi intangibili: la perdita di reputazione dell’azienda, della fiducia dei clienti e degli azionisti, il tempo destinato alla risoluzione della violazione, la “distrazione” e i costi delle successive azioni legali necessarie. In aggiunta, potrebbe essere necessario tenere in considerazione anche altri costi, tra cui le multe, i miglioramenti per la sicurezza informatica, per i requisiti degli audit e per le implicazioni sulla produttività dei dipendenti.
Il Responsabile degli Affari Legali non può e non deve fare tutto da solo, in quanto la sicurezza informatica è un’attività di squadra. Lo sviluppo e l’esecuzione di un piano forte di IR richiede cooperazione tra Ufficio Legale e CISO e il coordinamento tra i vari gruppi interni, come il dipartimento Finanziario e il Marketing coinvolgendo, inoltre, il Management e il Board e gli specialisti esterni.
In questo nuovo mondo permeato dal rischio informatico, il problema più critico che gli Uffici Legali devono affrontare è la preparazione generale di tutto il team e il saper rispondere a una crisi a seguito della violazione.
Un Responsabile degli Affari Legali ha però la possibilità di compiere alcuni passi chiave per garantire che la propria organizzazione sia preparata per affrontare un incidente informatico. FireEye identifica 6 passi fondamentali che un Ufficio Affari Legali può intraprendere per non farsi trovare impreparato davanti a un cyber attacco:
- Connessione: sviluppare relazioni con i manager aziendali e collaborare con il CISO per comprendere quali dati sono presenti in azienda e qual è la loro importanza, il loro livello di protezione e di vulnerabilità e quali sono i livelli di visibilità posseduti dal team di sicurezza per quanto riguarda gli asset IT
- Pianificazione: sviluppare e redigere un piano di IR. Identificare un team idoneo a seguire il caso di IR, che può comprendere il CEO, il CISO, il CMO, il consulente legale interno o esterno, i professionisti della comunicazione (PR, Investor Relations, etc), gli Incident Responder esterni e gli specialisti forensi
- Pratica: testare il piano di IR svolgendo esercitazioni di “Cyber-Crisis” assicurandosi che i membri del team interno di risposta agli incidenti e gli esperti esterni siano stati pre-identificati e reperibili
- Protezione: stabilire e mettere in sicurezza il segreto professionale tra avvocato e cliente – se possibile – e immediatamente dopo una violazione, coordinare le comunicazioni e la risposta agli incidenti attraverso l’Ufficio Affari Legali dell’Azienda
- Coinvolgere: fornire al Board regolari aggiornamenti che provengano dal CISO
- Considerazione: prevedere un’assicurazione informatica cyber e stipularla nel contesto di un programma assicurativo generale dell’azienda. Conoscere i costi di una violazione e valutare il rischio di una perdita di dati può infatti giustificare l’utilizzo di una assicurazione cyber
“Nel mondo mobile e social di oggi, gestire una crisi in maniera tempestiva è fondamentale, soprattutto date le brevi scadenze previste dalla normativa, come il requisito delle 72 ore regolato dal GDPR”, conclude Zanoni. “Pianificare con anticipo un approccio comunicativo con il CMO e il CEO, mettendo in pratica risposte specifiche e mirate è ormai prassi necessaria in tutte le aziende”.
Nel corso degli ultimi anni, abbiamo assistito al passaggio da una sfida di back office a livello IT a una questione di alto profilo a livello di Board. Per la maggior parte delle aziende una violazione non è più una questione di “se” ma di “quando”.
