Le aziende resilienti si esercitano finché la reazione non diventa routine
James Lee, Regional Director DACH di Horizon3.ai, spiega perché la resilienza informatica deve essere ancorata alla pratica, attraverso test e pratiche continue piuttosto che a semplici linee guida. Nel farlo, fa eco alle dichiarazioni chiave del cofondatore e CEO Snehal Antani.
La resilienza informatica viene spesso presentata come una nuova sfida creata dalle minacce moderne. Tuttavia, molti dei suoi principi fondamentali sono stati risolti decenni fa con il disaster recovery. Secondo James Lee, direttore regionale DACH dell'azienda di cybersicurezza Horizon3.ai, Le aziende resilienti non nascono attraverso modelli di difesa statici, ma attraverso la pratica e la convalida continue, un approccio che anche il cofondatore e CEO di Horizon3.ai Snehal Antani (nella foto) sostiene con forza.
Lee vede un crescente divario tra le politiche sulla carta e l'effettiva prontezza operativa. Horizon3.ai, uno dei principali fornitori nel campo della sicurezza offensiva, adotta un approccio in cui le organizzazioni testano i propri ambienti IT attraverso continui test di penetrazione per scoprire potenziali vulnerabilità che potrebbero essere sfruttate dai criminali informatici. Invece di affidarsi esclusivamente a meccanismi di protezione passiva, le aziende possono testare i propri sistemi in modo controllato, eliminare le vulnerabilità, verificare l'efficacia delle misure e ripetere questo processo ogni volta che è necessario.
Paralleli tra resilienza informatica e alta disponibilità
James Lee chiarisce che la resilienza non è un concetto astratto, ma una pratica operativa vissuta. Fa un parallelo con l'alta disponibilità dei sistemi IT, spesso definita continuità operativa. Negli ambienti IT ad alta disponibilità, i tempi di inattività non sono un'opzione. Le interruzioni non vengono solo evitate, ma deliberatamente simulate e testate. I sistemi vengono deliberatamente scambiati tra i data center per testare i processi di ripristino in condizioni realistiche. Questa pratica regolare crea una routine: processi ben collaudati e responsabilità chiare assicurano che i team siano in grado di agire in caso di emergenza.
Questo principio di esercitarsi continuamente in scenari reali è in linea con i principi della sicurezza offensiva e riflette ciò che Antani e Lee vedono come una risposta contemporanea all'aumento delle minacce informatiche. La resilienza informatica non deve essere vista solo come uno strumento o un problema di reportistica, ma come una sfida operativa: i sistemi si guastano, gli aggressori sfruttano le vulnerabilità e le aziende devono essere in grado di agire sotto pressione. «I clienti si aspettano la disponibilità, le autorità di regolamentazione chiedono la verificabilità», afferma Lee.
«Le aziende resilienti si esercitano finché l'azione non diventa routine».»
Lee sottolinea la valutazione di Antani secondo cui le aziende resilienti dovrebbero partire dal presupposto che qualcosa andrà storto e cercare attivamente le vulnerabilità prima che lo facciano gli aggressori. «Resilienza significa esercitarsi nella risposta e nel ripristino finché non diventa una routine. Molte organizzazioni si basano ancora su ipotesi», spiega. «I piani di difesa e di ripristino possono sembrare convincenti sulla carta, ma falliscono nella pratica se mancano test regolari».»
Negli incidenti reali, i guasti operativi e gli attacchi mirati sono spesso inizialmente quasi indistinguibili. Il ripristino dei servizi non può attendere il chiarimento definitivo della causa. Il disaster recovery e la cybersecurity crescono insieme: sono necessari team ben coordinati, non concetti isolati che non sono mai stati testati sotto pressione. Come sottolinea Antani, la sfida raramente risiede nella sola tecnologia, ma spesso nei processi e nella leadership.
Un solo test di penetrazione all'anno è troppo poco
Entrambi gli esperti sottolineano i limiti dei tradizionali test di penetrazione annuali, soprattutto in ambienti IT dinamici. I rischi cambiano più velocemente di quanto un ciclo annuale possa riflettere: Gli aggiornamenti avvengono settimanalmente, le configurazioni cambiano continuamente, le architetture cloud e di identità sono in continua evoluzione. Senza una convalida regolare della sicurezza, le aziende rischiano di prendere decisioni basate su ipotesi obsolete.
Lee sostiene quindi la necessità di effettuare test continui, strettamente collegati ai processi di cambiamento. I pentest regolari dopo i cicli di patch aiutano i team a verificare se le misure stanno effettivamente riducendo i rischi. In questo modo, la sicurezza si evolve da una revisione selettiva a un processo di miglioramento continuo.
Nuova fase della sicurezza informatica grazie all'intelligenza artificiale
Secondo Horizon3.ai, la sicurezza informatica è entrata in una fase in cui la velocità è fondamentale. Gli attacchi supportati dall'intelligenza artificiale accorciano notevolmente i tempi di risposta e aumentano la pressione sulle aziende. Per questo è ancora più importante che i team siano in grado di affidarsi a processi consolidati, invece di dover prendere decisioni ad hoc sotto stress. Per Lee, la conseguenza è chiara: «Sotto pressione, i team si affidano a ciò che hanno praticato, non a ciò che hanno pianificato. La pratica continua e una leadership coerente determinano la reale efficienza di un'azienda in caso di emergenza».»
Fonte: Horizon3.ai
