NewsRisk ManagementCome le aziende violate diventano il volto del cambiamento

Come le aziende violate diventano il volto del cambiamento

Ho sempre detto ai miei amici che tutti commettono errori. Ciò che conta davvero è il modo in cui li si gestisce e che si impara da ciò che è successo.

SolarWinds ha seguito lo stesso ragionamento nella gestione della violazione del 2020. Non solo l’azienda ha scritto la sua storia di ritorno per contribuire a migliorare la propria reputazione, ma sta anche lavorando in modo proattivo per aiutare altre aziende a non diventare a loro volta vittime. La violazione non è stata certamente un evento positivo. Tuttavia, l’azienda sta ora dando l’esempio con le sue nuove pratiche di sicurezza e sta fungendo da modello per ribaltare la situazione dopo una violazione.

SolarWinds migliora proattivamente la sicurezza informatica
Diversi clienti governativi statunitensi di SolarWinds sono stati infettati con codice maligno da uno stato-nazione dopo che l’azienda è stata vittima di un attacco alla catena di fornitura in quello che oggi è considerato uno dei più grandi e riusciti hack nella storia degli Stati Uniti. A causa dell’attacco, SolarWinds ha affrontato numerose battaglie legali ed è attualmente sotto indagine da parte della Securities and Exchange Commission.

Oltre a riprendersi dalla violazione e a combattere le battaglie legali, l’azienda si è impegnata a migliorare in modo significativo la propria sicurezza informatica. L’organizzazione si è imposta come modello per altri fornitori di software per evitare di diventare il prossimo “paziente zero” in una violazione della catena di fornitura del software. Allo stesso tempo, ha dato l’esempio di come un’azienda possa trasformare le proprie pratiche di sicurezza informatica e la propria reputazione.

Ecco alcuni cambiamenti significativi apportati da SolarWinds dopo la violazione:

  • Creazione di un comitato per la sicurezza informatica all’interno del consiglio di amministrazione. Sebbene l’azienda disponesse di un comitato tecnologico all’interno del consiglio di amministrazione, si è resa conto di aver bisogno di leader che si occupassero specificamente di sicurezza informatica.
  • Aggiunta di rinomati esperti di sicurezza informatica al consiglio di amministrazione. SolarWinds ha scelto come consulenti l’ex capo della CISA Chris Krebs e l’ex capo della sicurezza di Facebook e Yahoo Alex Stamos.
  • Ha inserito la cybersicurezza nel ciclo di creazione del software. Adottando build riproducibili, SolarWinds è ora in grado di identificare molto più facilmente le disparità nel codice binario. Ciò significa che i futuri aggressori dovrebbero infettare due ambienti diversi per portare a termine un attacco, il che è eccezionalmente impegnativo.

Anche altre aziende hanno reagito alle violazioni migliorando le proprie politiche e pratiche di sicurezza. Ecco alcuni modi in cui altre aziende hanno cambiato le loro abitudini.

Target ha assunto il suo primo CISO in assoluto dopo la violazione del 2013
Nel 2013, alcuni attori minacciosi hanno sottratto i dati delle carte di credito e di debito di oltre 40 milioni di clienti di Target. Target ha pagato 18,5 milioni di dollari per risolvere le richieste di risarcimento da parte di 47 Stati e del Distretto di Columbia. All’epoca, l’attacco era innovativo per le sue dimensioni e per il vettore di infezione: un malware di tipo card-skimming distribuito sul sistema POS (Point of Sales). In seguito si scoprì che l’accesso al sistema POS era avvenuto tramite credenziali rubate a un fornitore terzo.

Dopo la violazione, Target ha assunto il suo primo Chief Information Security Officer (CISO), Brad Maiorino, per aiutare a riparare la sua reputazione e migliorare la sicurezza informatica. Da quando Target ha aggiunto Maiorino alla C-suite, il ruolo del CISO si è evoluto da tecnico a strategico. Il CISO allinea le priorità di sicurezza dell’azienda con gli obiettivi aziendali generali e gestisce il rischio informatico dell’azienda. Poiché la collaborazione è fondamentale per questo ruolo, il CISO deve essere un eccellente comunicatore ed essere in grado di parlare con i dipendenti a tutti i livelli dell’organizzazione.

Sebbene l’assunzione di un CISO sia sempre intelligente, la sua efficacia è maggiore quando viene assunto prima di una grave violazione. Grazie agli investimenti in cybersecurity guidati dal CISO, le aziende possono ridurre il rischio di violazione. Se si verifica un evento di sicurezza, la presenza di un CISO migliora significativamente il recupero e la ricostruzione dell’azienda.

Equifax si è concentrata sulla creazione di una cultura della sicurezza informatica
Nel 2017, alcuni malintenzionati hanno sottratto dai sistemi di Equifax i dati personali di oltre 140 milioni di persone, tra cui numeri di previdenza sociale e conti di carte di credito. Per 76 giorni i criminali informatici sono stati attivi nei sistemi dell’azienda a sua insaputa. Equifax è stata multata per 575 milioni di dollari dalla Federal Trade Commission per aiutare le vittime a riprendersi.

Dopo la violazione, Equifax ha investito 200 milioni di dollari per aggiornare la propria infrastruttura di sicurezza informatica e la protezione della privacy dei dati. La pietra miliare del cambiamento è stata la creazione di una cultura della cybersicurezza e la formazione sulla risposta agli incidenti. Poiché la violazione è stata causata da un sistema non patchato, una delle prime priorità è stata il miglioramento del processo di patch. Equifax si è inoltre concentrata sul controllo degli accessi e sulla gestione delle identità per garantire che solo gli utenti autorizzati potessero accedere alla rete e ai dati sensibili.

In una cultura della cybersecurity, tutti in azienda sanno che la cybersecurity è una loro responsabilità. Sebbene l’istruzione sia importante, la formazione deve andare oltre il semplice “spuntare la casella”. Rendendo la formazione divertente e significativa, i leader possono aiutare i dipendenti a comprendere l’importanza della cybersecurity e i principi di una buona igiene della sicurezza. Invece di una formazione annuale, i dipendenti dovrebbero essere informati regolarmente sui nuovi problemi di cybersecurity e ricordare le migliori pratiche.

Home Depot ha implementato l’MFA e la crittografia
Nel 2014, i dati di oltre 50 milioni di clienti di Home Depot sono stati rubati dopo che le credenziali di un fornitore terzo sono state compromesse. Come parte del costo della violazione, il negozio di articoli per la casa ha dovuto pagare 17,5 milioni di dollari in risarcimenti ai procuratori generali di 46 stati e Washington, DC, per compensare i danni causati dalla violazione.

Dopo l’attacco, Home Depot ha apportato numerose modifiche alla sua sicurezza informatica, tra cui l’assunzione di un CISO e l’aumento della formazione in materia di sicurezza informatica. Inoltre, il rivenditore ha modificato i propri processi aggiungendo nuovi controlli. Attraverso la gestione delle password, Home Depot ora si assicura che i dipendenti seguano le migliori pratiche in materia di password. La crittografia ha anche ridotto la probabilità che i criminali informatici intercettino i dati sensibili in transito, e l’autenticazione a più fattori (MFA) contribuisce a ridurre la possibilità che i criminali informatici accedano ai sistemi dell’azienda.

Imparare da altre violazioni
Mentre queste organizzazioni hanno apportato cambiamenti positivi dopo una violazione, altre aziende dovrebbero imparare dai loro errori. È molto meglio agire in modo proattivo prima di diventare una vittima. Proteggendovi ora, potrete concentrarvi sul servizio ai clienti invece di riprendervi da una violazione devastante.