Oggi, indubbiamente, gli attacchi di tipo Ransomware rappresentano uno dei peggiori incubi che Aziende e organizzazioni, sia pubbliche che private, stanno vivendo. Basti pensare che, secondo uno studio Kaspersky, solo tra il 2019 e il 2020 i casi di “Targeted Ransomware” (ovvero malware utilizzato per estorcere denaro da bersagli di alto profilo, come aziende, agenzie governative e organizzazioni municipali), sono aumentati di circa 8 volte (+767%).

Un fenomeno tanto esteso e in tale ascesa che il NIST, (National Institute of Standards and Technology), ha ritenuto opportuno strutturare un documento specifico sull’argomento, il “Draft NIST.IR 8374 – Cybersecurity Framework Profile for Ransomware Risk Management”.

Il documento nasce con lo scopo di identificare e raccogliere tutti gli obiettivi di Cybersecurity, nell’ambito del loro Cybersecurity Framework (ormai riconosciuto e applicato da organizzazioni di tutto il mondo) specificamente finalizzati al supporto delle organizzazioni nelle attività di prevenzione, risposta e recovery da eventi di ransomware.

Fino ad oggi le Aziende hanno tentato di tutelarsi da questo affanno principalmente introducendo e rafforzando la loro postura con soluzioni di tipo tecnologico, senza dare particolare evidenza al tema della Data Governance. Il fattore di rischio legato ai Ransomware deve invece iniziare ad essere considerato nell’ambito di una revisione più attenta ad una serie di fattori riguardanti la gestione dei dati aziendali, fatta di policy, standard, processi e metriche, e il fatto che organizzazioni come il NIST stiano individuando delle procedure standardizzate in questo senso ne è la riprova.

Quali sono quindi le indicazioni che le Aziende possono seguire per orientarsi sugli obiettivi di Data Governance per il contrasto del Ransomware? Un importante supporto viene innanzitutto dalle normative e dalle raccomandazioni in essere: la “Direttiva NIS” pubblicata dall’ENISA, i “Cybersecurity Framework NIST e NIST-P”, il “Framework Nazionale per la Cyber Security e la Data Protection”, il “GDPR”, etc.

Queste linee-guida consentono infatti di individuare con una certa precisione specifiche aree della Data Governance che le Aziende devono rianalizzare con maggior cura:

• Avere una mappa sempre aggiornata della collocazione dei dati (strutturati e non strutturati) in azienda, corredati di opportuna tipologia, classifica e ownership.
• Avere una mappa esaustiva ed un processo rigoroso per la definizione di chi può accedere ai dati e alle applicazioni e con quale scopo e, soprattutto, una procedura che riveda i permessi in funzione dei cambiamenti di ruolo del personale.
• Avere una gestione precisa e controllata del ciclo di vita dei dati.
• Avere una mappa aggiornata dei flussi di dati all’interno dell’Azienda.
• Il monitoraggio continuo dei servizi di directory dove sono memorizzati utenti e profili per intercettare la più piccola anomalia.
• Procedure di backup dei dati che garantiscano completezza ed efficacia e che garantiscano la non raggiungibilità diretta delle informazioni archiviate; procedure periodiche di verifica dell’affidabilità del processo di restore.
• Mantenere un “Incident Recovery Plan” aggiornato e periodicamente verificato con dei test specifici; tenere aggiornata la lista delle persone da contattare in caso di incidente.
• Eseguire cicli di Awareness e Training continui su tutto il personale aziendale sui rischi, le prassi e le procedure aziendali riguardanti i dati (rischi e responsabilità).

La sola implementazione di queste misure, se pure costituisce il primo passo verso una Data Governance efficace, non sarà sufficiente nel lungo termine: sarà infatti necessario definire anche una serie completa di controlli, che consentano di monitorare con continuità sia l’efficacia delle policy, procedure e processi definiti, sia la loro rivisitazione in caso di cambiamenti del contesto.

Sia chiaro che una buona gestione della Data Governance non mira a sostituire la componente tecnologica della Data Security,  che continua ad ricoprire un ruolo di fondamentale importanza nel “blocco” di un attacco di tipo Ransomware; gestire i dati in maniera corretta svolge però un ruolo fondamentale nella resilienza del business nel caso in cui, qualsiasi ne sia il motivo, l’attacco vada a buon fine, limitandone i danni, permettendo di individuare con certezza quali informazioni sono state compromesse e rendendo più semplice, completa e rapida sia la componente di “Communication” che quella di “Recovery” di un incidente.

Alfa Group accompagna le organizzazioni nell’implementazione di una Data Governance efficace per tutelare il business da minacce cyber come quella del Ransomware.

 Le nostre attività di consulenza in ambito Cyber Security Assessment & Strategy Alignment, prevedono l’analisi dei livelli di compliance rispetto alle normative, agli standard di sicurezza e alla legislazione vigente (tra cui ISO, NIST, GDPR, Cyber Resilience), e lo sviluppo di un piano di adeguamento sia organizzativo che tecnologico per garantire il completo allineamento rispetto alla strategia di sicurezza identificata.