CYBER SECURITY
Il tema della sicurezza informatica, intesa come la messa in atto di tutte le procedure necessarie alla protezione dei sistemi informativi in termini di disponibilità, integrità e riservatezza, è diventato ormai una esigenza di ogni azienda.
Gli attacchi informatici sono sempre più frequenti e sempre più specializzati e il World Economic Forum da vari anni informa e classifica gli attacchi informatici come la principale minaccia per le imprese operanti in Europa, sia per probabilità di accadimento che per impatto.
Le conferme di questo trend inarrestabile arriva ogni anno anche dal Rapporto Clusit, che dpconsulenze legge e studia ogni anno con attenzione, insieme alle raccomandazioni e alle best practice dell’AgID.
Inoltre un perimetro di rete sempre più debole e meno definito, dal massiccio e improvviso cambiamento di molte infrastruttura IT, hanno comportato che molte aziende abbiano faticato a tenere il passo sulle misure di sicurezza e tutela.
In questo scenario i cyber criminali hanno affinato le loro tecniche per perseguire il proprio fine, sempre il medesimo, ottenere denaro. Per riuscirci, puntano sul furto di informazioni aziendali prevalentemente mediante malware e phishing utilizzando strategie di “double extorsion” ai danni dei malcapitati e compiendo attacchi su scala “industriale”, che prescinde sia da vincoli territoriali che dalla tipologia dei bersagli.
Le conseguenze di questi attacchi costituiscono un doppio effetto per le aziende e possono comportare un danno ingente e improvviso (sanzioni conseguenti al data breach per inadeguatezza della struttura di trattamento, necessità di dover cedere a una richiesta di riscatto, …), minare il loro business (perdendo dati e operatività) e la loro credibilità.
Il nostro lavoro di difesa si articola primariamente su due fronti.
Il primo fronte prevede l’utilizzo di soluzioni tecniche adeguate a contrastare o ridurre gli effetti di un attacco.
È sempre raccomandato, ad esempio, l’esecuzione periodica di un VAPT (Vulnerability Assessment and Penetration Test) per un’attenta analisi dell’infrastruttura informatica, al fine di scovare punti vulnerabili e simulare gli effetti di attacchi esterni per poterne valutare prima i potenziali effetti indesiderati.
Molti esperti di cyber security presentano alle aziende armi e strategie per difendersi da attacchi e spiegano come comportarsi in caso di incidente, ma nella gran parte dei casi propongono solo soluzioni informatiche, servizi e tecnologie, sottovalutando il cd. “Fattore H”.
Il secondo fronte, sottovalutato dai molti, prevede l’addestramento degli utenti sul corretto comportamento da tenere per evitare di mettere a rischio la sicurezza aziendale mediante un programma di incontri focalizzati alla Security Awareness.
La gran parte dei cyber attacchi rivolti alle aziende richiede infatti la “collaborazione” di un utente interno (che opera spesso da complice inconsapevole).
I criminali in rete sanno ad esempio che inviare email fraudolente, rubare le credenziali e caricare allegati dannosi nelle applicazioni in cloud è più redditizio che creare sistemi di intrusione, complessi e costosi, che hanno peraltro anche un’alta probabilità di fallire.
Una formazione di qualche ora può fornire agli utenti gli strumenti giusti a eludere il tentativo dei cyber criminali di ingannarli; sono moltissime le società di sicurezza che ritengo che oltre il 90% delle minacce possa essere mitigato da una consapevolezza informatica di base delle risorse aziendali.
Questa attività, condotta e monitorata almeno con cadenza semestrale o annuale, ha come obiettivo un continuo adeguamento delle misure da implementare per mettere e mantenere in sicurezza i dati e i sistemi informativi seguendo i capisaldi dettati anche dal GDPR e dai principali standard di qualità nel trattamento dati: integrità, disponibilità e riservatezza del dato.
Un investimento in cyber security è certamente utile, una banale compromissione produce costi nettamente superiori e il mancato investimento comporterà solo nuovi danni.