Come affrontare la sicurezza delle informazioni

La cyber security, anche se sarebbe più corretto parlare di "sicurezza delle informazioni", non può essere considerata un qualcosa di meramente tecnologico ma deve essere affrontata a livello dell'intera organizzazione.

In primo luogo perché un incidente informatico - che sia esso un furto di informazioni, la corruzione delle stesse o un fermo di un servizio essenziale come potrebbe essere la produzione - ha un forte impatto economico. Il costo medio annuo di un attacco informatico è di 8 milioni di euro secondo l'ultimo report di Accenture Security per il mercato italiano.

In secondo luogo, sempre più spesso le minacce sono estremamente elaborate, richiedendo un approccio a 360° che vada quindi oltre gli aspetti meramente tecnologici.

Una corretta strategia per la sicurezza delle informazioni dovrebbe considerare quattro aspetti fondamentali:

• L'organizzazione aziendale
• Le persone
• Il controllo
• La tecnologia

ORGANIZZAZIONE

Quando si affronta il tema della sicurezza fisica viene automatico pensare a piani di emergenza e misure preventive, lo stesso dovrebbe accadere per quanto riguarda la sicurezza delle informazioni.

Molti danni potrebbero essere evitati, o per lo meno limitati, se si mettessero in atto le corrette procedure. Un esempio? Basti pensare agli innumerevoli danni causati dall'esecuzione di bonifici a destinatari errati. Delle semplici procedure interne di verifica e approvazione delle operazioni dispositive potrebbero evitarli.

Un altro aspetto fondamentale è prevedere una procedura di Incident Response che permetta di sapere come comportarsi in fase di emergenza e minimizzare in questo modo i disservizi.

Soprattutto con l'avanzare di smart e remote working avere un’organizzazione agile ed efficiente è fondamentale per garantire la sicurezza delle informazioni. Questo si traduce nel fornire ai propri collaboratori i giusti strumenti aziendali di collaboration e condivisione, evitando così l'utilizzo di strumenti personali e "fai da te" che non possono essere controllati dall'IT.

PERSONE

Molto spesso si sottovaluta che buona parte (circa nel 20% dei casi secondo il Clusit) degli attacchi ha come obiettivo le persone.

Le "vulnerabilità umane" possono essere utilizzate sia come attacco a sé stante sia come primo vettore di un attacco più complesso. In questo scenario circa il 60% degli attacchi ha come primo vettore di attacco le persone, in questi casi per quanto la tecnologia possa mitigare le minacce non sarà mai sufficientemente efficace.

È quindi necessario lavorare sulla consapevolezza delle persone in modo che siano coscienti dei pericoli in cui incorrono durante la loro quotidianità lavorativa.

Affinché possa essere efficace la formazione deve essere costante, in continuo aggiornamento e ricca di simulazione di scenari reali ("learning by doing").

È infatti dimostrato che gli approcci tradizionali alla formazione hanno fallito, in quanto un approccio puramente teorico non prepara adeguatamente gli utenti alle minacce del mondo reale.

CONTROLLO

Il tempo medio di rilevazione di un attacco sfiora i 200 giorni (fonte: IBM Research) ciò significa che le organizzazioni si accorgono di un attacco solamente dopo che questo è stato portato a termine.

Identificare un attacco durante le prime fasi è fondamentale per poter limitare i danni.

Ma come è possibile raggiungere questo obiettivo? È necessario lavorare su due aspetti fondamentali: ridurre la superficie di attacco a disposizione dei cyber criminali e monitorare adeguatamente la propria infrastruttura per individuare situazioni anomale che potrebbero essere indice di attacco.

Ridurre la superficie di attacco è possibile pianificando aggiornamenti costanti e verificando attraverso assessment periodici (penetration test) la sicurezza dei sistemi esposti.

Per quanto riguarda il monitoraggio, sicuramente sono necessari strumenti che raccolgano e correlino informazioni da diverse fonti (apparati di sicurezza perimetrale, soluzioni di collaboration, software di endpoint security, ecc.) ma è fondamentale anche la presenza di personale preparato e dedicato all'analisi degli avvertimenti generati dal sistema di monitoraggio che altrimenti cadrebbero nel nulla.

TECNOLOGIA

Chiaramente una strategia di cyber security non può prescindere dall'utilizzo delle giuste soluzioni tecnologiche. Questo è sicuramente l'aspetto su cui le organizzazioni si focalizzano maggiormente.

Molto spesso le soluzioni necessarie per proteggersi sono già in possesso delle organizzazioni ma non sfruttate adeguatamente.

Si pensi ad esempio alle funzionalità di autenticazione a più fattori e di accesso condizionale incluse nelle principali soluzioni di collaboration e spesso ignorate, oppure alle soluzioni di endpoint security non sfruttate a pieno a causa della paura ingiustificata di performance oppure a causa della presenza di sistemi operativi obsoleti (e qui si ritorna appunto all'aspetto legato al controllo).

Infine, in un mondo che si muove sempre più verso il lavoro da remoto e in mobilità, il focus dovrebbe essere posto sulla gestione dei dispostivi utente attraverso soluzioni di MAM/MDM e sull'accesso sicuro, molto spesso sottovalutato, alle risorse aziendali attraverso VPN.