Cos’è la Cyber Security e perché è strategica per tutte le organizzazioni?
Pubblicato il 22 marzo 2022
Nel mondo digitalizzato di oggi, nuovi rischi emergono ogni giorno in ogni momento. Connettere la propria organizzazione ad Internet apre le porte agli hacker che hanno come obiettivo quello di arrecare danni, sia di tipo economico che reputazionale.
Esistono infatti solo due tipi di aziende: quelle che sanno di essere state attaccate, e quelle che lo sono ma non sanno ancora di esserlo.
Viviamo in un mondo connesso. E’ difficile immaginare che ciò che una volta era cominciato con un residuo numero di enormi mainframe negli anni ’70 sia cresciuto fino a comprendere miliardi di dispositivi connessi, dai personal computer, agli smartphone fino ai device IoT (Internet of Things).
Tuttavia tutto ciò ha avuto come prezzo quello dell’aumento del rischio cyber nella vita di tutti i giorni per le persone comuni. Allo stesso modo, il rischio per le organizzazioni di subire un attacco cyber è cresciuto esponenzialmente.
Le minacce possono scaturire ogniqualvolta sia presente su Internet una potenziale debolezza che gli hacker potrebbero sfruttare, ad esempio tramite una mail di phishing, un finto post sui social media o addirittura un hardware compromesso.
Come il numero di dispositivi attivi e connessi cresce, così anche le possibilità di attacco e danni subiti dalle aziende.
Che cosa è la cybersecurity?
La cybersecurity rappresenta, nella pratica, il garantire la sicurezza dei dati aziendali, ai massimi livelli possibili, da attacchi hacker provenienti sia dall’interno che dall’esterno. Essa coinvolge un insieme di tecnologie, processi, strutture e pratiche utilizzate per proteggere le reti, computer, programmi e dati da accesso non autorizzato o altri tipi di danni. L’obiettivo di qualunque strategia di cybersecurity è quello di assicurare la cosiddetta “CIA” dei dati, ovvero preservarne la Confidentiality (Confidenzialità), Integrity (Integrità) e Availability (Disponibilità).
Ci sono diverse modalità tramite le quali attacchi cyber potrebbero causare danni, colpire, o persino distruggere, un’organizzazione e la sua reputazione.
É comune la possibilità che un hacker possa ottenere informazioni sensibili quali dati relativi ad un conto bancario o a carte di credito di un’azienda o dei suoi dipendenti. Esistono mercati veri e propri per questo genere di informazioni sul “dark web”, ovvero quella parte di Internet che non viene normalmente indicizzata dai motori di ricerca e che è spesso accessibile solo collegandosi alla rete Tor.
Un’ulteriore problematica sulla sicurezza delle informazioni è rappresentata dal fatto che quando un hacker ottiene informazioni sensibili sull’azienda, questa potrebbe ritrovarsi ad avere la propria reputazione pesantemente danneggiata. Poche organizzazioni infatti sono in grado di sopravvivere alla perdita di reputazione che la diffusione di questi dati potrebbe causare. Inoltre la perdita di dati potrebbe avere come conseguenza azioni legali nei confronti dell’azienda. Una parte terza potrebbe quindi fare causa contro l’azienda in quanto essa stessa ha subito un danno. Le aziende potrebbero infine essere soggette a multe significative qualora i dati breach coinvolgano leggi sulla privacy in vigore nella singola giurisdizione.
Quali sono i costi della sicurezza?
Le falle di cybersecurity possono essere costose e dannose per un’organizzazione, in termini sia di capitale economico che di reputazione. Un recente sondaggio da parte di Ponemon Institute ha riportato che il 43% delle organizzazioni ha avuto esperienza di un data breach che ha coinvolto dati sensibili dei propri clienti o del proprio business nel corso degli ultimi anni.
Sulla base di questi dati, è emerso che due organizzazioni su cinque sono colpite ogni anno da vulnerabilità critiche a causa delle quali viene compromesso un quantitativo significativo di dati confidenziali.
Le vulnerabilità di cui si ha notizia ogni settimana sono delle più svariate. Ad esempio un negozio potrebbe vedersi rubati i dati delle carte di credito dei propri clienti, così come i cosiddetti “hacktivist” potrebbero sottrarre e diffondere dati sensibili governativi.
Nessuna organizzazione, privata o pubblica che sia, è quindi al sicuro dai rischi informatici relativi alla cybersecurity.
Infine, anche la natura dei cyber attack sta cambiando drasticamente. Inizialmente il target più comunemente sfruttato erano le e-mail, come il classico messaggio della banca che chiede dettagli sul proprio conto corrente. In seguito, quando le organizzazioni criminali si sono evolute, gli attacchi non si sono più limitati alle singole persone ma piuttosto verso aziende del settore finanziario o governativo.
Secondo uno studio svolto da IBM, il costo medio di un data breach è di quasi 4 milioni di dollari, cifra che per la maggior parte delle aziende sarebbe troppo elevata da sostenere.
Qual è uno dei trend emergenti in fatto di minacce di cybersecurity?
L’aspetto più recente ed allarmante della cybersecurity, e che causa problemi considerevoli alle aziende, è rappresentato da un particolare di tipo di malware denominato “ransomware”.
Già a partire dal 2012 sono state riportate campagne di ransomware che appaiono strutturate ed aventi un business model proprio come fossero delle vere e proprie società. Nella maggior parte dei casi essi vengono nascosti all’interno di un altro tipo di documento fino a che questo non verrà eseguito dall’utente vittima. Una volta infettati, i dati dell’organizzazione risulteranno inaccessibili in quanto cifrati con una chiave di cifratura posseduta, tipicamente, solo dall’attaccante o organizzazione criminale.
Si noti come spesso vengono cifrati tutti i dati, compresi quelli presenti nei dischi di backup o dispositivi di network storage collegati, come i NAS. A questo punto, l’azienda viene tipicamente avvertita che dovrà pagare un riscatto entro qualche giorno, di solito in Bitcoin, altrimenti non avrà più modo di ricevere la versione decifrata dei propri file.
L’unica alternativa possibile per un’azienda a questo punto è pagare, sconsigliato in quanto non è detto che poi vengano restituiti i dati decifrati, oppure recuperare lo stato precedente dei propri sistemi tramite backup conservati offline o comunque non connessi al sistema attaccato.
Che tipo di contromisure tecniche sono possibili per le aziende?
Dato che continuano ad emergere nuove vulnerabilità, ogni organizzazione deve assicurarsi di essere equipaggiata per gestire eventuali minacce o attacchi.
Le seguenti sono alcune delle soluzioni più significative che un’azienda potrebbe adottare per mitigare attacchi di sicurezza informatica all’interno della propria organizzazione:
- Utilizzo di firewall: essi sono software e, a volte anche hardware, progettati per proteggere il sistema da attacchi da parte di persone che accedono a sistemi dell’azienda, specialmente dall’esterno, in modo non autorizzato;
- Soluzioni a protezione nei confronti di malware o spyware, oppure web proxy, che proteggano il sistema da eventuali popup malevoli o keylogger che hanno lo scopo di registrare tutti i tasti premuti dall’utente, tra cui username e password, in modo da sottrarre i dati dell’account della vittima;
- Utilizzo di software anti-spam per proteggere le proprie caselle di posta da messaggi contenenti allegati malevoli o phishing.
È inoltre importante e raccomandato l’utilizzo di vendor conosciuti e dalla reputazione consolidata. Ciò viene suggerito in quanto gli stessi tool utilizzati a scopo difensivo potrebbero essere veicolo di attacco nel caso in cui siano essi stessi vulnerabili.
Generalmente è meglio utilizzare le utility raccomandate dai System Integrator dell’azienda che si occuperanno tipicamente della loro installazione, configurazione e manutenzione.
In particolare quest’ultimo punto è particolarmente critico. Nuovi software malevoli e minacce cyber appaiono ogni giorno ed è importante servirsi di prodotti che forniscano almeno un update automatico giornaliero dei propri database in modo da assicurarsi che il sistema continui ad essere protetto in modo efficace e aggiornato.
Che tipo di policy e procedure potrebbero essere applicate da parte di un’azienda in materia di cyber security?
Appropriate procedure di IT Governance sono fondamentali all’interno di un’organizzazione per prevenire gli attacchi informatici. È importante infatti siano presenti processi e policy per assicurarsi che i sistemi non vengano mal utilizzati e garantire che le stesse policy siano costantemente revisionate ed aggiornate in modo da riflettere le minacce più recenti. Questo include lo sviluppo di procedure di Incident Response e altre per rispondere in modo appropriato o mitigare i costi di un potenziale data breach.
Inoltre, all’interno di un’azienda tutti i dipendenti dovrebbero essere formati riguardo le politiche di gestione del rischio. È dimostrato infatti che uno staff preparato sulle problematiche di cyber security è in grado, se non altro, di mitigare eventuali attacchi o addirittura di prevenirli.
Alcune delle policy consigliate vengono di seguito elencate, per quanto non in modo esaustivo:
- User Account Management: regole e policy per tutti i livelli di utenti; procedure per assicurare l’individuazione tempestiva di incidenti di sicurezza e la protezione di dati confidenziali nei confronti di utenti non autorizzati;
- Data Management: stabilire procedure efficaci per gestire i repository di codice sorgente, i backup e il loro recupero, oltre alla gestione dei diversi media in utilizzo in azienda. Una gestione dei dati efficace aiuta ad assicurare la qualità, tempestività e disponibilità dei dati di un’organizzazione;
- IT Security and Risk Management: ovvero dei processi che mantengano l’integrità dell’informazione e la protezione degli asset IT aziendali. Questo processo include lo stabilire e il mantenere ruoli e responsabilità all’interno del team preposto alla sicurezza aziendale, oltre ad appropriate policy, standard e procedure.
Di seguito vengono inoltre proposti ulteriori suggerimenti a seconda del contesto preso in considerazione.
Policy per la sicurezza delle e-mail
- Proibire in modo assoluto l’uso di account mail personali per motivi di lavoro;
- Proibire l’apertura di allegati provenienti da fonti sconosciute in quanto potrebbero contenere software malevolo;
- Impedire la condivisione delle password delle proprie e-mail;
- Monitoraggio da parte dell’azienda relativamente alle e-mail di lavoro inviate e ricevute, secondo la legislazione sulla privacy vigente.
Policy per l’utilizzo di Internet
- Limitare l’utilizzo di Internet esclusivamente ad uso lavorativo;
- Notificare la possibilità da parte dell’azienda di poter tracciare l’utilizzo di Internet da parte dei suoi dipendenti;
- Assicurarsi che il download di file avvenga solo tramite siti sicuri e affidabili;
- Proibire l’esecuzione di file sconosciuti senza che questi vengano prima analizzati da un software anti-virus.
Policy per l’accesso remoto
- Richiedere approvazioni di sicurezza per l’accesso esterno ai propri sistemi;
- Assicurare la sicurezza fisica degli strumenti di lavoro forniti, come ad esempio i computer portatili aziendali;
- Monitoraggio delle attività degli utenti esterni in modo da identificare possibili pattern inusuali di utilizzo o altre attività potenzialmente sospette.
Ogni organizzazione dovrebbe inoltre stabilire un piano per mitigare il rischio di avere persone chiave della propria azienda non immediatamente disponibili in caso di attacchi cyber in corso.
È buona norma quindi mantenere una lista aggiornata di contatti tecnici in caso sia necessario un supporto per ripristinare velocemente backup passati.
È inoltre importante documentare la configurazione dell’hardware e delle applicazioni software e mantenerle aggiornate in modo che un tecnico aziendale possa riconfigurare velocemente i sistemi affetti.
Quanto sono critiche le skill di cybersecurity all’interno di un’azienda?
Dato che le tecnologie stanno diventando sempre più sofisticate, le capacità dei criminali spesso sorpassano quelle dei professionisti della sicurezza all’interno delle organizzazioni. La prova di ciò è data dal fatto che il numero di attacchi che vanno a buon fine continua ad aumentare.
Per questo motivo, vista la sempre maggiore importanza data alla cybersecurity, personale qualificato e specificatamente istruito è sempre più richiesto.
Le aziende hanno bisogno di persone che, grazie ad una serie di corsi sulla cybersecurity, imparino nozioni base e avanzate per mettere in sicurezza le reti e proteggere i sistemi informatici, computer e dati da un attacco o accesso non autorizzato.
In questo momento esiste infatti una difficoltà da parte delle aziende nel trovare personale specializzato. Secondo il report “ISACA State of Cybersecurity", il 27% dei professionisti di cybersecurity afferma di non essere in grado di individuare profili sufficientemente skillati, mentre un altro 14% non è sicuro che riuscirà a riempire i posti vacanti nel prossimo futuro. Secondo lo stesso studio, il 50% delle organizzazioni ha pianificato di incrementare il proprio budget rivolto alla cybersecurity in futuro.
Nei prossimi anni è stimato che circa 3 milioni di posti di lavoro nella cybersecurity non verranno occupati a causa della mancanza a livello mondiale di personale avente questo tipo di capacità.
Infine, un report di Burning Glass Technologies suggerisce che le offerte di lavoro nella cybersecurity sono cresciute del 74% e che queste richiedono circa il 24% in più del tempo per essere coperte rispetto ad altri tipi di mansioni.
La cyber security risulta essere sempre più critica ed importante per le aziende.
I costi da sostenere in caso di attacco informatico possono essere particolarmente ingenti dal punto economico ed addirittura incalcolabili dal punto di vista reputazionale.
È quindi importante che le organizzazioni adottino policy e procedure adeguate a gestire e, se possibile, prevenire eventuali rischi e minacce informatiche come ad esempio i ransomware, categoria di malware attualmente più diffusa da parte della criminalità organizzata.
Infine, è di fondamentale importanza la formazione interna in materia di cybersecurity del proprio personale e l’assunzione di personale specializzato e certificato che, attualmente, è tuttavia difficile da individuare nel mercato del lavoro.