La cybersecurity in azienda deve essere affrontata e gestita come un vero e proprio processo di sviluppo per arrivare alla realizzazione di un programma strutturato di sicurezza aziendale.
Vediamo qual è lo scenario attuale della cybersecurity.
Ad oggi, una delle situazioni più sfidante per le aziende è l’implementazione della best practice di sicurezza informatica applicate a una rete che è sempre meno strutturata e decentralizzata.
Di fronte ad attacchi informatici di vario tipo, due sono i comportamenti tipici, che sono totalmente inadeguati a risolvere la crisi: iniziare a pensare alla sicurezza informatica solamente nel momento in cui si verificano tali incidenti e investire in soluzioni tecnologiche “stand alone” senza una strategia di sicurezza definitiva.
Ogni azienda che si approccia all’implementazione di una corretta strategia di difesa cibernetica deve basarsi su questi pilastri:
Governance: mirare ad avere piena conoscenza degli asset aziendali e dei processi produttivi. Una efficace ed efficiente governance aziendale permette di valutare i rischi associati alla propria realtà produttiva e di conseguenza avere le giuste contromisure da adottare. Inoltre, bisogna ripetere le azioni e l’attività di analisi nel tempo. La valutazione del rischio deve essere vista come un’attività in costante aggiornamento e che di conseguenza non può esaurirsi con l’identificazione del rischio iniziale.
Management: puntare ad avere piena visibilità di quello che avviene all’interno del proprio perimetro fisico e virtuale. In modo tale da rilevare velocemente gli incidenti di sicurezza e mettere in atto le attività di contenimento e ripristino dell’attività produttiva.
Awareness: bisogna inoltre consapevolizzare gli utenti aziendali dei rischi e delle minacce a cui vanno incontro mentre utilizzano non solo gli strumenti di lavoro e le infrastrutture considerate critiche, ma anche lo smartphone e tutti i dispositivi ad uso personale.
Incident: prevedere processi e soluzioni che costantemente controllino e monitorino lo stato delle infrastrutture critiche aziendali e le eventuali anomalie che possano eventualmente presentarsi.
Compliance: esistono normative leggi e standard di settore, nazionali e internazionali, a cui l’azienda deve essere sempre essere conforme in termini di sicurezza.
Tutti i giorni le aziende sono soggette ad attacchi cyber che mettono a rischio il sistema informativo aziendale. Tra gli ultimi attacchi individuati dal CERT_PA vi è una vasta campagna di malspam rivolta a professionisti ed aziende private. Si tratta di messaggi con un testo simile a quello utilizzato dall’Agenzia delle Entrate che vengono inviati attraverso la PEC per diffondere il malware sLoad. Un malware in grado di eseguire in modo abusivo comandi sul sistema aziendale sottraendo informazioni riservate, conservate nella memoria del browser.
Attacchi cyber: l’Italia è vulnerabile
Tuttavia, questo è solamente uno dei numerosi rischi informatici che le aziende devono affrontare. Ciò che emerge dal report “Dove va l’economia italiana e gli scenari geo-economici”, elaborato dal Centro studi di Confindustria, è che l’Italia è uno dei paesi europei più vulnerabili agli attacchi cyber e che non è adeguatamente preparata ad affrontarli. Nella classifica dei 28 paesi dell’UE per il livello di digital skills possedute da cittadini e aziende, l’Italia si posiziona difatti al venticinquesimo posto.
Digitalizzazione e innovazione: parole d’ordine
Da questo possiamo dedurre dunque alcune informazioni: la crescente esigenza di digitalizzazione delle aziende dev’essere accompagnata da un’equivalente innovazione delle competenze digitali. Ciò deve essere affiancato ad un’adeguata innovazione dei sistemi di sicurezza aziendali in grado di affrontare le tecniche di attacco sempre più sofisticate ed in continua evoluzione.
Per questo risulta necessario che le aziende adottino strumenti di sicurezza più innovativi, adatti a garantire un maggiore livello di sicurezza dei sistemi informativi aziendali.
Tuttavia, si tratta di una sfida non facile.
Ciò nonostante, per ora tra le soluzioni che risultano essere più efficaci e in grado di garantire un’adeguata difesa da attacchi cyber, vi è quella di adottare un approccio integrato per la gestione della sicurezza da un unico sistema centrale.
Per una consulenza gratuita sulle nostre soluzioni in grado di migliorare la sicurezza dei vostri sistemi informatici aziendali non esitate a contattarci!
L’avvento della nuova rete 5G sarà alla base del progresso futuro e consentirà il superamento di alcuni limiti tecnologici determinando un rapido sviluppo che coinvolgerà tutti i settori dell’economia. Tuttavia, a fronte delle diverse opportunità di sviluppo che questa nuova tecnologia offre, è fondamentale considerare anche i rischi che comporta.
In particolare, ci riferiamo al rischio legato ad una maggiore vulnerabilità quindi maggiore esposizione al rischio di attacchi hacker.
Valutazione dei rischi sulla sicurezza
Sul tema della cybersecurity delle reti 5G tra le ultime misure a livello europeo vi è la Raccomandazione del 26 marzo 2019 attraverso la quale l’Unione Europea ha chiesto ai Paesi membri l’elaborazione di un documento relativo a una valutazione dei rischi per la sicurezza delle reti di quinta generazione.
Lo scopo di queste valutazioni è quello di individuare una serie di strumenti e definire un approccio comune a livello europeo volto a garantire la sicurezza delle reti pubbliche e a rendere più forte la cooperazione contro gli attacchi informatici. La valutazione coordinata, che renderà possibile un aggiornamento degli standard di sicurezza volto a garantirà la sicurezza delle reti 5G, secondo le previsioni dovrà essere disponibile a partire dal 1° ottobre 2019.
Migliorare la sicurezza in ambito cyber è possibile
Allo scopo di migliorare la sicurezza cyber oltre alla suddetta raccomandazione, l’UE ha previsto anche la direttiva NIS del 2016, recepita in Italia nel 2018, che definisce alcune misure per conseguire un elevato livello di sicurezza informatica. Altre importanti normative su questo tema sono il cosiddetto Cybersecurity Act, ovvero il Regolamento europeo 2019/881 e il Regolamento 2019/452 sul controllo degli investimenti esteri nell’UE che sarà applicabile a partire dall’11 ottobre 2020.
A livello nazionale, invece, modificando la legge n.56 del 2012, attraverso il decreto legge n.22 del 25 marzo 2019 (approvato a maggio) i servizi di comunicazione basati sulla tecnologia 5G sono stati inseriti tra “le attività di rilevanza strategica per il sistema di difesa e sicurezza nazionale”.
Tutti questi provvedimenti sono volti a garantire una maggiore sicurezza dello sviluppo delle infrastrutture dell’ecosistema digitale, in particolare della rete 5G, adottando un approccio coordinato e in linea con quello europeo.
In ambito informatico, possiamo definire gli account tutte le informazioni personali di un utente che consentono a quest’ultimo di accedere ad un determinato servizio Internet e gestire in maniera personalizzata i propri dati e le proprie informazioni.
Gli account consentono l’accesso ad una infinità di servizi che possiamo trovare in rete e che ci permettono di compiere determinate operazioni a seguito di un’iscrizione e dunque della concessione di specifiche informazioni personali necessarie per la creazione di un profilo che ci indentifichi.
Esistono diverse tipologie di account come ad esempio gli account social, quelli dei sistemi operativi, gli account di messaggistica e quelli di posta elettronica. Questi ultimi rappresentano attualmente uno dei principali strumenti di comunicazione per le aziende. Tutti questi account contengono numerose informazioni importanti e dati personali e proprio per tale motivo sempre più spesso sono a rischio di attacchi hacker finalizzati a compiere reati informatici a danno di utenti e aziende.
Questo dato viene confermato dall’analisi riportata nel Rapporto Clusit 2019 e realizzata da LibraEsva che ha condotto una ricerca sulla email security in Italia nel 2018. I dati rilevati da questo studio confermano, infatti, che gli attacchi indirizzati alle aziende hanno subìto una forte crescita.
Questi attacchi colpiscono sempre più frequentemente le aziende ed i rischi informatici e i danni che possono derivare dalla violazione degli account aziendali rappresenta un problema molto serio che le aziende devono essere in grado di prevenire ed affrontare. Allo scopo di proteggere, dunque, gli account e i dati dalle svariate minacce informatiche e dai tentativi di accesso non autorizzato risulta pertanto fondamentale adottare misure di prevenzione ed effettuare verifiche costanti sulla rete aziendale allo scopo di identificare eventuali comportamenti anomali.
Di conseguenza, l’utilizzo di strumenti specifici contro il Business Email Compromise (BEC) e la revisione delle procedure aziendali, introducendo un canale di conferma addizionale per il consenso delle transazioni, sono tutti strumenti che possono essere utili a ridurre il rischio di attacchi informatici verso le organizzazioni.
La Cyber Security, ovvero sicurezza informatica, comprende tutte quelle tecnologie utili alla protezione di un computer o una rete di computer da attacchi che possono compromettere dati e informazioni o addirittura portare alla loro perdita.
Si
configura come un processo teso alla protezione delle informazioni che prevede
attività di prevenzione, rilevazione e risposta agli attacchi che provengono
dal Cyberspazio.
L’importanza della Cyber
Security
Nell’attuale
era 4.0 caratterizzata dall’utilizzo sempre più ampio di nuove tecnologie, dalla
digitalizzazione di molti processi e dalla costituzione di veri e propri
patrimoni informativi il tema della sicurezza informatica sta acquisendo sempre
più importanza.
Proprio
per questo motivo la Cyber Security deve diventare una priorità per le aziende,
un investimento che non si può più rimandare per evitare di compromettere la
sicurezza dell’intera organizzazione.
Paesi Europei e Cyber Security
Anche i vertici della Commissione Europea negli ultimi anni si sono mossi per garantire la difesa dello spazio virtuale.
L’Europa
infatti si è cominciata ad organizzare in tema di Cyber Security prevedendo un
quadro normativo per tutti i Paesi membri, con l’entrata in vigore del GDPR
prima e con il recepimento della direttiva Nis poi.
Il GDPR
si occupa di regolare la materia di protezione dei dati personali prevedendo
obblighi specifici in capo alle aziende, uniformando la legislazione dei Paesi
membri su questo tema.
Il Nis
(Network and Information Security, questo il nome della recente direttiva) si
configura come un primo importante strumento che definisce i concetti della
sicurezza informatica in modo organico tra tutti i Paesi UE, favorendo la
condivisione di un linguaggio comune a tutti.
Ma quanto si spende per la Cyber
Security?
Secondo le ultime previsione di Gartner la spesa a livello mondiale per la sicurezza informativa aumenterà con una percentuale del 7% per raggiungere 93 miliardi di dollari di investimenti.
Sempre
secondo Gartner il segmento dei servizi in materia di Cyber Security sarà
quello con una crescita più rapida, si prevede infatti una crescita del suo
mercato pari al 12-15% anno dopo anno.
Il GDRP è un regolamento concordato dal Parlamento e dal Consiglio Europeo nell’aprile 2016, che da maggio 2018 ha sostituito la Direttiva 95/46/CE sulla protezione dei dati.
GDPR: definizione
Il nuovo Regolamento è diretto a regolare la protezione dei dati delle persone fisiche con riguardo al trattamento dei dati personali e alla tutela della libera circolazione dei dati.
Si noti come il GDPR è teso a
regolare la protezione dei dati solo delle persone fisiche, e non delle
società, delle imprese o di altre organizzazioni con qualsiasi natura
giuridica.
Il Regolamento Generale sulla Protezione dei Dati, questo il nome completo del nuovo regolamento entrato in vigore, ha l’obiettivo di disciplinare in modo uniforme nei Paesi membri gli obblighi in capo alle aziende e le modalità secondo le quali queste proteggono i dati personali dei cittadini UE con cui entrano in contatto.
I
punti fondamentali del GDPR
Con il GDPR sono molte le novità
introdotte in tema di privacy e protezione dei dati.
Vediamo insieme quali sono i punti fondamentali del GDPR:
Le sanzioni in caso di infrazione del Regolamento possono arrivare fino al 4% del fatturato globale annuo o fino a 20 milioni di euro (dipende dalla natura della violazione commessa)
I responsabili del trattamento dei dati hanno l’obbligo di notificare entro 72 ore la violazione alle autorità competenti
Enti pubblici e società che trattano dati su larga scala sono obbligati a nominare un Responsabile della Protezione dei Dati
I consumatori hanno diritto alla cancellazione dei dati (“diritto all’oblio”) e il diritto alla “portabilità dei dati”
Obbligo in capo alle aziende di prendere misure adeguate al fine di proteggere i dati personali e la sfera privata dei consumatori con cui entrano in contatto
Obbligo di conformità al GDPR anche per le organizzazioni che non hanno sede nei Paesi UE ma che commercializzano beni o servizi con cittadini dei Paesi membri.
GDPR: quando non si applica?
Tra gli obiettivi del
legislatore va annoverato sicuramente quello di rendere quanto più ampio
possibile l’ambito di applicazione del nuovo Regolamento.
Tuttavia possiamo riscontrare almeno 4 casi in cui il GDPR non si applica, in particolare:
Per
il trattamento dei dati da parte degli Stati membri per eseguire operazioni o
attività di politica estera e sicurezza generale
Per
il trattamento dei dati da parte di persone fisiche per l’esercizio di attività
a carattere domestico o personale
Per
il trattamento dei dati per eseguire attività che non rientrano nell’ambito di
applicazione del diritto comune
Per
il trattamento dei dati da parte delle autorità competenti con fini di
prevenzione, indagini, perseguimento o
esecuzione di sanzioni penali
