Sicurezza informatica aziendale: la prudenza non è mai troppa

24 aprile 2018

Sicurezza informatica: lo sapevi che…

È 20 volte più probabile essere derubato mentre sei al computer da un criminale estero che per strada o in casa? E non si tratta solo della carta di credito.

Infatti, se per un istante pensassimo ai milioni di informazioni, immagini e dati sensibili, aziendali e personali, che ogni giorno trattiamo e produciamo e che potrebbero esserci sottratti, il furto della carta di  credito rappresenterebbe solo la punta dell’iceberg.

Anche perché oggi è internet il veicolo principale per attaccare le nostre aziende o le nostre reti domestiche e danneggiarle gravemente; quindi, potenzialmente, siamo tutti esposti al rischio di attacchi informatici.

Questa, però, sembra essere una consapevolezza non ancora comune: lo dimostra lo scandalo “Facebook – Cambridge Analytica” scoppiato proprio in queste ultime settimane che pare aver scioccato diversi milioni di persone ed aziende. Cambridge Analytica avrebbe carpito i dati di oltre 87 milioni di iscritti a Facebook nel mondo, profilandone psicologia e comportamento, in base allo studio della loro attività. Il social network non avrebbe impedito che i dati venissero estratti dalla piattaforma, con un grande “mea culpa” pubblico da parte del CEO Mark Zuckerberg, colpevole di non aver salvaguardato i dati degli utenti.

Questa storia recente ci insegna che, come disse Richard Clarke, consulente per la sicurezza nazionale della Casa Bianca, “se spendi di più per il caffè che per la sicurezza delle tue informazioni, sarai hackerato. Inoltre, ti meriti di essere hackerato”.

Clarke, già alla fine degli anni ’80, lavorava sulla sicurezza informatica e contro le minacce di terrorismo verso le infrastrutture critiche degli Stati Uniti. In una conferenza sulla sicurezza del 2002, dopo aver citato statistiche che indicavano che meno dello 0,0025% dei ricavi aziendali venivano in media spesi per la sicurezza della tecnologia dell’informazione, diventò famoso proprio per questa sua citazione.

La sicurezza informatica, o più recentemente chiamata “Cyber security”, è più importante di quanto si possa immaginare e, oltretutto, è oggetto di attenzione da più di 30 anni per fronteggiare un business sempre più redditizio: quello della criminalità organizzata online.

Basti pensare che già nel 1986 nacque il primo virus, Brain, creato da due fratelli pakistani per i computer di “massa” e diffuso in tutto il mondo con un floppy disk. Uno tra i primi casi di truffa particolarmente originale se si pensa che, nel codice del virus comparivano in chiaro non solo i nomi ma anche i numeri di telefono dei due autori che si ritrovarono così in un secondo famosi e sommersi di telefonate.

Ma come ogni storia vuole, più il tempo passa, più le cose si complicano. E la storia ed i fatti ci insegnano da diversi anni che chi non si adegua, paga, e paga anche un conto molto salato.

Sicurezza informatica aziendale: i casi di hackeraggio aumentano

In molti ancora oggi sottovalutano i rischi e le conseguenze dei cyber attacchi, “favori” che gli hacker negli ultimi anni non si sono mai lasciati sfuggire: dal 2011, infatti, si registra un aumento di attacchi del 240%, dati che continuano a far tremare una marea di aziende e che mettono sempre più a rischio la loro business continuity. (Fonte: Il Corriere.it)

Solo nell’ultimo anno sono tanti gli esempi di aziende che hanno imparato a proprie spese, per esempio:

  • maggio 2017, oltre 230.000 computer in 150 diversi Paesi sono stati infettati da WannaCry, sfruttando una patch rilasciata da Microsoft per il sistema operativo Windows XP;
  • da maggio a luglio 2017, Equifax, una delle tre principali agenzie di controllo dei crediti negli Usa, ha subito un attacco hacker che ha rubato i dati sociali, delle patenti di guida e delle carte di credito di oltre 143 milioni di consumatori americani, britannici e canadesi;
  • giugno 2017, Maschio Gaspardo, multinazionale veneta leader nella produzione di attrezzature agricole, ha dovuto chiudere gli stabilimenti veneti e friulani lasciando a casa 650 dipendenti per 3 giorni;
  • luglio 2017, TNT Express, uno dei leader mondiali nella logistica, ha visto fermarsi oltre 70 autisti, 15 operatrici, 30 addetti all’assistenza e circa 80 operatori della logistica a causa di un malware che ha sfruttato alcune vulnerabilità della rete Lan insinuandosi nei computer aziendali.

Il caso di hackeraggio di TNT

 

E non è mica finita qui. Hackers diversi hanno attaccato il leader della Lega Nord Matteo Salvini rubando 70 mila mail private rendendole pubbliche, gli iscritti al Partito Democratico di Firenze diffondendo i loro nomi e recapiti personali, la piattaforma Rousseau per le votazioni online del Movimento Cinque Stelle. Altri ancora hanno sbeffeggiato gli organizzatori delle scorse Olimpiadi Invernali di PyeongChang causando gravi malfunzionamenti del sistema di trasmissione dei segnali televisivi su reti informatiche e interferito con uno dei fornitori di software nelle ultime elezioni presidenziali degli Stati Uniti. (fonti: il Corriere e la Repubblica)

In un’era in cui persino gli spazzolini elettrici sono connessi alla rete, i pirati informatici possono colpire quasi ovunque, prendendo il controllo. Il problema è che la società non si è ancora attrezzata in modo adeguato per contrastarli: la nostra privacy è in pericolo, i danni economici sono potenzialmente enormi.

Costi della sicurezza informatica: qual’è il “prezzo” di un attacco?

Quello di TNT è un esempio lampante di quanto possa essere devastante un attacco informatico dal punto di vista del business.

Il recente studio “Cost of Cyber Crime Study 2017” condotto dal Ponemon Institute in sette Paesi (Francia, Germania, Italia, Giappone, Regno Unito e USA) ha rivelato che l’anno scorso i costi del cybercrime sono aumentati del 23%.

In media, ogni azienda subisce 130 violazioni e perde 11,7 milioni di dollari a causa degli attacchi informatici, soprattutto ransomware, che sono passati in un anno dal 13 al 27% dei totali. La perdita di informazioni rappresenta la criticità con il costo più elevato e per rimediare alle violazioni messe in atto sono necessari circa 23 giorni. (Fonte: Il Corriere.it)

Statistiche sulla sicurezza informatica aziendale

 

Per quanto riguarda l’Italia, il costo del cybercrime è in media di 6,73 milioni di dollari l’anno per azienda. Questo dovuto ad un livello ancora troppo basso di protezione e agli scarsi investimenti aziendali in tema. (Fonte: IlCorriere.it)

Ma, al di là degli affari, c’è anche il danno all’immagine a pesare notevolmente.

Non è un caso, allora, che la grande maggioranza delle aziende che subiscono un attacco informatico tendono a pagare il riscatto richiesto per riavere i propri dati e non far trapelare nulla all’esterno.

Una volta pagato però, non è detto che il tutto si sistemi.

Esempio di messaggio di un cryptolocker

 

Piano per la Sicurezza IT: da dove cominciare

Se i dati si possono definire come la proiezione digitale di persone e imprese, più aumentano più aumenta in modo esponenziale anche la nostra vulnerabilità.

I cambiamenti imposti dall’innovazione tecnologica hanno generato un livello senza precedenti di raccolta e di elaborazione di dati, destinato a subire un’ulteriore espansione con le nuove applicazioni dell’Internet of Things, della robotica, della realtà aumentata.

La privacy e la sicurezza dei dati non sono la stessa cosa ma si intersecano nel punto in cui le informazioni personali necessitano di protezione. Di conseguenza è fondamentale attrezzarsi con le giuste precauzioni in ambito di sicurezza informatica aziendale per garantire il più elevato grado di protezione possibile.

Ma da dove possiamo cominciare?

Una buona strategia è quella di individuare i punti critici e le attività fondamentali per preparare l’azienda a fronteggiare il cambiamento:

Monitoraggio periodico, consapevolezza, sicurezza, progettazione

  1. consapevolezza: analizzare le vulnerabilità dell’azienda per valutare il rischio a cui si è esposti è il primo passo verso la protezione dei dati; è opportuno conoscere tutte le vulnerabilità dell’azienda avviando un’indagine approfondita di tutti i sistemi interni e/o esterni ed avere piena consapevolezza delle fragilità e dei rischi a cui si è esposti;
  2. progettazione: una volta consapevoli delle vulnerabilità va pensato un piano strategico, il cosiddetto “action plan”, volto ad individuare le azioni da compiere per raggiungere un adeguato livello di protezione;
  3. sicurezza: «attuare misure tecniche e organizzative per garantire un livello di sicurezza adeguato» (per esempio: encryption, assicurare riservatezza integrità, disponibilità e resilienza dei sistemi, capacità di ripristinare tempestivamente la disponibilità e l’accesso ai dati in caso di incidente fisico o tecnico, formazione); la messa in sicurezza dei dati personali non potrà più essere presa alla leggera, soprattutto in vista della nuova normativa europea GDPR grazie alla quale si alzerà significativamente il livello di protezione dei dati richiesto;
  4. monitoraggio periodico: necessario per verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative adottate per garantire la sicurezza del trattamento; dal 25 maggio prossimo il GDPR introdurrà il principio di “Data Protection By Design” che obbligherà da un lato a verificare e garantire il corretto livello di protezione, dall’altro l’assenza di vulnerabilità per i sistemi e per le applicazioni che tratteranno i dati sensibili già in fase di progettazione.

Mentre per un assestment legale è necessario che vengano coinvolti dei professionisti con elevate competenze nell’ambito della privacy, per l’assestment tecnologico è necessario fare uno screening degli strumenti e delle misure per la sicurezza informatica aziendale attualmente utilizzate in azienda.

Ma quali?

Vulnerability assessment

Per proteggere le informazioni contro il crescente numero di cyber attacchi che sfruttano le vulnerabilità è fondamentale includere nel programma di cyber security dei Vulnerability Test periodici.
I risultati di questi test aiutano l’azienda ad identificare i punti critici dell’infrastruttura informatica così da poter formulare un action plan ed evitare importanti danni.

Progettazione infrastrutture

Progettare l’infrastruttura, migliorandola negli aspetti critici rivelati tramite il “VULNERABILITY ASSESSMENT”, tenendo conto dei seguenti aspetti:

  • Segmentazione della rete e protezione perimetrale, utilizzando ad esempio SonicWall che offre un’efficace prevenzione dei ransomware.
  • Sistemi di intrusion detection, analizzano diversi tipi di file per rilevare minacce avanzate ed esegue tali analisi in motori paralleli, bloccandoli prima di un verdetto di sicurezza e distribuendo rapidamente le firme di correzione. Il risultato è una maggiore efficacia della sicurezza, tempi di risposta più rapidi e un TCO inferiore.
  • Antivirus; utilizzando le versioni aggiornate dei software antivirus sui computer degli utenti, è possibile aumentare la sicurezza.
  • Sistemi ad alta affidabilità e disaster recovery
  • Centralizzazione dei log; in questo modo è possibile sapere in real-time ciò che sta succedendo all’infrastruttura aziendale, così da individuare eventuali vulnerabilità e poter prevenire gli attacchi informatici
  • Buone pratiche IT come la limitazione dei privilegi di amministratore e l’aggiornamento periodico dei dispositivi

Backup & Recovery

Uno dei rischi più grandi per un’azienda è un downtime non pianificato o la perdita accidentale di dati importanti, visti i gravi danni economici e d’immagine che questi possono causare.
Un piano di backup & recovery è essenziale per essere preparati in caso di un problema ed assicurare che i dati compromessi possano sempre essere rapidamente recuperati, sia per server che per client.

I vantaggi nel possedere un piano di backup & recovery sono i seguenti:

  • High-speed recovery
  • Nessuna perdita di dati
  • Verifica automatica del recovery
  • Abilità nel replicare sia on-site per alta affidabilità o off-site per disaster recovery

Possono essere adottate differenti soluzioni, come quelle offerte da Veeam e Acronis.

Data Loss Prevention

Soluzione basata su policy centralizzate, progettata per individuare potenziali violazioni dei dati monitorando, individuando e bloccando i dati sensibili.

Impedisce agli utenti:

  • di memorizzare dati sensibili sulle loro postazioni di lavoro
  • la fuoriuscita dalla società di informazioni sensibili
  • di portare all’interno della rete aziendale file potenzialmente dannosi attraverso i dispositivi di archiviazione

Monitoring

Sistemi che semplificano e velocizzano l’identificazione di problematiche prevenendo, o riducendo sensibilmente, i danni causati da downtime.

Le aziende hanno bisogno di strumenti che assicurino una tempestiva identificazione dei problemi ed un’immediata adozione di contromisure.

Due sono i principali Aspetti del monitoring:
Monitoring & Management

  • Stato dei dispositivi e dei servizi di rete
  • Performance Report
  • Identifica i problemi

Knowledge & Notifications

  • E-mail/SMS alert
  • Dipendenze tra hosts e servizi
  • Flessibilità periodi temporali e notifiche

Corsi di formazione sulla sicurezza IT

L’adeguata formazione dei dipendenti è la prima linea di difesa contro le minacce. Molte società investono in soluzioni per il controllo e la protezione dei dati, ma molte di queste soluzioni vengono rese inutili a causa della scarsa conoscenza degli utenti in ambito di sicurezza informatica.

I dipendenti non formati rappresentano un grande rischio per la società, poiché, ad esempio, potrebbero aprire email sospette, fonti molte volte di guai, o non proteggere adeguatamente informazioni sensibili adottando comportamenti non conformi alla sicurezza.

Sicurezza informatica aziendale e la formazione

Tutto ciò non fa altro che incrementare notevolmente il rischio di cyber attacchi.

Ecco perché i corsi di formazione in tema cyber security sono una delle principali attività da svolgere per incrementare la sicurezza aziendale.

Sicurezza informatica e GDPR: basta poco (e manca poco) per mettersi in regola

“Quello che apprezzo del Gdpr”, ha detto Zuckerberg in sede di audizione al Congresso USA per lo scandalo Facebook – Cambridge Analytica,  è che “consente agli utenti di essere sempre in controllo dei dati che condividono con le aziende, di cosa viene fatto con quei dati e eventualmente di cancellarli. Ci sarà anche un consenso speciale per quello che riguarda le tecnologie del riconoscimento facciale degli utenti”. (fonte Repubblica.it)

Il GDPR è il Nuovo Regolamento Europeo sulla Protezione dei Dati che entrerà in vigore il 25 maggio 2018 e introduce nuovi obblighi e nuove sanzioni che impongono alle aziende l’adozione di specifiche misure per la protezione dei dati personali sia in termini legali che tecnologici.

Anche se del GDPR si parla ormai da un paio di anni, solo il 3% delle aziende italiane soddisfa pienamente i requisiti richiesti dal GDPR.

Cosa comporta mettersi in regola?

Adempiere al Nuovo regolamento Europeo sulla sicurezza dei dati personali –GDPR- significa aver compiuto una serie di valutazioni dello stato dell’arte in ambito sicurezza dei dati personali sia da un punto di vista legale che da un punto tecnologico. Leggi l’articolo sul GDPR se vuoi saperne di più.

Lato legale, un gruppo di esperti in materia di privacy valuta, assieme al cliente, come vengono trattati i dati in azienda e suggerisce le operazioni da svolgere per allinearsi alle nuove disposizioni.

Lato tecnologico l’obiettivo è quello di arrivare ad un report che fornisce una panoramica completa delle vulnerabilità aziendali e gli ambiti in cui l’azienda dovrebbe incrementare la sicurezza dell’infrastruttura stessa.

Il diagramma risultante, come mostrato nella foto sottostante, ha lo scopo di evidenziare gli aspetti di maggior rischio e le priorità da affrontare.
Ogni qual volta la linea blu si trova al di sotto di quella arancione beanTech suggerisce di valutare le opportune modifiche o gli aggiornamenti seguendo quanto indicato nel report; successivamente, sulla base delle risultanze che emergono, sarà possibile procedere con piena consapevolezza alla predisposizione degli adempimenti tecnologici necessari.

GDPR e sicurezza IT

beantech

beantech

beanTech Srl è un’azienda con decennale esperienza nel settore dell’ICT, specializzata nell’integrazione di soluzioni informatiche (System Integration) e nell’attività di ricerca connessa allo sviluppo software (Laboratorio di Ricerca riconosciuto dal MIUR, Ministero per l’Istruzione, Università e Ricerca).

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *