Le persone in generale e le organizzazioni di tutte le taglie in particolare, purtroppo, hanno alcuni fraintendimenti in tema di Cybersecurity, che impediscono loro di gestire il problema con la dovuta attenzione.

La sicurezza informatica necessita di un approccio olistico, termine a volte criptico e abusato, che però descrive bene come tutta l’organizzazione debba agire in maniera coordinata, pianificata, strutturata e continuativa.

Ciò che spesso avviene è invece una gestione non strutturata, non pianificata e non coordinata, figlia di iniziative isolate, atte a creare interventi tampone a una situazione di emergenza.

La mancanza di visione olistica è figlia di alcuni fraintendimenti, pregiudizi e comportamenti. Vediamo quali sono.

La Cybersecurity “non è un tema tecnico” da delegare e far scivolare lungo la catena gerarchica fino all’ufficio o al collega, che per attitudini personali o competenze, si occupa prevalentemente delle tematiche tecniche.

Che il collega abbia una laura in informatica o semplicemente sia l’uomo del “cacciavite” poco importa.

La cybersecurity “non è un tema tecnico” ma un tema primario di business da pianificare in maniera strategica su cui le aziende di oggi si giocano la crescita di domani.

Fermi operativi nell’ordine di svariate decine di giorni; riscatti o sanzioni di decine di migliaia di euro; danni d’immagine e/o reputazionali; sottrazione di conoscenza, brevetti, processi sono eventi avversi talvolta fatali.

I casi di aziende, che dopo una violazione cyber non si sono più risollevate, iniziano ad essere purtroppo frequenti e vista la portata delle potenziali ripercussioni, il tema non può essere preso sotto gamba.

La Cybersecurity va prima affrontata a livello strategico e solo successivamente a livello tecnologico. La tecnologia è una parte della soluzione, non la soluzione.

Prima è necessario comprendere la situazione in essere e in base ad un’analisi dei rischi, definire una strategia pluriennale d’investimento.

In soldoni tutto ciò si tradurrà in primis nell’inserire la strategia IT in un Business Plan che prenda in considerazione le esigenze organizzative e tecnologiche da rivedersi annualmente. Uno specifico budget per finanziare una corretta fase iniziale di Gap Analysis, a sguito della quale valutare l'introduzione di policy, procedure, attività formative, l’acquisto di tecnologia, gli aggiornamenti periodici del software, la manutenzione, il supporto tecnico, nonché costi aggiuntivi per licenze, rinnovi, canoni di abbonamento ecc. sono costi da considerarsi.

La strategia di cybersecurity, soprattutto se strutturata su servizi cloud ed online, dovrà essere incorporata nel piano di continuità operativa e ripristino di emergenza, per evitare fermi operativi da interruzione del servizio.

Procedure e policy per la protezione della data protection andranno incorporate con altre norme e standard già presenti in azienda, quali la "Qualità", il GDPR, il D.lgs. 231/2001 o il Whistleblowing in fase di arrivo.

La Cybesecurity, un pò come la compliance normativa, è un continuo gioco di equilibri e aggiustamenti continui, integrati fra loro.

La cyber-security è una materia complessa, suddivisa in “sotto-specializzazioni”. Le richieste delle organizzazioni sembrerebbero semplici ma la loro implementazione non lo è.

Ma soprattutto non può essere “fai da te”.

Adempiuto all’aspetto strategico e di pianificazione, ne consegue quello prevalentemente tecnico, operativo e organizzativo.

Il vostro dipendente “smanettone”, che si è fatto qualche corso e vi ha sempre risolto tutti i problemini interni, quando qualche pc o la rete non funzionavano, non può essere il vostro esperto in cybersecurity.

L’investimento in tecnologia dovrà essere ponderato in relazione alle vulnerabilità riscontrate, alle mappature delle risorse e dell’infrastruttura esistente. Ma anche la miglior dotazione informatica non risolverà tutti i problemi di sicurezza. Congiuntamente all’aspetto più squisitamente tecnico dovrà essere sviluppato quello organizzativo, implementando policy, procedure e protocolli efficaci per ottimizzare la sicurezza. La consapevolezza e la formazione continua del personale sulle tematiche si sicurezza informatica chiuderanno il cerchio.

Tecnologia, procedure e formazione difficilmente possono essere implementate in autonomia senza ricorrere a fornitori esterni, che sappiano trovare una soluzione personalizzata alla singola realtà.

La Cybersecurity non è un intervento puntuale da fare una volta, per sistemare la situazione e poi dimenticarsene. Non è nemmeno un’attività ordinaria e periodica da fare annualmente o semestralmente.

La Cybersecurity è un modo di essere, è una abitudine, è una routine da implementare, mantenere e monitorare.

A livello di tecnologia si renderà necessario, tanto per cominciare, di effettuare delle scansioni periodiche (Vulnerability Assessment) as esempio sugli IP esposti su internet o gli entry point web, e quindi mantenere in atto tutte le remediation critiche; rimuovere i servizi di amministrazione da internet; impostare policy per le password, ottimizzare la gestione degli accessi; impostare e gestire piani di aggiornamento delle patch; effettuare i backup su base giornaliera, scollegandoli "fisicamente" e testandone il reale funzionamento; implementare dei sistemi di IPS (Intrusion Prevention System) a copertura di tutti gli IP che risultano esposti su internet, applicando delle policy di default; e molto altro ancora.

A livello di policy e procedure una scelta felice potrebbe essere l'implementazione di un sistema di gestione delle informazioni come ad esempio la ISO / IEC 27001.

A livello di personale andrà strutturato un programma di formazione pratico e continuativo, con test e simulazione per saggiarne le competenze ed accrescerne la maturità e capacità di preservare l’organizzazione da criticità cyber.

La maggior parte di noi è convinto di non essere un bersaglio appetibile per il cyber crime.

Al TG della sera sentiamo notizie di violazioni informatiche con vittime altisonanti, con cui i più poco o nulla hanno a che spartire. A far notizia in quel caso non è tanto il fatto ma il nome della vittima. Ciò induce le organizzazioni italiane pubbliche e private a vivere un falso senso di sicurezza, ritenendo erroneamente di essere un bersaglio poco appetibile.

Non pensate all’hacker russo. Questo pensiero conduce verso una drammatica e superficiale sottostima del rischio che si sta correndo.

Le organizzazioni che vengono bucate oggi non sono vittime di sofisticati attacchi informatici di qualche fantomatico cybercriminale, quella è roba da Hollywood.

Nelle prossime settimane, mesi e anni centinaia se non migliaia di organizzazioni saranno colpiti da semplici e banali mail di phishing, ove un dipendente distratto scaricherà un semplice allegato da una mail ricevuta sulla propria casella di posta.

Una chiavetta USB infetta verrà inserita nei sistemi.

Un dipendente dimissionario porterà via il database clienti.

Qualcuno cliccherà su un link sbagliato o autorizzerà un pagamento, seguendo le istruzioni di una mail contraffatta.

A questo link c’è un interessante infografica per spiegare la differenza fra tre diverse techiche di Phishing.

Lo Spray Phishing, punta sui grandissimi numeri con l’invio massivo di mail fraudolente. La strategia del malfattore è quella dei grandi numeri, dello sparare nel mucchio, consapevole che qualcuno abboccherà sempre. Lo Spear Phishing e il Whale Phishing al contrario sono più sofisticati e ricercati.

Ciò a dimostrazione che tutti possiamo essere un bersaglio, e per ogni target il cyber crimine ha lo strumento più adatto.

Diversi studi dimostrano come le PMI e le piccole organizzazioni siano un bersaglio preferenziale, principalmente perchè i proprietari sono più propensi a pagare i riscatti, e soprattutto sono più facili da hackerare.

Uno dei primi e più critici passaggi per la creazione di un’adeguata risposta in chiave cybersecurity è l'identificazione delle risorse, classificando processi, applicazioni, sistemi, strumenti e informazioni.

L'inventario delle risorse così come la mappatura delle informazioni, delle loro interdipendenze e dei diritti di accesso è estremamente importante, sia per poterle efficacemente monitorare in chiave preventiva sia per poterle ripristinare in caso di disaster recovery.

Chiedete a chi si occupa della vostra gestione IT se ha il Registro delle risorse informatiche, ove siano catalogati hardware, software e reti; dove ogni risorsa IT sia descritta per tipologia (es. server, workstation), posizione (fisico o elettronico). Il Registro, che dovrebbe essere elemento basico per avere comprensione dello stato in essere, raramente è presente, se presente è incompleto o datato.

Se non sai quali sono i tuoi asset, come puoi correttamente proteggerli?

Dopo la mappatura andrebbe svolta una Gap Analysis o un Risk Assessment, per comprendere appieno quali siano le vulnerabilità dell’organizzazione, comprenderne appieno il livello di criticità, la probabilità di accadimento e l’impatto potenziale su continuità operativa, business e ripercussioni economiche. Solo a seguito di questi step consequenziali sarà possibile definire un corretto piano modulato sulle priorità d’intervento.

A livello di percezione, abitudine e cultura essendo la maggior parte di noi nati in un'era predigitale non riusciamo a renderci ancora pienamente conto di vivere in un'era dove online e offline sono così pervasivamente fusi insieme da non esservi alcuna discontinuità fra l'uno  el'altro.

Non c'è un dove

I dati gestiti in cloud, su ambineti online, su applicazioni di svariata natura o su webapp di fornitori dove sono? Sottoscriviamo contratti digitalmente e utilizziamo una galasia infinita di trumenti virtualizzati, senza aver ben chiaro dove finiscano tali dati, quale filiera di fornitura vi sia dietro, quali siano le connessioni o i flussi che reggono questi ambienti digitali.

Uno studio di IBM ad esempio dimostra che il 74% delle violazioni più importanti avvengono lungo la filiera di fornitura tecnologica. Il Cyber criminale buca app o aziende terze e mediante quest'ultime "risale la corrente" e si insinua nei sistemi organizzativi, guadagnado una posizione di forza da dove attaccare al meglio la vostra infrastruttura.

In un interessantissimo approfondimento raccontiamo come il cyber criminale, una volta infiltratosi nei sistemi, rimane silente ed infiltrato per mesi, e solo dopo aver creato le condizioni per infliggere il massimo danno possibile, si disvela.

Non c'è comunicazione e collaborazione

Ogni organizzazione in tema di data protection ha numerose persone che si alternano e si sovrappongono su temi in parte coincidenti. La mancanza di comunicazione e integrazione delle rispettive attività, perpetrando un modello gestionale a silos, palesemente inadeguato, renderà ogni investimento in cybersecurity inefficiente. Data Protection Officer (DPO), Amministratori di Sistema, variegati fornitori di soluzioni IT (es. Cloud, provider vari, softwere e applicativi vari), consulenti legali, si limitano a svolgere correttamente il loro compito senza integrarlo con le attività dei colleghi.

Non c'è prevenzione

Noi italiani siamo purtroppo più propensi a reagire, piuttosto che a prevenire.

Purtroppo spesso la necessità di sicurezza non nasce dall’alto a seguito di una pianificazione risk based ma dal basso dopo aver sentito le disavventure di altro imprenditore, costretto a pagare un riscatto in bitcoin per poter riprende l’operatività aziendale oppure dopo aver visto un servizio al TG della sera.

La Cybersecurity come detto va pianificata, strutturata ed integrata con saggezza, visti tempi, costi e complessità di implementazione così come il significativo rischio, che si corre a rimanere esposti ad attacchi cyber.

Vi serve formazione costante, policy aziendali, procedure, verifiche dei comportamenti, tutte cose che vi da ad esempio una ISO 27001.

Vi servono un’architettura informatica adeguata, hardware e software aggiornati e mantenuti, strumenti di rilevazione, un monitoraggio costante dei sistemi.