Ormai sia gli specialisti del settore sia il pubblico più generalista sono quasi abituati a numeri di data leak e data breach da record. Come dimenticare il data breach di Yahoo – rivelato nel 2017 – che nel 2013 coinvolse 3 milioni di account? Così come i casi di Adult Friend Finder, che nel 2016 causò l’esposizione dei dati di 412 milioni di utenti, e di Equifax, che nel 2017 portò alla violazione di oltre 160 account. Ultimo in ordine temporale, ma non di volumi, è quello di LinkedIn che nel giugno 2021 coinvolse 700 milioni account, il 92% degli utenti totali del social network, appena due mesi dopo che 500 milioni di profili erano stati messi in vendita su un popolare forum di hacker.
Come mostra questa breve lista, le fughe e violazioni di dati sono in costante aumento e interessano un numero sempre più importante di account e informazioni, tanto che è ormai difficile tenere traccia di tutte le notizie a riguardo.
Forse ancora più allarmante è il fatto che, spesso, i cyber criminali utilizzano tecniche piuttosto semplici e banali per portare a termine i propri attacchi, dimostrando così l’estrema vulnerabilità di numerose aziende nell’ambito della sicurezza informatica.
Anche se in certi casi questa vulnerabilità è in parte dovuta allo scarso interesse delle aziende, e quindi ad una loro negligenza, non è il caso di generalizzare. Negli ultimi anni, infatti, la sicurezza informatica sta conquistando un ruolo sempre più centrale per le organizzazioni, passando da essere una tematica considerata di nicchia a ordine del giorno nei Consigli di Amministrazione.
Molto più frequentemente, le insidie derivano da un approccio sbagliato alla security. Sono diversi, infatti, gli ambiti in cui vengono attuate strategie di cyber sicurezza inadeguate, spesso a causa di preconcetti, fretta di risolvere la questione o mancanza di fiducia verso partner e consulenti.
In particolare, sono quattro gli ambiti in cui è facile commettere degli errori che possono indebolire il proprio approccio alla sicurezza.
Promuovere la cultura della sicurezza in azienda: come gestire il fattore umano
Indice degli argomenti
Il vecchio concetto di perimetro aziendale non esiste più
Un errore piuttosto comune è concentrare tutti gli sforzi del programma di security sul vecchio concetto di perimetro aziendale, senza accorgersi che, al giorno d’oggi, questo è più ampio e meno definito che nell’era pre-cloud, e che sarebbe quindi più corretto immaginare i dati che si vogliono proteggere come posizionati in contenitori logici, differenti tra loro ma interconnessi.
La superfice d’attacco è aumentata, perché è cambiata la modalità di distribuzione dei servizi da parte delle aziende. Non solo il multi-cloud o modalità ibride, ma anche l’introduzione di nuovi paradigmi e metodologie come il serverless computing e devops hanno contribuito a rendere inefficaci le strategie di security utilizzate in passato.
In fase di assessment, sia per i provider di servizi di security che per le aziende clienti è dunque diventato fondamentale interrogarsi sul reale perimetro dei dati aziendali.
Sottovalutare i rischi della supply chain o non affrontare il tema dello share responsability quando si valuta il cloud nelle sue declinazioni – IaaS, PaaS, SaaS – sono esempi di errori comuni. Identificare il threat model corretto richiede pensiero, brainstorming, collaborazione e comunicazione con i giusti interlocutori.
Prima la strategia, poi la tecnologia
In caso di mancato rilevamento di un possibile attacco, spesso la debolezza o la falla vengono ricercate nella soluzione di security adottata.
In realtà, nella maggior parte dei casi, il fallimento è da individuare nella strategia che si è scelto di implementare. Infatti, prima ancora della tecnologia proposta è opportuno individuare l’approccio alla sicurezza più corretto per la propria organizzazione.
Anche se la tecnologia svolge un ruolo fondamentale nei servizi di Managed Detection and Response (MDR), strumenti come Endpoint Detection and Response (EDR), Sonde Network, Security Information and Event Management (SIEM) e deception technology hanno il compito di completare la strategia di cyber security, ma non la determinano.
In altre parole, prima è necessario studiare l’approccio alla sicurezza più appropriato e solo in seguito possono essere selezionate le tecnologie che lo valorizzano al massimo.
Gli utenti, i primi alleati dell’azienda
Il terzo ambito da considerare è quello degli utenti. Sono definiti l’anello debole della catena, capaci di eludere il controllo del miglior Security Manager, e quindi il vettore perfetto per fare penetrare un ransomware all’interno di un’organizzazione.
Per questo motivo, vengono sottoposti a innumerevoli simulazioni di phishing e a corsi di formazione obbligatori sotto forma di video pillole. In realtà, aumentare la sicurezza informatica in azienda dipende fortemente dalla creazione di una solida cultura della cyber security.
Le organizzazioni dovrebbero fornire gli strumenti culturali necessari per rendere le proprie persone i primi sostenitori del programma di cyber security, e per farlo non è sufficiente organizzare dei corsi, ma è importante far comprendere la ragione di certe procedure e processi.
Fornire informazioni sul programma di sicurezza adottato dall’azienda e rendere le attività di security awareness adeguate e coinvolgenti, andando ad affrontare anche il tema della cyber hygene in ambito non strettamente aziendale, sono elementi che possono contribuire al raggiungimento di questo obiettivo.
È vero che il lavoro da remoto rende gli utenti più vulnerabili, ampliando le potenziali superfici di attacco e portando complessità nei rapporti con il reparto IT, la cui distanza fisica può comportare difficoltà di comunicazione nel caso di dubbio su un possibile attacco.
D’altra parte, una maggiore consapevolezza e strumenti più intuitivi e user-friendly, che consentano di consultare con facilità un tecnico preparato nel caso di un sospetto di attacco, contribuiscono a trasformare gli utenti nei primi alleati dell’azienda in ambito di sicurezza informatica.
Servizi che possono evolvere nel tempo
Infine, la scelta di un servizio MDR adatto alle proprie esigenze e, soprattutto, alla propria dimensione aziendale, anche a costo di dover richiedere adattamenti e personalizzazioni, è determinante per il successo di una strategia di cyber security.
Nell’ultimo periodo, i provider di questo tipo di servizi – soprattutto se basati su tecnologie EDR e XDR – sono cresciuti a dismisura, e questo per le organizzazioni è sicuramente un bene, perché ha stimolato un ampliamento dell’offerta e una maggiore competitività anche dal punto di vista economico.
D’altro canto, i servizi di questa tipologia, soprattutto se proposti da vendor che operano sul mercato globale, sono diventati prodotti da scaffale poco inclini a raccogliere le esigenze della piccola e media azienda italiana.
È quindi necessario valutare con attenzione quanto e cosa sia compreso nel servizio offerto e se questo effettivamente risponda alle nostre aspettative, ma soprattutto se il provider proponga anche un’assistenza personalizzata e servizi su misura, in grado di rispondere a criticità ed esigenze nuove, magari non previste durante l’iniziale fase di contratto.
Essere consapevoli dei rischi per essere più sicuri
Le tecniche del cybercrime evolvono continuamente, esponendo costantemente le aziende a nuove minacce.
Una strategia di sicurezza ben studiata insieme ad un fornitore specializzato che sappia lavorare al fianco del proprio cliente e che, con onestà, sappia metterlo di fronte a rischi e priorità, consente però di ridurre le vulnerabilità, raggiungendo elevati standard di sicurezza.