I quattro asset della sicurezza aziendale: infrastruttura IT, dati, competenze e policy. La valutazione di rischio cyber è il primo passo per la prevenzione
La gestione della sicurezza informatica è divenuta una delle principali criticità che ogni azienda privata o ente pubblico deve quotidianamente affrontare. E se a livello globale, dall’ultimo rapporto CLUSIT, emerge che nel primo semestre 2023 si rileva un rallentamento della crescita degli attacchi cyber che si attesta all’11%, l’Italia risulta in controtendenza con un aumento del 40%, quindi quattro volte superiore. Purtroppo, il nostro Paese continua a mantenere questo infelice primato, e a farne le spese sono in gran parte le PMI, come emerge dalle ultime statistiche.
Come intervenire per arginare questo fenomeno? Sicuramente, investimenti, interventi governativi e tecnologie sono indispensabili, ma poco efficaci se ogni azienda non prende la piena consapevolezza della propria esposizione ai rischi cyber e del corretto livello di accettazione del rischio a cui tendere. Il tutto converge in una azione fondamentale: la necessità di un cyber-security risk assessment. In particolare, per fare una valutazione efficace del livello di rischio cyber occorre focalizzarsi su quattro elementi: infrastruttura IT, dati, competenze e policy.
Analizzare l’infrastruttura IT significa conoscere il livello di aggiornamento (o di obsolescenza) presente nel proprio datacenter; aver valutato il sistema degli accessi (VPN e MFA sono implementati?); aver valutato il tempo massimo di blocco dei sistemi tollerabile per il proprio business, e i meccanismi presenti (o assenti) per garantire una business continuity (RTO e RPO sono definiti?).
Una migrazione sull’infrastruttura cloud di un provider certificato sicuramente abbatte molti dei rischi di una infrastruttura IT casalinga. Analizzare i dati significa sapere quali siano le prime informazioni da mettere al sicuro e ripristinare in caso di problemi; significa valutare l’adozione di tecniche crittografiche o di pseudonimizzazione; vuol dire aver piena consapevolezza della propria supply chain.
È fondamentale conoscere il “ciclo di vita del dato”: la maggior parte dei data breach avviene non per violazione dei database, ma perché è sufficiente collezionare l’enorme quantità di repliche di informazioni spesso lasciate all’interno dei PC, delle caselle di email o degli share di rete. Infine, banali incidenti divengono catastrofici perché la progettazione del backup è stata carente o superficiale.
Conoscere le competenze dei dipendenti e investire nella formazione è uno tra gli elementi più importanti: quante ore di formazione cyber sono state effettuate? Quante simulazioni di incidente? Ci sono esercitazioni anti-phishing? L’errore umano è tra le principali cause sfruttate dai cyber criminali.
La formazione in sé non elimina il problema, purtroppo gli errori umani continueranno ad accadere, ma sicuramente si può incidere sulla loro frequenza. E infine, le policy aziendali: quanti audit o simulazioni l’azienda ha effettuato per verificarne l’efficacia? Quanto si è verificato dell’effettiva conoscenza da parte del personale? Quanto le policy riportano schemi, ruoli e responsabilità chiare, o quanto rimandano solo a norme generali? Se a tutte queste domande non vi è una risposta, allora forse è il momento di iniziare a preoccuparsi!
Enzo Veiluva DPO CSI Piemonte – Direttivo CLUSIT
