Cyber Security

L’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, alla sua quarta edizione, ha analizzato i principali casi di cyber, cioè attacchi subiti dalle organizzazioni italiane nel 2018.

Inaspettatamente, nonostante siano anni che se ne parla, le truffe online rappresentano il fenomeno più rilevante, almeno in termini di frequenza, e vengono realizzate attraverso il phishing.

Attraverso il semplice invio di una e-mail, magari con segni distintivi contraffatti, si riesce ad indurre il destinatario a fornire dati riservati (numero di carta di credito, password di accesso al servizio di home banking, ecc.), motivando tale necessità con ragioni di ordine tecnico o di presunta sicurezza. Banale? Vediamo qualche numero.

L’83% delle imprese ne è stata vittima, ma non mancano nemmeno le estorsioni (78%), lo spionaggio (46%) e le interruzioni di servizio (36%). A fronte di ciò meno di un quarto delle imprese ha attuato progetti per rafforzare la protezione dei dati personali e rafforzare la conformità al GDPR. Il 59% delle aziende, invece, ha progetti in corso, mentre l’88% ha stanziato un apposito budget. L’auspicio è che non siano i soliti progetti affidati a chi formula dei bei documenti a tutela della responsabilità dei titolari bensì dei veri progetti di gestione del rischio secondo diversi aspetti: organizzativo, informatico e giuridico.

Proseguendo l’analisi si scopre un aspetto interessante e, anche in questo caso, sono anni che ne parliamo: la carenza di formazione. Più di quattro intrusioni su cinque (82%) è dovuta a errori umani, con buona pace di quanti hanno investito esclusivamente in software e hardware per la sicurezza informatica (4,75 miliardi di dollari investiti) o in documentazione legalmente ineccepibile (in questo caso la stima dell’investimento è più aleatoria.

Sono 15 le ore necessarie ad un hacker esperto per entrare in un sistema, trovare i dati critici ed estrarli e gli obiettivi più violati dagli hacker sono le mail, seguite dai profili sui social media (68%), dai portali di eCommerce (57%) e dai siti web (52%).

Ma nel prossimo futuro?

Nei prossimi tre anni i dispositivi mobili come smartphone e tablet saranno il bersaglio privilegiato degli hacker e il rischio per ciascuno di noi è altissimo. Se poi consideriamo che tutto sarà sempre più connesso (5G, IA, IoT, ecc…) i rischi sono elevatissimi per tutte le reti (elettriche, telcom, idriche, trasporti), gli ospedali e il settore finanziario.

Per combattere questi attacchi servono nuove competenze e figure professionali: Data Protection Officer, Chief Information Security Officer, Cyber Risk Manager, Ethical Hacker e il Machine Learning Specialist e un approccio concretamente basato sul rischio.

Conoscere realmente i propri rischi, studiare contromisure idonee, attuare miglioramenti organizzativi, informatici e giuridici, verificare nel tempo l’attualità e l’applicazione del sistema dei controlli interni e far partire i processi di miglioramento continuo. In altre parole attuare la metodologia LeanCompliance®.

I cyberattack minano la sicurezza dei dati ma non bisogna affatto dimenticare altri due temi rilevanti e collegati: la disponibilità delle informazioni e i tempi di recupero. Molte analisi di rischi si concentrano sulla perdita di dati e pesano meno

integrità e disponibilità e il risultato è che ci si preoccupa più della protezione che della continuità operativa, spesso risolta con espressioni tipo: “ma noi abbiamo un back up” o “abbiamo la procedura di disaster recovery”. Chi parte da qui, nella maggior parte dei casi, non ha ancora capito la complessità del tema della business continuity.

Partiamo dal dettato del GDPR che recita che il titolare del trattamento deve assicurare che il dato sia autentico, integro, riservato e disponibile e ciò è assolutamente in linea con un requisito ISO 27001, ovvero lo standard internazionale sui sistemi di gestione per la sicurezza delle informazioni. In altri termini l’informazione, per essere considerata disponibile, deve essere accessibile e utilizzabile su richiesta dell’autorizzato. Deve quindi essere non solo possibile recuperarla e renderla disponibile ma anche (e forse soprattutto) deve essere possibile usarla ovvero deve essere fruibile quando serve. Potremmo fare mille esempi di informazioni arrivate troppo tardi e quindi inutili (es. per un’emergenza sanitaria; per un investimento in Borsa; per contrastare un concorrente). L’asimmetria informativa o l’indisponibilità di informazioni hanno decretato il fallimento di molte operazioni aziendali.

Ancora una volta non è necessario inventare la ruota in quanto le buone prassi per la continuità operativa sono definite nello standard internazionale ISO 22301 ovvero la norma che fissa i requisiti per pianificare, sviluppare, attuare, monitorare, migliorare un sistema di gestione per la business continuity che sia in grado di minimizzare gli impatti di un evento indesiderato.

Il GDPR fa riferimento sia alla ISO 27001 che alla ISO 22301 non richiedendo la certificazione in accordo a tali schemi, quanto indicando la strada dei requisiti da soddisfare perché un’organizzazione tuteli il proprio patrimonio di informazioni e possa continuare a fornire e utilizzare i dati personali a livelli accettabili.

In tanti stanno suggerendo alle aziende di sviluppare sistemi di gestione costosi e non sempre necessari. Il nostro consiglio è addirittura banale: le organizzazioni devono attuare le contromisure necessarie che emergano da una robusta analisi dei rischi multidisciplinare e, a nostro parere, applicando la metodologia LeanCompliance® è possibile progettare un sistema efficace e particolarmente efficiente che tiene conto delle migliori prassi internazionali e delle specificità delle aziende.

Articolo di Roberto Maggi

Laureato in economia e commercio, MBA all'università Bocconi. Partner di PK Consulting e Probitas Srl, consulente esperto in LeanCompliance ® con ampia esperienza in ambito consulenziale in aziende di diverse dimensioni e molteplici settori merceologici. Membro di diversi organismi di vigilanza ed auditor qualificato.

Contattaci:

Accetto le condizioni sulla Privacy. [Leggi]