La cybersecurity è diventata un fattore critico per ogni organizzazione che voglia proteggere la propria infrastruttura informativa, i dati presenti in essa ed – in ultima analisi – garantirsi un futuro tutelando la propria operatività proteggendosi realmente dalle innumerevoli minacce cyber, sempre più sofisticate.
CYBERSPACE & CYBERSECURITY
Prima di parlare di cybersecurity (ci raccomandiamo di non usare l’orribile traduzione sicurezza cibernetica), occorre introdurre il concetto di CyberSpace ( cyberspazio). Per cyberspace si intende un ambiente virtuale complesso che nasce dall’interazione tra persone, software e servizi su Internet, supportato da tecnologie ICT, dispositivi connessi e reti distribuite globalmente nello spazio. Nel cyberspace avvengono transazioni finanziarie, scambi di dati, attività commerciali, relazioni sociali, realizzate attraverso gli innumerevoli devices collegati. Sebbene il cyberspazio sia parte integrante del mondo digitale, presenta problemi di sicurezza che non sono completamente risolti dalle attuali best practices relative a sicurezza informatica, delle reti ed in generale del mondo ICT. Questa frammentazione deriva dal fatto che i dispositivi, i servizi, le reti costituenti the cyberspace appartengono a molteplici soggetti trasnazionali, ognuno con legislazioni, approcci ed interessi diversi, creando così lacune nella sicurezza globale del cybespazion ed una interazione inefficace tra i vari stakeholders.
COSA SI INTENDE PER CYBERSECURITY?
È proprio nel cyberspazio che le minacce cyber si manifestano, rendendo la cybersecurity cruciale per proteggere le risorse e le informazioni. Il concetto di cybersecurity si riferisce alle prescrizioni, attività, misure e pratiche messe in atto per proteggere i sistemi informatici, le reti e i dati – costituenti il cyberspace – da attacchi malevoli, accessi non autorizzati o attività illecite. Si tratta di un sottoinsieme della più ampia protezione dei dati, che copre tutti gli aspetti relativi alla sicurezza delle informazioni, inclusa la protezione dei dati personali, la continuità operativa e la conformità a normative come il GDPR. Mentre la protezione dei dati si occupa di preservarne la riservatezza, integrità e disponibilità (e l’autenticità), la cybersecurity si concentra espressamente sulla protezione degli asset digitali da minacce cyber.
SONO IN REGOLA CON IL GDPR, A COSA MI SERVE LA CYBER-SECURITY?
Essere in regola con il GDPR è assolutamente fondamentale per proteggere i dati personali, ma la cybersecurity si occupa di uno specifico settore: il cyberspazio, che prescinde dalla mera conformità legale. Il GDPR copre solo gli aspetti di protezione dei dati personali, ma non affronta i rischi legati a minacce cyber portate alle infrastrutture informative che non contengono dati personali; si pensi, per esempio, a tutti i sistemi industriali di controllo (ICS e SCADA), cosi come le infrastrutture di controllo energetiche, sui trasporti ecc, che sono soggette – come peraltro i sistemi di trattamento di dati personali – ad attacchi ransomware, phishing, intrusioni, alterazioni e purtroppo altri cyber-rischi. La cybersecurity quindi si occupa di proteggere tutte le infrastrutture digitali (informatiche), i sistemi IT e le informazioni critiche da attacchi esterni e interni, anche quelli che non contengono dati personali, garantendo continuità operativa e sicurezza globale dell’azienda. Tutte le infrastrutture che esulano dall’ambito di applicazione della normativa data-protection, sono in genere infrastrutture critiche e la loro protezione – assolutamente fondamentale per la nostra società digitale – è delegata a normative speciali, come la direttiva NIS2.
NO PROBLEM; HO ANTIVIRUS, FIREWALL E BACKUP!
Queste misure sono certamente necessarie, ma non sufficienti, specialmente adesso – con il mutato scenario determinato dalle minacce emergenti, sempre più sofisticate. Inoltre, si trascura spesso di considerare che nella maggior parte dei data breach occorsi, il fattore scatenante o determinante è quello umano. Per fattore umano si intende un comportamento errato determinato da inconsapevolezza, una impostazione insicura adottata, la pubblicazione di dati riservati in contesti pubblici. A ben poco serve avere predisposto misure di sicurezza maniacali, quando un dipendente adotta la stessa password per tutte le sue credenziali. Il primo aspetto è la formazione della consapevolezza, e noi lo affermiamo da moltissimi anni.
Inoltre, e questo è il secondo aspetto ma forse quello più rilevante, oggi non esiste più il concetto di perimetro esterno (protetto dal firewall – muro di fuoco) in quanto i devices sono tutti collegati ad Internet, fanno “girare” servizi o adottano componenti software che dipendono da vari fornitori esterni (es. un agente di gestione IT, per esempio data breach Log4J). Qualora uno di questi componenti software (o addirittura l’infrastruttura del provider di componenti software) venga compromesso, sono altresì compromessi tutti gli endpoint che lo adottavano.
Infatti da qualche tempo si parla di ZERO TRUST architecture.
NO PROBLEM, HO TUTTO NEL CLOUD!
In generale, è sempre meglio un servizio in cloud rispetto ad un servizio locale male configurato o poco manutenuto (per non dire abbandonato a se stesso). Non si pensi però che trasferendo tutta la propria infrastruttura nel cloud si trasferiscano anche integralmente le responsabilità, che permangono comunque sui Titolari del Trattamento.
Inoltre, occorre essere consapevoli che anche un Cloud Provider può essere purtroppo vittima di attacchi portati a termine; a mero titolo informativo, indichiamo – tra gli altri – il data breach occorso a WestPole, Cloud Provider di importanti enti pubblici italiani.
MA ALLORA, COSA DOBBIAMO FARE?
Se state leggendo questa pagina, noi riteniamo che avete fatto il primo passo; avere consapevolezza di un potenziale problema. Oggigiorno è essenziale valutare e gestire il rischio cyber (cyber-risk), che non è un valore statico ma dinamico; esso aumenta e diminuisce anche in base al contesto mondiale ed al panorama del cyber-space.
Per esempio, da quando la Russia ha iniziato le ostilità verso l’Ucraina, abbiamo registrato un aumento elevatissimo di attività cyber malevoli – provenienti da Russia ed i paesi limitrofi – ivi compreso la stessa Ucraina.
Sappiate che esistono alcuni specifici framework sulla cybersecurity, quali:
- NIST Cybersecurity Framework (NIST CSF 2.0) – con le sue sei funzioni: Identify, Protect, Detect, Respond, Recover, Govern.
- ISO/IEC 27032 (Cybersecurity) – Focalizzato sulle tecnologie e pratiche di cybersecurity.
- CIS Controls – Una serie di 18 controlli prioritari e linee guida per migliorare la sicurezza sia cyber che informatica.
Proprio i CIS controls – essendo più semplici da adottare anche per le P.M.I. – sono consigliabili anche per aziende meno strutturate; la loro adozione è piuttosto intuitiva e quindi fattibile anche per piccole realtà ed i risultati ottenuti sono veramente degni di nota e del piccolo sforzo per la loro implementazione.
Se volete migliorare il livello di cyber-security della vostra organizzazione o azienda, rivolgetevi ad un TEAM di professionisti che da quasi trent’anni si occupa esclusivamente di protezione dei dati e di sicurezza informatica. Non siamo tuttologi e non crediamo che nessuno lo possa essere in ogni ambito della consulenza qualificata alle organizzazioni.
Noi siamo anche certificati con le più autorevoli certificazioni di settore, quale ISO 27000 e la (recentemente conseguita) LEAD CYBERSECURITY PROFESSIONAL.
CONTATTATECI PER UN PRIMO INCONTRO CONOSCITIVO NON VINCOLANTE; PENSIAMO DI POTER FARE LA DIFFERENZA.
Se la vostra organizzazione o azienda ha sede in Imola, ci troviamo abbastanza spesso per attività professionali quindi incontrarci in presenza presso la vostra sede.
ALCUNI NOSTRI APPROFONDIMENTI IN TEMA CYBER-SECURITY
Norme ISO: basi per NIS2, ma insufficienti
La Direttiva NIS2 rappresenta un passo cruciale per rafforzare la sicurezza informatica nell’Unione Europea, imponendo…
Penetration Test vs Vulnerability Assessment
In ambito sicurezza informatica, i termini “penetration test” e “vulnerability assessment” vengono spesso usati in…
Australia Introduce il Cyber Security Bill 2024
L’Australia ha presentato il Cyber Security Bill 2024, un disegno di legge che rappresenta un’importante…
XZ utils backdoor
Il giorno 29 marzo, un ricercatore Microsoft, Andres Freus, ha scoperto fortuitamente una backdoor in…
Linee guida per mitigazione attacchi DDOS
CISA – Cybersecure & Infrastructure Security Agency, FBI – Federal Bureau of Investigation e MS-ISAC…
Office-Vulnerabilità 0-DAY
Ancora una ulteriore notizia di vulnerabilità 0-DAY (appena scoperta e purtroppo non ancora risolta, quindi…