La cybersecurity è diventata un fattore critico per ogni organizzazione che vuole proteggere la propria infrastruttura informativa, i dati presenti in essa ed – in ultima analisi – garantire la propria operatività tutelandosi dalle minacce sempre maggiori e più sofisticate.
CYBERSPACE & CYBERSECURITY
Prima di parlare di cybersecurity (ci raccomandiamo di non usare l’orribile traduzione sicurezza cibernetica), occorre introdurre il concetto di CyberSpace ( cyberspazio). Per cyberspace si intende un ambiente virtuale complesso che nasce dall’interazione tra persone, software e servizi su Internet, supportato da tecnologie ICT, dispositivi connessi e reti distribuite globalmente nello spazio. Nel cyberspace avvengono transazioni finanziarie, scambi di dati, attività commerciali, relazioni sociali, realizzate attraverso gli innumerevoli devices collegati. Sebbene il cyberspazio sia parte integrante del mondo digitale, presenta problemi di sicurezza che non sono completamente risolti dalle attuali best practices relative a sicurezza informatica, delle reti ed in generale del mondo ICT. Questa frammentazione deriva dal fatto che i dispositivi, i servizi, le reti costituenti the cyberspace appartengono a molteplici soggetti trasnazionali, ognuno con legislazioni, approcci ed interessi diversi, creando così lacune nella sicurezza globale del cybespazion ed una interazione inefficace tra i vari stakeholders.
COSA SI INTENDE PER CYBERSECURITY?
È proprio nel cyberspazio che le minacce cyber si manifestano, rendendo la cybersecurity cruciale per proteggere le risorse e le informazioni. Il concetto di cybersecurity si riferisce alle prescrizioni, attività, misure e pratiche messe in atto per proteggere i sistemi informatici, le reti e i dati componenti il cyberspace da attacchi malevoli, accessi non autorizzati o attività illecite. Si tratta di un sottoinsieme della più ampia protezione dei dati, che copre tutti gli aspetti relativi alla sicurezza delle informazioni, inclusa la privacy, la continuità operativa e la conformità alle normative come il GDPR. Mentre la protezione dei dati si occupa di preservare la riservatezza, integrità e disponibilità, la cybersecurity si concentra sulla protezione degli asset digitali da minacce cyber.
SONO IN REGOLA CON IL GDPR, A COSA MI SERVE LA CYBERSECURITY?
Essere in regola con il GDPR è fondamentale per proteggere i dati personali, ma la cybersecurity si occupa di uno specifico settore: il cyberspazio, che prescinde dalla mera conformità legale. Il GDPR copre solo gli aspetti di protezione dei dati personali, ma non affronta i rischi legati a minacce cibernetiche portate alle infrastrutture informative che non contengono dati personali; si pensi, per esempio, a tutti i sistemi industriali di controllo (ICS e SCADA), cosi come le infrastrutture di controllo energetiche, sui trasporti ecc, che sono soggette – come peraltro i sistemi di trattamento di dati personali – ad attacchi ransomware, phishing, intrusioni, alterazioni e purtroppo altri cyber-rischi. La cybersecurity quindi si occupa di proteggere tutte le infrastrutture digitali (informatiche), i sistemi IT e le informazioni critiche da attacchi esterni e interni, anche quelli che non contengono dati personali, garantendo continuità operativa e sicurezza globale dell’azienda. Tutte le infrastrutture che esulano dall’ambito di applicazione della normativa data-protection, sono in genere infrastrutture critiche e la loro protezione – assolutamente fondamentale per la nostra società digitale – è delegata a normative speciali, come la direttiva NIS2.
NO PROBLEM; HO ANTIVIRUS, FIREWALL E BACKUP!
Queste misure sono certamente necessarie, ma non sufficienti, specialmente adesso con il mutato scenario determinato dalle minacce emergenti, sempre più sofisticate. Inoltre, si trascura spesso di considerare che nella maggior parte dei data breach, il fattore scatenante o determinante è quello umano. Per fattore umano si intende un comportamento errato determinato da inconsapevolezza, una impostazione insicura adottata, la pubblicazione di dati riservati in contesti pubblici. A ben poco serve avere predisposto misure di sicurezza maniacali, quando un soggetto adotta la stessa password per tutte le sue credenziali. Il primo aspetto è la formazione della consapevolezza, e noi lo affermiamo da moltissimi anni.
Inoltre, e questo è il secondo aspetto ma forse quello più rilevante, oggi non esiste più il concetto di perimetro esterno (protetto dal firewall – muro di fuoco) in quanto i devices sono tutti collegati ad Internet, fanno “girare” servizi o adottano componenti software che dipendono da fornitori esterni (es. un agent di gestione IT, per esempio data breach Log4J). Qualora uno di questi componenti software (o addirittura infrastruttura del provider di servizi esterno) venga compromesso, sono altresì compromessi tutti gli endpoint che lo adottavano. Infatti da qualche tempo si parla di ZERO TRUST architecture.
NO PROBLEM, HO TUTTO NEL CLOUD!
In generale, è meglio un servizio in cloud che in servizio on-premise male configurato o poco manutenuto. Non si pensi però che trasferendo tutta la propria infrastruttura nel cloud si trasferiscano anche integralmente le responsabilità che permangono comunque sui Titolari del Trattamento.
Inoltre, occorre essere consapevoli che anche un Cloud Provider può essere vittima di attacchi portati a termine; mero titolo informativo, indichiamo – tra gli altri – il data breach occorso a WestPole, Cloud Provider di importanti enti pubblici nazionali.
MA ALLORA, COSA DEBBO FARE?
Se state leggendo questa pagina, noi riteniamo che avete fatto il primo passo; avere consapevolezza di un potenziale problema. Oggigiorno è essenziale valutare e gestire il rischio cyber (cyber-risk), che non è un valore statico ma dinamico; esso aumenta e diminuisce anche in base al contesto mondiale.
Per esempio, da quando la Russia ha iniziato le ostilità verso l’Ucraina, abbiamo registrato un elevato aumento di attività malevoli – provenienti da Russia ed i paesi limitrofi – ivi compreso la stessa Ucraina.
Sappiate che esistono alcuni specifici framework sulla cybersecurity, quali:
- NIST Cybersecurity Framework (NIST CSF 2.0) – con 6 funzioni: Identify, Protect, Detect, Respond, Recover, Govern.
- ISO/IEC 27032 (Cybersecurity) – Focalizzato sulle tecnologie e pratiche di cybersecurity.
- CIS Controls – Una serie di controlli prioritari per migliorare la sicurezza sia cyber che informatica in generale.
Proprio i CIS controls – essendo più semplici da adottare anche per le P.M.I. – sono consigliabili anche per aziende meno strutturate; la loro adozione è piuttosto intuitiva e quindi fattibile anche per piccole realtà ed i risultati ottenuti sono veramente degni di nota.
Se volete migliorare il lievllo di cyber-security della vostra organizzazione o azienda, rivolgetevi ad uno studio di professionisti che da quasi trent’anni si occupa solo di protezione dei dati e di sicurezza informatica. Non siamo tuttologi e non crediamo che nessuno lo possa essere nella consulenza qualificata.
Noi siamo anche certificati con le più autorevoli certificazioni di settore, quale ISO 27000 e la (recentemente conseguita) LEAD CYBERSECURITY PROFESSIONAL.
CONTATTATECI PER UN PRIMO INCONTRO CONOSCITIVO NON VINCOLANTE; PENSIAMO DI POTER FARE LA DIFFERENZA.
SE LA VOSTRA AZIENDA HA SEDE IN San Benedetto del Tronto, CI TROVIAMO SPESSO PER ATTIVITà PROFESSIONALI E POSSIAMO ANCHE INCONTRARCI PRESSO LA VS. SEDE.
Il tassello mancante della triade CIA
Il titolo – pur evocando un vecchio film cinese – riguarda invece la sicurezza ICT,…
FAQ NIS2
Le nostra raccolta di Frequently Asked Questions sulla Direttiva NIS2 Cos’è la Direttiva NIS2? La…
Caso Equalize
Appare chiarissimo che l’ultimo “caso Equalize” certifica un livello di inadeguatezza della cybersecurity delle banche…
Suggerimenti creazione e gestione passwords
L’Autorità Garante per la protezione dei dati personali ha realizzato e pubblicato un nuovo vademecum…
Linee guida conservazione password
Come sappiamo bene, la password compone un’aspetto determinante di ogni credenziale di autenticazione e sappiamo…
EU Cybersecurity Certification Scheme
Il 31 gennaio è stato adottato il primo schema di certificazione della cybersecurity a livello…