La teoria secondo la quale l’uomo sarebbe l’anello debole è sorpassata e anche un po’ naïf. Non è una condizione del tutto sbagliata, ma è anacronistica. Sono le aziende a dover cambiare passo.
Guardando la cyber security da una certa distanza, si osserva una situazione paradossale: è edificata anche per limitare i possibili errori umani ed è proprio da questi che viene messa in crisi. Certo, è una lettura di superficie, ma porta alla luce un problema capitale: se l’uomo è anche involontariamente artefice del successo degli attacchi, occorre alzare le barricate e metterlo in condizione di sbagliare meno.
Ecco allora cinque regole semplici da implementare per aumentare la sicurezza in azienda perché, se è vero che le minacce diventano sempre più sofisticate e l’uomo è l’untore, allora occorre che ne sia consapevole e che possa contare su sistemi che annichiliscano le conseguenze degli errori che commette, anche in modo incosciente o per negligenza.
La formazione alla cyber security è un investimento che ritorna
Indice degli argomenti
Un vademecum sulla sicurezza
La prima regola costituisce le fondamenta della fortezza: ogni dipendente deve dare una forma comprensibile al concetto di cyber security. Va delineata una politica sulla sicurezza che:
- renda i dipendenti consapevoli;
- sia oggetto di condivisione;
- sia rivista all’occorrenza.
Quindi, per esempio, è opportuno che i dipendenti sappiano come gestire le password, i dati in sede e da remoto, quali elementi valutare prima di aprire le email e cliccare sui link in queste eventualmente contenuti.
Indicazioni che vanno condivise con i dipendenti, per esempio creando una pagina html essenziale che appare ogni qualvolta aprono il browser web. All’intervenire di nuove minacce o nuove tecniche di attacco, queste indicazioni vanno aggiornate richiamando l’attenzione dei dipendenti.
Va da sé che ci sono accorgimenti aggiuntivi: i sistemi operativi aziendali permettono la creazione di policy per le password, tipicamente incentrate sulla loro complessità, durata e riusabilità. Vanno implementate, anche se di rado sono invise ai dipendenti, perché sono state rese disponibili per la sicurezza e non per risultare simpatiche.
L’azienda, dal canto suo, dovrebbe prevedere policy aggiuntive, tra le quali sistemi di autenticazione a due fattori e deve fare in modo che gli utenti non possano accedere a file non di loro competenza.
Assessment periodici
Le valutazioni della sicurezza vanno fatte con periodicità, perché sono essenziali per scoprire punti deboli e nuove vulnerabilità. Dopo avere gettato le fondamenta, occorre essere certi che la costruzione dei muri sia solida e, per farlo, si può ricorrere ai test di penetrazione (ne esistono diversi), alle scansioni di vulnerabilità e ai relativi tool. Tecniche di difesa che richiedono anche l’aggiornamento dei sistemi software e hardware che sono sempre centrali per la difesa ma non sono l’unica arma a disposizione.
Log e controlli
Il controllo dei log dei sistemi di sicurezza e dei sistemi (picchi anomali nel traffico di rete, tentativi di accesso non autorizzati, uso anomalo di risorse hardware) serve per evitare che gli incidenti diventino violazioni propriamente dette. Tutto ciò può essere demandato ad algoritmi AI o a script evoluti, creando però una rete di comunicazione affinché gli alert eventuali coinvolgano, per escalation, il Security operation center (Soc) interno tenendo conto delle peculiarità e delle competenze delle persone che vi lavorano.
Incident response plan
La fortezza prende forma e i muri appena edificati devono essere antisismici. In caso di incidenti di sicurezza o di cyber attacchi l’azienda deve avere una procedura bene architettata, oliata e periodicamente verificata che includa le misure per identificare e contenere le crisi, restare in comunicazione con gli stakeholders e riuscire a ripristinare gli eventuali effetti degli attacchi su dati e sistemi.
Il response plan è il tetto della fortezza e, per essere perfetto, non deve mai essere necessario farvi ricorso. Ciò è possibile soltanto se fondamenta e mura sono state costruite in modo solido e sono costantemente poste a revisione. Il tetto va riparato quando c’è il sole.
Rivolgersi a esperti del settore
Così come per edificare una casa ci si rivolge a professionisti, altrettanto occorre fare quando si erige la fortezza aziendale. Il mercato offre tante soluzioni e ogni azienda deve essere capace di scegliere quella o quelle più adatte, rivolgendosi a quei fornitori che offrono formazione costante e che hanno un nome nel settore, popolato come ogni altro di improvvisati.
La cyber security è un lavoro duro. L’alternativa è il rischio di compromissioni all’azienda, ai suoi flussi, alla sua reddittività e alla sua immagine fino a metterla in condizione di non lavorare affatto.