Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SOLUZIONI DI SICUREZZA

Cyber security in azienda: i cinque “pilastri” per creare la migliore strategia di sicurezza

La cyber security in azienda non può più essere vista come una semplice soluzione tecnologica di protezione, ma deve essere affrontata e gestita come un vero e proprio processo di sviluppo che porti alla realizzazione di un programma strutturato di sicurezza aziendale. Ecco i cinque pilastri per la realizzazione della migliore strategia di difesa cibernetica

25 Ott 2019

Ottobre è un mese importante per la cyber security in azienda: il mese d’autunno, infatti, è stato consacrato alla sicurezza ICT dal progetto European Cyber Security Month, promosso dall’Unione Europea e organizzato dall’Enisa (European Union Agency for Network and Information Security).

La campagna informativa coinvolge tutti i Paesi membri dell’Unione Europea e prevede un fitto programma di eventi e manifestazioni consacrate al tema della sicurezza informatica.

Con un obiettivo ben preciso: educare i cittadini e soprattutto le aziende ai temi principali della cyber security, condividere le best practice in materia, effettuare esercitazioni per i più esperti e formazione su più livelli dedicata agli sviluppatori e ai dipendenti aziendali. Ci sarà persino una competizione tra i migliori esperti europei di sicurezza.

Il Mese Europeo della Sicurezza Informatica (ECSM) è dunque l’occasione giusta per stimolare la futura adozione del framework per la sicurezza informatica da poco licenziato a Bruxelles, dove il 6 luglio scorso il Parlamento Europeo ha stabilito che gli operatori dei servizi essenziali devono imparare a proteggersi dagli attacchi informatici e notificarli in tempo alle autorità.

Cyber security in azienda: lo scenario attuale

Un paradigma, quello della prevenzione in ambito cyber security, divenuto ormai di fondamentale importanza in uno scenario, confermatoci anche da Michele Onorato, Security Office Manager di WestPole, in cui la tecnologia cambia più velocemente di quanto la maggior parte delle aziende riesca a tenere il passo.

Per queste stesse aziende, una delle sfide più difficili, oggi, è proprio l’implementazione delle best practice di sicurezza informatica applicate a una rete che è sempre meno strutturata e decentralizzata.

Di fronte ad attacchi informatici sempre più mirati alla violazione di dati riservati, con conseguenti danni economici e reputazionali difficilmente calcolabili, due dei tipici comportamenti tenuti finora dalle aziende in ambito cyber security risultano ormai del tutto inadeguati:

  • iniziare a pensare alla sicurezza informatica solo quando si verificano gli incidenti;
  • investire in soluzioni tecnologiche “stand alone” senza una strategia di sicurezza definita.

È importante prendere atto del fatto che la security in azienda non può più essere vista come una semplice soluzione tecnologica di protezione, ma deve essere affrontata e gestita come un vero e proprio processo di sviluppo che porti alla realizzazione di un programma strutturato di sicurezza aziendale.

Cyber security in azienda: i cinque “pilastri” della sicurezza

È dunque utile approcciarsi al tema della security suddividendolo in cinque “pilastri”, che rappresentano il percorso che ogni azienda dovrebbe seguire al fine di creare la migliore strategia di difesa cibernetica.

Governance

Occorre mirare ad avere la piena conoscenza degli asset aziendali e dei processi produttivi, oltre alle relazioni che intercorrono tra di loro. Solo una efficace ed efficiente governance aziendale, infatti, consente di valutare i rischi associati alla propria realtà produttiva e quindi attivare le giuste contromisure per garantire che gli asset stessi abbiano sempre dei livelli di sicurezza chiari e basati sulla loro criticità.

L’output atteso da queste attività è una GAP Analysis rispetto agli standard utilizzati dall’azienda (ITIL, ISO 27001 ecc.) e una road map da seguire per colmare le eventuali lacune.

È importante, inoltre, ripetere l’attività di analisi nel tempo: le minacce informatiche, infatti, si evolvono nel tempo e la valutazione del rischio deve quindi essere vista come un’attività ricorsiva soggetta ad aggiornamenti che non può esaurirsi semplicemente con l’identificazione del rischio iniziale.

Management

Altro punto cardine per una corretta gestione della cyber security in azienda è la visibilità a 360° di quello che avviene all’interno del proprio perimetro fisico e virtuale. Solo così si possono rilevare più velocemente gli incidenti di sicurezza e mettere in atto le necessarie e più efficaci attività di contenimento e di ripristino dell’attività produttiva.

È utile, a tale scopo, identificare 5 aree in cui è fondamentale agire per garantire la cyber security in azienda:

  1. Network Security, ovvero la sicurezza “perimetrale” dell’azienda: firewall, SSL, VPN e più in generale ogni apparato che è in contatto sia con l’interno che con l’esterno dell’azienda e che ha come prima responsabilità il blocco delle potenziali minacce;
  2. Content Security, ovvero il controllo degli “oggetti” in entrata/uscita e download/upload, con l’eventuale inibizione degli stessi in caso di riscontrata minaccia (e-mail e mobile security, antimalware, Data Loss Prevention ecc.);
  3. Datacenter & Cloud security, ovvero tutti i servizi di sicurezza legati all’infrastruttura, ai sistemi e al mondo virtuale. Oltre alle protezioni standard dei sistemi, rientrano in quest’area anche Vulnerability Protection, Log Management e SIEM (Security Information and Event Management);
  4. Identity & Access Management, ovvero l’insieme di attività volte a gestire le identità digitali e le modalità di accesso ai sistemi come l’autenticazione a più fattori. In tal senso, anche le soluzioni PAM (Privileged Access Management) consentono ai CIO e ai responsabili della sicurezza IT di proteggere l’accesso agli asset critici garantendo che solo chi possiede le credenziali corrette possa accedere alle informazioni business-critical.
  5. Application security, ovvero l’insieme di soluzioni che permettono di sviluppare codice con requisiti specifici di sicurezza e di strumenti che permettono di analizzare il traffico Web e proteggere le applicazioni in modo preventivo.

Identificati i rischi e le soluzioni organizzative, occorre mettere in campo le soluzioni tecnologiche per raggiungere gli obiettivi che si erano prefissati nella fase di governance.

Awareness

Per raggiungere gli obiettivi di sicurezza che l’azienda si è prefissata, la tecnologia da sola non basta. Lo step successivo nella creazione di una strategia di difesa cibernetica consiste nel consapevolizzare gli utenti aziendali dei rischi e delle minacce a cui vanno incontro mentre utilizzano non solo gli strumenti di lavoro (pensiamo, ad esempio, all’e-mail aziendale) e le infrastrutture produttivi considerate critiche, ma anche lo smartphone e tutti i dispositivi ad uso personale.

La superficialità delle persone, infatti, rappresenta un ottimo veicolo di informazioni aziendali per gli attaccanti, sempre alla ricerca del modo migliore per “bucare” il perimetro cyber dell’azienda.

È necessario, inoltre, che non solo le persone interne all’azienda siano formate ed educate da un punto di vista comportamentale e tecnico: è fondamentale che tutta la supply chain composta da fornitori esterni, clienti e utenti esterni raggiunga un livello altrettanto elevato di awareness in tema di cyber security aziendale.

Incident

Quando il piano di sicurezza è stato completato e sono state implementate tutte le soluzioni tecnologiche necessarie, è opportuno prevedere processi e soluzioni che costantemente controllino e monitorino lo stato delle infrastrutture critiche aziendali e le eventuali anomalie che possano eventualmente presentarsi. Questo permetterà di avere una pronta reazione e quindi contenere l’incidente in termini di eventuali danni. Una investigazione successiva permetterà di comprendere le cause dell’incidente e quindi di prevedere azioni migliorative atte evitare il futuro accadimento di incidenti simili.

Le aziende, inoltre, possono fare riferimento al Framework Nazionale per la Cybersecurity e la Data Protection che, per l’appunto, rappresenta un valido strumento di supporto per la definizione di strategie e processi volti alla protezione dei dati personali e alla sicurezza cyber (anche se non può in alcun modo essere considerato uno strumento per il rispetto dei regolamenti vigenti in materia come, ad esempio, il GDPR).

Compliance

Rappresenta l’ultimo pilastro per la realizzazione di un piano strategico di difesa cibernetica.

Parallelamente a tutte le attività che un’azienda deve svolgere in ottica di sicurezza, esistono normative leggi e standard di settore, nazionali e internazionali, a cui deve essere sempre compliant.

La survey per scoprire il livello di protezione dell’azienda

Alla luce di quanto visto finora è evidente che per la realizzazione di un programma strutturato di sicurezza aziendale è utile l’appoggio di un partner strategico come WestPole che accompagni le aziende medie e grandi, pubbliche e private, nel percorso di Digital Transformation attraverso l’implementazione di soluzioni e servizi innovativi, gestiti in ottica consulenziale end-to-end.

Grazie ai servizi offerti, WestPole si configura come un System Integrator, un Service Provider e, oggi più che mai, uno Skill Integrator.

WestPole è associata a UNINDUSTRIA, L’Associazione territoriale del sistema Confindustria di Roma Frosinone Rieti Viterbo Latina. La quale mette a disposizione di tutte le aziende, in forma completamente gratuita, un test di autovalutazione del livello di sicurezza informatica raggiunto conforme al percorso basato sui cinque “pilastri” che compongono la migliore strategia di difesa cibernetica.

Presentato nel corso dell’incontro del Gruppo Tecnico Trasformazione Digitale, coordinato dal Vice Presidente D’Agostino, tenutosi il 4 ottobre scorso alla presenza del Con. Amb. Andrea Mazzella Capo dell’Ufficio Internazionalizzazione dell’industria dell’aerospazio e della difesa del Ministero degli Affari Esteri e della Cooperazione Internazionale, il Cyber Risk Self-Assessment, questo il nome della survey di UNINDUSTRIA a cui WestPole partecipa , è un progetto finalizzato principalmente a sensibilizzare le aziende, soprattutto PMI, al fine di aumentare la loro consapevolezza sul tema della cyber security e tenere in considerazione tutti gli aspetti legati ai rischi informatici nella loro attività di business.

La survey valuta subito il livello di sicurezza ed esposizione delle PMI ai cyber attacchi attraverso un autocheck diagnostico, grazie al quale l’azienda riceve immediatamente indicazioni utili per capire lo stato di valutazione del proprio rischio aziendale e, quindi, poter agire di conseguenza.

Al termine del test, infatti, l’azienda ottiene un indice di rischio basato su tre livelli (basso, medio, alto). Il secondo step del progetto di UNINDUSTRIA sarà l’analisi delle survey e la possibilità di definire un macro piano di risposta alle possibili minacce in funzione di quelli che sono i domini di security interni all’azienda sui quali è opportuno intervenire.

Il questionario è anonimo, dura pochi minuti, e dopo un primo set di domande anagrafiche propone domande di semplice e veloce compilazione.

L’articolo è parte di un progetto di comunicazione editoriale che Cybersecurity360.it sta sviluppando con il partner WestPole

@RIPRODUZIONE RISERVATA

Articolo 1 di 5