LA GUIDA PRATICA

Informati e consapevoli: la chiave per una strategia di cyber security davvero efficace

La vulnerabilità delle aziende verso data leak e data breach spesso non dipende da una mancanza di interesse, ma da un approccio inadeguato. Ecco i quattro errori più comuni nell’elaborare una strategia di sicurezza informatica

18 Ott 2022
N
Fabrizio Nuzzo

IT Security Architect Deda Cloud

Ormai sia gli specialisti del settore sia il pubblico più generalista sono quasi abituati a numeri di data leak e data breach da record. Come dimenticare il data breach di Yahoo – rivelato nel 2017 – che nel 2013 coinvolse 3 milioni di account? Così come i casi di Adult Friend Finder, che nel 2016 causò l’esposizione dei dati di 412 milioni di utenti, e di Equifax, che nel 2017 portò alla violazione di oltre 160 account. Ultimo in ordine temporale, ma non di volumi, è quello di LinkedIn che nel giugno 2021 coinvolse 700 milioni account, il 92% degli utenti totali del social network, appena due mesi dopo che 500 milioni di profili erano stati messi in vendita su un popolare forum di hacker.

Come mostra questa breve lista, le fughe e violazioni di dati sono in costante aumento e interessano un numero sempre più importante di account e informazioni, tanto che è ormai difficile tenere traccia di tutte le notizie a riguardo.

Forse ancora più allarmante è il fatto che, spesso, i cyber criminali utilizzano tecniche piuttosto semplici e banali per portare a termine i propri attacchi, dimostrando così l’estrema vulnerabilità di numerose aziende nell’ambito della sicurezza informatica.

Anche se in certi casi questa vulnerabilità è in parte dovuta allo scarso interesse delle aziende, e quindi ad una loro negligenza, non è il caso di generalizzare. Negli ultimi anni, infatti, la sicurezza informatica sta conquistando un ruolo sempre più centrale per le organizzazioni, passando da essere una tematica considerata di nicchia a ordine del giorno nei Consigli di Amministrazione.

Molto più frequentemente, le insidie derivano da un approccio sbagliato alla security. Sono diversi, infatti, gli ambiti in cui vengono attuate strategie di cyber sicurezza inadeguate, spesso a causa di preconcetti, fretta di risolvere la questione o mancanza di fiducia verso partner e consulenti.

In particolare, sono quattro gli ambiti in cui è facile commettere degli errori che possono indebolire il proprio approccio alla sicurezza.

Promuovere la cultura della sicurezza in azienda: come gestire il fattore umano

Il vecchio concetto di perimetro aziendale non esiste più

Un errore piuttosto comune è concentrare tutti gli sforzi del programma di security sul vecchio concetto di perimetro aziendale, senza accorgersi che, al giorno d’oggi, questo è più ampio e meno definito che nell’era pre-cloud, e che sarebbe quindi più corretto immaginare i dati che si vogliono proteggere come posizionati in contenitori logici, differenti tra loro ma interconnessi.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza

La superfice d’attacco è aumentata, perché è cambiata la modalità di distribuzione dei servizi da parte delle aziende. Non solo il multi-cloud o modalità ibride, ma anche l’introduzione di nuovi paradigmi e metodologie come il serverless computing e devops hanno contribuito a rendere inefficaci le strategie di security utilizzate in passato.

In fase di assessment, sia per i provider di servizi di security che per le aziende clienti è dunque diventato fondamentale interrogarsi sul reale perimetro dei dati aziendali.

Sottovalutare i rischi della supply chain o non affrontare il tema dello share responsability quando si valuta il cloud nelle sue declinazioni – IaaS, PaaS, SaaS – sono esempi di errori comuni. Identificare il threat model corretto richiede pensiero, brainstorming, collaborazione e comunicazione con i giusti interlocutori.

Prima la strategia, poi la tecnologia

In caso di mancato rilevamento di un possibile attacco, spesso la debolezza o la falla vengono ricercate nella soluzione di security adottata.

In realtà, nella maggior parte dei casi, il fallimento è da individuare nella strategia che si è scelto di implementare. Infatti, prima ancora della tecnologia proposta è opportuno individuare l’approccio alla sicurezza più corretto per la propria organizzazione.

Anche se la tecnologia svolge un ruolo fondamentale nei servizi di Managed Detection and Response (MDR), strumenti come Endpoint Detection and Response (EDR), Sonde Network, Security Information and Event Management (SIEM) e deception technology hanno il compito di completare la strategia di cyber security, ma non la determinano.

In altre parole, prima è necessario studiare l’approccio alla sicurezza più appropriato e solo in seguito possono essere selezionate le tecnologie che lo valorizzano al massimo.

Gli utenti, i primi alleati dell’azienda

Il terzo ambito da considerare è quello degli utenti. Sono definiti l’anello debole della catena, capaci di eludere il controllo del miglior Security Manager, e quindi il vettore perfetto per fare penetrare un ransomware all’interno di un’organizzazione.

Per questo motivo, vengono sottoposti a innumerevoli simulazioni di phishing e a corsi di formazione obbligatori sotto forma di video pillole. In realtà, aumentare la sicurezza informatica in azienda dipende fortemente dalla creazione di una solida cultura della cyber security.

Le organizzazioni dovrebbero fornire gli strumenti culturali necessari per rendere le proprie persone i primi sostenitori del programma di cyber security, e per farlo non è sufficiente organizzare dei corsi, ma è importante far comprendere la ragione di certe procedure e processi.

Fornire informazioni sul programma di sicurezza adottato dall’azienda e rendere le attività di security awareness adeguate e coinvolgenti, andando ad affrontare anche il tema della cyber hygene in ambito non strettamente aziendale, sono elementi che possono contribuire al raggiungimento di questo obiettivo.

È vero che il lavoro da remoto rende gli utenti più vulnerabili, ampliando le potenziali superfici di attacco e portando complessità nei rapporti con il reparto IT, la cui distanza fisica può comportare difficoltà di comunicazione nel caso di dubbio su un possibile attacco.

D’altra parte, una maggiore consapevolezza e strumenti più intuitivi e user-friendly, che consentano di consultare con facilità un tecnico preparato nel caso di un sospetto di attacco, contribuiscono a trasformare gli utenti nei primi alleati dell’azienda in ambito di sicurezza informatica.

Servizi che possono evolvere nel tempo

Infine, la scelta di un servizio MDR adatto alle proprie esigenze e, soprattutto, alla propria dimensione aziendale, anche a costo di dover richiedere adattamenti e personalizzazioni, è determinante per il successo di una strategia di cyber security.

Nell’ultimo periodo, i provider di questo tipo di servizi – soprattutto se basati su tecnologie EDR e XDR – sono cresciuti a dismisura, e questo per le organizzazioni è sicuramente un bene, perché ha stimolato un ampliamento dell’offerta e una maggiore competitività anche dal punto di vista economico.

D’altro canto, i servizi di questa tipologia, soprattutto se proposti da vendor che operano sul mercato globale, sono diventati prodotti da scaffale poco inclini a raccogliere le esigenze della piccola e media azienda italiana.

È quindi necessario valutare con attenzione quanto e cosa sia compreso nel servizio offerto e se questo effettivamente risponda alle nostre aspettative, ma soprattutto se il provider proponga anche un’assistenza personalizzata e servizi su misura, in grado di rispondere a criticità ed esigenze nuove, magari non previste durante l’iniziale fase di contratto.

Essere consapevoli dei rischi per essere più sicuri

Le tecniche del cybercrime evolvono continuamente, esponendo costantemente le aziende a nuove minacce.

Una strategia di sicurezza ben studiata insieme ad un fornitore specializzato che sappia lavorare al fianco del proprio cliente e che, con onestà, sappia metterlo di fronte a rischi e priorità, consente però di ridurre le vulnerabilità, raggiungendo elevati standard di sicurezza.

WHITEPAPER
CYBERSECURITY: le migliori strategie per la tutela e la continuità dei servizi IT
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5