LA GUIDA PRATICA

Cyber attacchi alle aziende: ecco come impostare un efficace sistema di protezione

Impostazione di un sistema di protezione, valutazione dei rischi e rivalutazione periodica di sicurezza per essere pronti quando si presenta l’evento incidente informatico

11 Feb 2022
V
Alessia Valentini

Giornalista, Cybersecurity Consultant e Advisor

I dati dell’ultimo Rapporto Clusit uscito ad ottobre e relativo al primo semestre 2021 confermano la tendenza al rialzo degli attacchi informatici, iniziata nel 2020, soprattutto quelli motivati da cybercrime e information warfare. Nonostante queste evidenze, frutto di analisi su reali e frequenti eventi incidente, ancora tante aziende italiane, su questi temi, stentano ad essere pienamente consapevoli dei rischi di sicurezza informatica. La cronica sottovalutazione dei rischi digitali scaturisce dalla falsa convinzione di non essere di interesse come target o dalla falsa percezione di saper affrontare e risolvere un incidente informatico se dovesse presentarsi l’evento. Dalle evidenze del Clusit sui successi degli attaccanti è chiaro come questa sia una falsa sicurezza.

Per proteggere la propria azienda e per prepararsi correttamente ad un evento incidente è necessario capire il rischio informatico e affrontarlo in modo efficace. Gli interventi di protezione e di prevenzione contribuiscono a rendere l’organizzazione più preparata ma non sempre immune, tanto che anche il processo di incident handling deve essere predisposto e testato accuratamente. Se impostato nel modo giusto anche l’eventuale evento incidente permette di restare operativi sotto attacco e di minimizzare le perdite. Ma la buona regola della rivalutazione periodica nella postura di sicurezza non dovrebbe mai essere dimenticata.

La percezione distorta sulla sicurezza informatica

L’evoluzione tecnologica e il progressivo incremento delle prestazioni hanno contribuito alla diffusione pervasiva delle tecnologie digitali, oggi accessibili alla maggioranza della popolazione. Anche le differenze di prodotto fra diversi vendor si sono uniformate tanto che oggi i prodotti hanno prestazioni simili. Ad esempio, tutti i firewall fanno lo stesso mestiere e più o meno nello stesso modo.

Nel tempo, tuttavia, non è cambiata molto la preparazione dell’essere umano ancora soggetto ad errori e debolezze; tanto che il vettore di attacco più efficace è il phishing. Questo vuol dire che la cultura delle persone in tema di sicurezza e rischio informatico ancora è insufficiente. Alcune azioni banali si compiono con eccessiva leggerezza, indistintamente se in ambito personale o lavorativo con il risultato di facilitare gli attaccanti.

Molte aziende, inoltre, non hanno un adeguato livello di percezione del rischio informatico e delle conseguenze che ne derivano e spesso ancora commentano: “non abbiamo mai avuto problemi del genere e non vedo perché dovremmo averli…”. Ma soprattutto per tante aziende la spesa per la sicurezza informatica è sempre stata considerata come una piccola parte della spesa IT con tutte le erronee conseguenze che ne derivano.

Le aziende sottovalutano maggiormente, i rischi, causati da convinzioni personali e non oggettive: la convinzione di essere al sicuro dopo aver comprato tanta tecnologia, la sicurezza percepita come un costo o un problema fastidioso, che non è necessario affrontare (incuria). Tutti questi casi sono anche accomunati dall’errato concetto per cui la sicurezza informatica è un problema tecnologico, che resta confinato all’interno dei computer e per il quale se esiste un problema, basta chiamare l’esperto che lo risolverà ma, nel frattempo, ognuno torna alla propria vita, che non è impattata da quanto avviene nella dimensione digitale.

Ne abbiamo parlato con Domenico Caldarelli, Cyber Security Specialist di ITI Sistemi che ha commentato: “Ovviamente questo concetto è completamente sbagliato poiché oggi si è tutti connessi e fortemente legati ai propri singoli dati. Fare pochi investimenti sul tema della sicurezza, dal punto di vista tecnologico, vuol dire avere infrastrutture obsolete che non possono garantire gli standard di sicurezza adeguati e dal punto di vista culturale significa dipendenti impreparati, che nell’insieme rendono le aziende inermi di fronte a situazioni difficili. In generale le persone, e le aziende con esse, sottovalutano la capacità che ha un attacco informatico di impattare e colpire al di fuori dal contesto tecnologico; un attacco mirato al core business di un’azienda provoca la fuoriuscita o la perdita di dati, il blocco dei reparti e delle funzioni produttive, scatena crisi gestionali e porta a danni economici che possono arrivare a causare licenziamenti, e la chiusura dell’attività colpita, uscendo fuori dal perimetro informatico e danneggiando la vita delle persone nel mondo reale”.

Come impostare la protezione nel modo corretto

In termini preventivi è fondamentale introdurre nelle aziende metodologie avanzate di analisi costante del rischio cyber e della reputazione digitale, sia guardando internamente all’organizzazione sia eseguendo una valutazione dei principali collaboratori e delle terze parti. Queste prassi consentono di capire l’entità del rischio informatico aziendale evitando eventuali “punti ciechi” in azienda e presso i fornitori. I rating di sicurezza utilizzano una raccolta standardizzata di criteri ed eventuali strumenti ad hoc. Sommando i diversi fattori di rischio, è possibile calcolare un punteggio quantitativo aziendale e per ogni singolo fornitore con l’obiettivo di uniformarli ad un valore accettabile.

A livello di prassi di protezione un primo intervento necessario è quello legato alla consapevolezza e alla cultura della sicurezza in azienda evidenziando il livello della postura di sicurezza e tutti i rischi connessi: dal rischio di sottrazione di credenziali aziendali, al furto di dati, dal rischio di brand reputation rovinata, alla cifratura malevola dei sistemi informatici con conseguente blocco della produttività ed eventuale richiesta di riscatto.

Tutti i dipendenti dovrebbero essere formati sulla sicurezza informatica, per prepararli ad eventi fraudolenti anche al di fuori del contesto lavorativo.

La formazione sul phishing è molto importante per capire se una e-mail è una minaccia o meno, organizzando delle campagne esercitative; ma anche l’insegnamento della comunicazione sicura, evitando in primis di fornire le credenziali di un account e se strettamente necessario, farlo in conversazioni separate, possibilmente usando mezzi differenti (ad esempio: e-mail ed SMS).

È anche importante insegnare come abilitare, per tutte le utenze, l’autenticazione a più fattori. Su questi temi Mirko Raimondi e Giuseppe Catalano, Technical Managers, suggeriscono: “Parte del processo formativo potrebbe essere rappresentato da esercitazioni specifiche. Ad esempio, potrebbe essere interessante lasciare in giro delle pennette USB al cui interno inserire dei documenti malevoli, magari denominati “piano licenziamenti”, “stipendi” oppure “elenco_dipendenti_promozioni”, dopo aver messo in piedi un’infrastruttura capace di gestire questi eventi di finto incidente. Se un utente aprisse quel file, potrebbe essere rediretto su un portale interno nel quale sarebbe informato di aver fatto una cosa pericolosa. All’interno del portale potrebbero esserci dei video formativi su come comportarsi in questi casi. Successivamente sarebbe opportuno che un’azienda certificata si occupasse di verificare il livello di sicurezza. Oltre alla Security Awareness ogni azienda dovrebbe affidarsi ad un SOC H24 capace di servizi di Monitoring, Incident Detection & Reaction, dotato di soluzioni di MDR e capace di attuare azioni appropriate a valle di test di VA/PT”.

Niente panico in caso di attacco informatico

Se l’azienda si trova coinvolta in un incidente informatico è necessario attivare procedure e processi previsti per le situazioni di emergenza, coinvolgendo eventuali fornitori del servizio SOC se esternalizzato. Anche in questo caso una corretta formazione preventiva in azienda unita ad esercitazioni consente di mantenere la calma e di predisporsi alle analisi di Incident Response per una veloce disamina dell’attacco, minimizzazione degli effetti, contenimento del danno e impostazione di una remediation che eviti futuri simili accadimenti.

Se, invece, queste tematiche non sono ancora padroneggiate dal personale interno è opportuno, affidarsi ad esperti del settore ovvero ad aziende esperte in tema di Cyber Risk per risolvere il problema in tempi brevi.

Un accorgimento sempre valido che costituisce una best practice è la rivalutazione periodica della postura di sicurezza dell’azienda, ovvero l’aggiornamento periodico di tutte le informazioni relative all’assetto della sicurezza aziendale.

Ciò comporta un’attività di raccolta e analisi di tutte le informazioni scaturite da test di vulnerabilità e penetration test per impostare il patching e le manutenzioni, ma anche l’analisi di tutte le informazioni condivise e pubblicate, consapevolmente o involontariamente online, riguardo ad un’azienda, un prodotto, un fornitore, un professionista o un evento e che circolano sia su fonti pubbliche che sul Dark & Deep Web.

Il monitoraggio di queste informazioni consente di evidenziare gli eventuali attacchi informatici e i contenuti negativi che potrebbero condizionare la fiducia di clienti, investitori, organi di controllo e provocare ingenti perdite economiche. Gabriele Ellena, CTO di ITI Sistemi suggerisce di muoversi sulle tre direttrici di “cultura, protezione, controllo. L’insieme di questi tre concetti fornisce degli indicatori chiari su cosa rivalutare e come. Anche in questo caso, la valutazione fatta da esperti del settore aiuta ad identificare tutto ciò che serve e ciò che, invece, solitamente viene trascurato: le persone, il loro modo di rivolgersi al web, la gestione dei propri account sia personali che aziendali, i social, etc. Raggiungere il giusto livello di consapevolezza è il primo passo. Essere protetti da tecnologia valida e, soprattutto, correttamente configurata è il secondo sistema di difesa. Monitoraggio ed analisi sono alla base di una corretta gestione, sia ordinaria che straordinaria”.

Contributo editoriale sviluppato in collaborazione con ITI Sistemi

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 2