L'approccio

Security People Centric: la sicurezza come sfida culturale

Oggigiorno l’azienda non può essere vista come solo un semplice aggregato di servizi e sistemi. Deve essere considerata come un insieme interdipendente di cultura, persone e tecnologia. Una valida cultura della sicurezza permette una maggiore protezione dei dati. Sempre più gli hacker tentano di sfruttare il così detto “fattore umano”

20 Mag 2019
L
Domenico Licciardi

Cyber Security Specialist

In materia di cyber security è bene considerare che un utilizzo massivo di diverse tecnologie non sempre porta al risultato sperato di una sicurezza totale del perimetro aziendale. Questo perché un’azienda è composta da cultura, persone e tecnologie. Le persone sono la prima linea di un’azienda: gestiscono le varie configurazioni sistemistiche, creano software ed utilizzano i dati aziendali. Proprio quest’ultimi sono valutati come uno dei beni primari di un’azienda. Ad essi hanno accesso generalmente tutti i dipendenti, i quali devono essere istruiti almeno sulle policy aziendali di security, per poter utilizzarli nel migliore dei modi ed evitare una fuga di informazioni.

Un dipendente può essere coinvolto ad esempio in “attacchi” del tipo:

  • Social Engineering
  • Physical Attack

Vediamo nello specifico di che cosa si tratta.

Attacchi di tipo social engineering

Gli attacchi informatici sono diventati sempre più mirati, oltre che all’infrastruttura, anche al personale in ogni suo ordine. I dipendenti poco istruiti possono essere vittime di svariati attacchi di tipo social engineering.

WHITEPAPER
DATI: fonte imprescindibile per le aziende! PROTEGGILI e mantienili CONFORMI alle regole
Big Data
Sicurezza

Il social engineering studia il comportamento delle persone per carpirne la fiducia, ingannarle e raccogliere informazioni a scopo fraudolento. È un metodo molto diffuso per l’acquisizione di informazioni riservate dove nel mirino ci sono sempre più i singoli individui. Un classico esempio di attacco social engineering è il phishing. Questa tecnica generalmente adesca le sue vittime attraverso una e-mail, apparentemente proveniente da una fonte attendibile, dove attraverso vari collegamenti si arriva su un sito Web fittizio, volto a rubare le credenziali di accesso ai sistemi aziendali o personali. Nelle tecniche più recenti, gli hacker utilizzano e-mail create su misura così da rendere più reale l’adescamento. Nel 2018 gli attacchi bloccati sono più che raddoppiati rispetto all’anno precedente, ed oltre il 44% hanno riguardato banche, sistemi di pagamento digitali e negozi online.

Con l’avvento dei social network è molto più semplice reperire le informazioni private così da studiare in modo più approfondito e dettagliato ogni singolo dipendente e delineare i più “vulnerabili”. È pur vero che i sistemi anti-phishing riescono a bloccare la maggior parte dei tentativi di attacco phishing. Dati i recenti data breach, la possibilità di trovare credenziali aziendali con l’utilizzo di password semplici o ripetute anche per account personali, compromette notevolmente la sicurezza. Visto anche l’aumento degli accessi esterni alle risorse aziendali, per merito dello smart working, è necessario abilitare l’accesso ai sistemi tramite diversi fattori di autenticazione e non solo il classico utilizzo della password. Quest’ultimo infatti può essere molto pericoloso. L’ingegneria sociale è un pericolo reale, spesso sottovalutato e del quale non sempre ne abbiamo la piena consapevolezza.

Cosa accade se avviene un Physical Attack

Alcune aziende si sentono al sicuro poiché i loro servizi non vengono esposti all’esterno e quindi non reperibile tramite un accesso internet. Ma cosa accade se avviene un Physical Attack? Per Physical Attack si intende la presenza di una persona non autorizzata all’interno dei locali aziendali e generalmente avviene dopo un attento studio del personale e perimetro aziendale. Che danno può arrecare al business aziendale? Gli accessi ai sistemi fisici sono protetti a dovere? I dipendenti sono pronti a riconoscere una persona autorizzata o meno? Sono istruiti sul comportamento da seguire in determinate situazioni?

È importante sapere che una tale intrusione non si limiterà solamente ad una passeggiata di piacere. Quante volte troviamo post-it con su scritte le credenziali di accesso? È bene tenere a mente che lasciare informazioni quali credenziali o file sensibili alla portata di chiunque, potrebbe arrecare seri danni al business aziendale. Anche una buona protezione all’accesso dei sistemi fisici è importante e dovrebbe essere garantita ai soli addetti ai lavori. Durante un physical attack l’hacker può avvalersi di diverse tecniche per rubare informazioni:

  • Baiting, lasciare delle chiavette USB con all’interno del codice malevolo, magari con un’etichetta allettante per un dipendente, nei locali aziendali più frequentati.
  • Dumpster diving, la raccolta delle informazioni può avvenire persino nella spazzatura poiché non tutti i documenti vengono distrutti come dovuto e perciò è possibile reperire informazioni sensibili.
  • Shoulder surfing, direttamente alle spalle dei dipendenti mentre utilizzano il portatile o ascoltando le loro conversazioni che potrebbero riguardare anche informazioni sensibili.

Come accennato nell’introduzione, all’interno della catena di lavoro abbiamo le persone. Esse possono essere considerate l’anello più debole. La maggior parte degli incidenti di sicurezza sono legati agli errori umani:

  • Negligenza
  • Pubblicazioni di informazioni private sui social network
  • Distrazione
  • Uso o riutilizzo di password banali

Come ridurre al minimo i rischi

Un ottimo punto di partenza potrebbe essere quella di eseguire dei test di Assessment sia a livello infrastrutturale che sul personale aziendale. In queste fasi è possibile verificare lo stato di security delle diverse applicazioni utilizzate, verifiche che andranno a controllare se sono in uso versioni obsolete sul quale potrebbero essere sfruttare vulnerabilità note. Importante anche per capire il livello di detection e reaction dei proprio dipendenti, nella prima si valuta la capacità di rilevare un attacco, nella seconda si verificano se le azioni intraprese sono efficaci o meno. In questo modo è più semplici organizzare eventuali interventi di security da effettuale o piani di Security Awareness da implementare. È importante saper riconoscere una e-mail di phishing, bisogna sempre ricordare:

  • Verificare che il mittente sia una persona attendibile soprattutto controllando il dominio di quest’ultimo (‘@gmail.com’ il dominio risulta essere ‘gmail’).
  • Se è richiesto l’inserimento delle credenziali fare molta più attenzione.
  • Controllare eventuali link presenti, andando con il mouse sopra di esso senza cliccarci, comparirà il link completo e sarà possibile verificare se è un sito lecito o meno.
  • Verificare la presenza del certificato HTTPS all’interno della url
  • Abilitare l’autenticazione a due fattori così da limitare i danni nell’eventualità di un furto di credenziali.

All’interno dei locali aziendali bisogna avere diverse accortezze:

  • Non lasciare il proprio laptop sbloccato quando non si è alla postazione.
  • Non scrivere le proprie credenziali su post-it lasciando questi ultimi sul laptop.
  • Utilizzare password complesse non riconducibili alla propria persona o famiglia e cambiarle mensilmente.
  • Mantenere aggiornato il proprio laptop cosi da installare tutte le patch di sicurezza disponibili.
  • Non inserire nel proprio laptop dispositivi USB di cui non si conoscono l’origine (probabile Baiting).

La sicurezza è un problema reale e pericoloso. È necessario intervenire prima che il business aziendale possa essere compromesso poiché i costi economici potrebbero essere più elevati rispetto ad un intervento effettuato tempestivamente. Non c’è più tempo per rimandare eventuali piani di Remediation: Errare humanum est, perseverare autem diabolicum”. Credo fortemente che la sicurezza sia più che mai una sfida culturale.

@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr