Reading time: ~ 3 min.
La Cyber Security per sfruttare le opportunità della digitalizzazione senza ignorarne i rischi
L’autorevole rapporto 2016 del Clusit (Italia), che raggruppa centinaia di esperti e un gran numero di soggetti pubblici e privati, riassume in modo molto chiaro come il 2016 è considerato l’anno con il maggior numero di minacce di sicurezza informatica:
✔️malware +116%
✔️phishing attraverso il social engineering addirittura +1166%
✔️oltre il 70% degli attacchi complessivi è finalizzato ad estorcere denaro.
Le strutture che hanno subìto un maggior bersagliamento fanno parte dei settori:
✔️socio-sanitario, con un +102%;
✔️GDO +70%;
✔️bancario/finanziario, con +64%.
Questo trend di statistiche mostra come la tematica non è affatto una moda del momento, quanto piuttosto una delle più reali e concrete minacce per le aziende ed il mondo d’affari, in costante e vertiginoso aumento.
Si tratta del comune “rovescio della medaglia”, legato alla pervasiva digitalizzazione delle aziende che inevitabilmente accompagna, ai numerosi vantaggi, una maggiore esposizione ai rischi di tipo cibernetico.
Da quando il tema della Cyber Security – terminologia che ha meglio ridefinito gli ambiti del concetto di sicurezza informatica in riferimento alla protezione degli beni aziendali digitali, quale risposta ai rischi di utilizzo inappropriato e criminale – è diventato comune, molti operatori del settore ICT hanno iniziato ad interessarsi da vicino allo specifico argomento, con l’obiettivo di essere in grado di rispondere in prima persona a questo tipo di richieste da parte dei potenziali clienti.
L’approccio olistico di analisi di i3ct, che ne contraddistingue la strategia e la capacità di differenziarsi dai competitor, ha portato anche in questo ambito a gestire la tematica sia con una visione dall’alto (top-down) che dal basso (bottom-up).
È sicuramente poco credibile gestire la sicurezza solo dall’alto, attraverso delle direttive ed un piano di difesa aziendale ad alto livello, in quanto le minacce reali arrivano dal basso attraverso sofisticate tecniche e tecnologie di exploit di sistemi ed apparati per l’appropriazione di dati sensibili.
Nel contempo, però, è difficile pensare che conoscere il modo con cui gli hacker agiscono, possa permettere da solo di ottenere un efficace piano di difesa, poiché esso limita ad individuare la vera vulnerabilità e l’effetto, ma non ne scopre l’origine e la reale causa.
Per questi motivi i3ct ha ottenuto in questo ambito due importanti certificazioni:
✔️la Cyber Security Professional, in ambito di Ethical Hacking, per conoscere approfonditamente cosa si trova “sotto il cofano” della cyber criminalità e come agire in modo etico per ottenere i responsi che permettono agli hacker di sferrare gli attacchi in modo mirato;
✔️la ISO 27001 Lead Auditor che si appoggia alla governance IT applicata al contesto di sicurezza per definire un piano strategico che a grandi linee,da un lato, definisca gli asset a maggior impatto legato al rischio di minacce cyber e, dall’altro, determini quali azioni compiere per mitigare efficacemente il rischio.
Il rapporto del 2016 di KPMG per la Svizzera ha raccolto dati in sintonia con key player, legati ad un campione di aziende elvetiche intervistate.
Circa l’80% delle aziende non ha un piano di gestione delle minacce strutturato per quanto concerne il monitoraggio tecnico di attività sospette, un’appropriata classificazione dei dati ed un efficace sistema di comunicazione per il coordinamento interdisciplinare.
Ben il 75% degli intervistati inoltre sostiene che il focus per gestire al meglio le minacce cyber va posto nell’approccio coordinato di persone, processi e tecnologie.
Il prossimo 28 marzo, all’hotel Dante di Lugano, grazie alla nomina di Andrea Cherubini a membro di comitato di itSMF Suisse e responsabile per l’area italofona, e dalla sempre attiva e proficua collaborazione con Ated, avrà luogo il primo evento legato alle tematiche di IT governance e Service Management con un approccio pratico e valido supporto del governo IT al tema della sicurezza informatica.
L’evento, il primo di una serie di iniziative legate alla tematica in Ticino, sarà gratuito per attirare e costruire un gruppo di lavoro locale.
Referenze: I dialoghi, Cyber Security Training & Consulting
Clusit: Associazione Italiana per la Sicurezza Informatica
KPMG © Rapporto per la svizzera in tema di Cyber Security
Autore: Cherubini Andrea (presidente itSMF).
