Oggi, che viviamo nella societ\u00e0 dell\u2019informazione, in cui le informazioni (per lo pi\u00f9 digitalizzate) fanno parte integrante del nostro modo di vivere e di qualsiasi nostra attivit\u00e0, la sicurezza (security) \u00e8 diventata una componente fondamentale da cui l\u2019informazione stessa non pu\u00f2 prescindere. Nel caso dell’Informazione digitale, non \u00e8 pi\u00f9 sufficiente limitarsi a garantirne la riservatezza \u2013 la crittografia \u00e8 ancora molto importante in moltissimi casi \u2013 ma \u00e8 necessario garantirne anche la disponibilit\u00e0 e l\u2019integrit\u00e0. \u00abRiservatezza\u00bb, \u00abDisponibilit\u00e0\u00bb e \u00abIntegrit\u00e0\u00bb sono gli obiettivi fondamentali di qualsiasi sistema di sicurezza delle informazioni.<\/p>\n
La riservatezza consiste nel limitare l\u2019accesso alle informazioni e alle risorse informatiche, alle sole persone autorizzate a farlo. La riservatezza si pu\u00f2 realizzare sia nella fase di archiviazione dell\u2019informazione, sia nelle fasi di comunicazione. Poich\u00e9 spesso una informazione \u00e8 data dalla somma di pi\u00f9 dati messi in relazione tra di loro \u2013 per esempio il mio nome e il mio numero di conto corrente in taluni contesti hanno significato solo se abbinati \u2013 ne consegue che la riservatezza pu\u00f2 dipendere dal contesto. Nel caso appena citato si pu\u00f2 pensare di cifrare solo uno dei due dati (e.g. il n. di conto) cosicch\u00e9 la riservatezza dell\u2019informazione (nome+n.conto) sia preservata.
\nLa riservatezza in gran parte dipende dalle procedure software che adottiamo e dall’hardware che utilizziamo, ma anche il fattore umano ha il suo peso. Poich\u00e9 nella catena della sicurezza l\u2019elemento pi\u00f9 debole spesso siamo noi stessi, vi sono alcune semplici regole da seguire che ci possono aiutare a fare la nostra parte:<\/p>\n
Il secondo obiettivo \u00e8 quello della Disponibilit\u00e0. Garantire la disponibilit\u00e0 delle informazioni significa far si che queste siano accessibili agli utenti che ne hanno diritto, nel momento in cui essi lo richiedano. Questo significa che i nostri sistemi, la rete e le applicazioni, debbono fornire le prestazioni richieste e che in caso di malfunzionamento ovvero di eventi catastrofici, esistano delle procedure, degli strumenti e delle persone, in grado di ripristinare la completa funzionalit\u00e0 dei sistemi in tempi accettabili (disaster recovery).<\/p>\n
L\u2019integrit\u00e0 riguarda il grado di correttezza, coerenza e affidabilit\u00e0 sia delle informazioni, sia delle risorse informatiche. Per le informazioni, il concetto di integrit\u00e0 riguarda il fatto che queste non possano venire alterate, cancellate o modificate per errore o per dolo, e che all\u2019interno di un database, per esempio, i dati siano tra loro coerenti. Quando si parla di hardware, l\u2019integrit\u00e0 si riferisce invece alla corretta elaborazione dei dati, alla garanzia di un adeguato livello delle prestazioni, al corretto instradamento dei dati in rete e cos\u00ec via. Infine, quando si parla di software, ci si riferisce a fattori come la coerenza, la completezza e la correttezza delle applicazioni, la correttezza dei file di sistema, dei file di configurazione etc.<\/p>\n
Oltre ai tre principali obiettivi di sicurezza citati, possiamo averne anche altri che oggigiorno sono considerati di rilevante interesse in relazione ad alcune specifiche tipologie di transazione: Autenticit\u00e0 \u2013 per essere certi che un messaggio o un documento sia attribuito al suo autore e a nessun altro; Non ripudio \u2013 per impedire che un autore possa disconoscere la paternit\u00e0 di un dato documento da lui redatto. Entrambe queste caratteristiche trovano applicazione nella FIRMA DIGITALE in cui vengono utilizzate specifiche tecniche che garantiscano sia l\u2019integrit\u00e0 del documento (hashing) sia la sua provenienza (crittografia).<\/p>\n
Premetto che la sicurezza informatica ha una storia trentennale: il primo virus informatico della storia, Brain A, \u00e8 arrivato nel 1986 direttamente dal Pakistan. Successivamente \u00e8 stata la volta nel 1989 di AIDS, un malware che presentava delle analogie fortissime con gli attuali ransomware. Da l\u00ec in poi ogni anno ha avuto i suoi virus particolari: il 1992 ha visto l\u2019arrivo di Michelangelo, il 1995 di Concept, mentre il millennio si \u00e8 chiuso con Happy 99 (che pu\u00f2 essere definito come il primo malware dell\u2019era web). Il nuovo millennio si \u00e8 aperto con Melissa e Loveletter, mentre il 2003 \u00e8 stato l\u2019anno sia del primo attacco riuscito contro un\u2019infrastruttura critica, la compagnia di trasporto Usa Csx, che del primo virus mobile della storia. Andando avanti negli anni si arriva a nomi pi\u00f9 recenti come Zeus e Stuxnet: quest\u2019ultimo pu\u00f2 essere considerato come un vero e proprio spartiacque nella storia del malware, perch\u00e9 si \u00e8 dimostrato capace di colpire non solo l\u2019ambiente Windows ma anche i sistemi di automazione.<\/p>\n
Malware o \u201csoftware malevolo\u201d \u00e8 un termine generico che descrive un programma\/codice dannoso che mette a rischio un sistema.
\nOstili, invasivi e volutamente maligni, i malware cercano di invadere, danneggiare o disattivare computer, sistemi, reti, tablet e dispositivi mobili, spesso assumendo il controllo parziale delle operazioni del dispositivo. Proprio come l’influenza, interferiscono con il loro normale funzionamento.
\nLo scopo dei malware \u00e8 lucrare illecitamente a spese degli utenti. Sebbene i malware non possano danneggiare gli hardware fisici di un sistema o le attrezzature di rete (con un’eccezione \u2014 v. la sezione relativa a Google Android di seguito), possono rubare, criptare o eliminare i dati, alterare o compromettere le funzioni fondamentali di un computer e spiare le attivit\u00e0 degli utenti senza che questi se ne accorgano o forniscano alcuna autorizzazione.<\/p>\n
I ransomware comprendono anche il tanto temuto cryptolocker ,sono virus informatici che rendono inaccessibili i dati dei computer infettati e chiedono il pagamento di un riscatto per ripristinarli.
\nMa perch\u00e9 i cybercriminali riescono a concludere cos\u00ec spesso con successo i propri attacchi? Non \u00e8 soltanto un problema di scarse difese approntate, ma anche delle brecce su cui gli attaccanti possono contare. Che molto spesso coincidono con i dipendenti aziendali, nelle aziende di tutto il mondo \u00e8 ancora allarmante la carenza di consapevolezza relativa alla sicurezza IT. solo un dipendente su dieci (12%) \u00e8 pienamente consapevole delle policy e delle regole di sicurezza IT stabilite dall\u2019azienda per cui lavora.
\nNon solo: ben il 24% dei crede che la propria azienda non abbia stabilito alcuna policy \u00c8 per\u00f2 interessante notare come l\u2019ignoranza delle regole non venga considerata una scusante si pensa, infatti, che tutti i dipendenti \u2013 se stessi inclusi \u2013 dovrebbero assumersi la responsabilit\u00e0 della protezione delle risorse IT aziendali dalle minacce informatiche.
\nDate queste premesse, i dipendenti non corrono solamente il rischio di diventare in prima persona vittime dei cyber criminali ma rischiano di rendere vittime la propria azienda dalle minacce informatiche. La priorit\u00e0 delle organizzazioni dovrebbe essere dunque quella di impegnarsi nell\u2019educazione dello staff e nell\u2019installazione di soluzioni potenti ma anche semplici da usare e gestire, che permettano di migliorare la protezione dell\u2019azienda anche a chi \u00e8 meno esperto di sicurezza IT. Anche le aziende di piccole e medie dimensioni dovrebbero avvalersi di regolari training di formazione sull\u2019importanza della sicurezza IT per lo staff e di soluzioni personalizzate.<\/p>\n
Negli ultimi anni molti investimenti aziendali in sicurezza sono stati spinti dall\u2019entrata in vigore del GDPR. Innanzitutto c\u2019\u00e8 da osservare che la nuova normativa europea pone un focus specifico sulla sicurezza delle informazioni, tanto che c\u2019\u00e8 un articolo dedicato, il numero 32, che assicura delle indicazioni chiare e prescrittive. Occorre poi considerare che se l\u2019obiettivo del GDPR \u00e8 tutelare i diritti dei cittadini in materia di privacy, \u00e8 chiaro che questo diritto non possa prescindere da trattamenti che presentino misure di sicurezza adeguate. Tutto questo cambia la prospettiva della sicurezza: con il GDPR il titolare viene responsabilizzato (la cosiddetta accountability), chiedendogli di valutare nel suo contesto e in relazione ai suoi rischi quali siano le misure di sicurezza pi\u00f9 adeguate per garantire la tutela dei dati. In questo senso un altro elemento fondamentale introdotto \u00e8 la richiesta di effettuare una valutazione dei rischi a cui le informazioni sono soggette, con gradi di complessit\u00e0 differenti a seconda delle organizzazioni. In buona sostanza il GDPR costringe tutti quelli che hanno a che fare con i dati di cittadini europei a occuparsi di sicurezza e a pensare in una prospettiva di gestione del rischio, ossia un atteggiamento che sinora era appannaggio soltanto delle grandi aziende (e neanche tutte in realt\u00e0).<\/p>\n
Se da un lato \u00e8 indubbio che la gestione della sicurezza informatica sia diversa a seconda della dimensione aziendale, \u00e8 possibile comunque tracciare alcuni principi base che aiutano a capire come ci si pu\u00f2 difendere in maniera efficace. Una buona politica di sicurezza si compone perlomeno di cinque fasi successive:<\/p>\n
Pi\u00f9 in generale, una delle prime cose da mettere in atto \u00e8 sviluppare una cultura interna: \u00e8 inutile installare delle misure di sicurezza roboanti se poi il proprio personale continua a fare click su qualunque cosa riceva per email. In secondo luogo, visto che lo chiede il GDPR e non solo, serve un approccio orientato ai rischi, che serva a calibrare le scelte, in funzione anche dei budget presenti. Con un buon sistema di prevenzione attiva e scansioni regolari \u00e8 poi possibile ridurre al minimo la minaccia di una perdita di dati per mano dei criminali informatici. Vitale \u00e8 poi eseguire un backup regolare, che permette una continuit\u00e0 di accesso alle informazioni, che rappresenta una dimensione fondamentale della sicurezza IT.<\/p>\n
In che modo il canale IT pu\u00f2 affrontare il mondo della sicurezza? Occorre partire dalle basi: la cybersecurity \u00e8 sempre pi\u00f9 una priorit\u00e0 strategica per ogni azienda e organizzazione al mondo, indipendentemente da dove risiedono i dati. Quello che davvero \u00e8 cambiato \u00e8 il modello di business con cui le aziende operano, che rende inevitabile un salto di qualit\u00e0 da parte degli specialisti della sicurezza, che devono essere capaci di garantire il supporto necessario ai propri clienti e creare un valore aggiunto per i propri clienti, mixandolo con il giusto grado di innovazione. Anche perch\u00e9, oltre agli attacchi degli hacker, le aziende devono guardarsi dall\u2019eccessivo affollamento del mondo della security, che conta circa 2000 societ\u00e0 presenti sul mercato. Ai consulenti della sicurezza, dunque, spetta l\u2019arduo compito di selezionare quelle pi\u00f9 adatta per ogni specifica esigenza aziendale, rendendo pi\u00f9 semplice possibile la necessaria integrazione delle tecnologie e piattaforme.<\/p>\n
Usufruire di sistemi presenti a fine supporto di mantenimento, crea altri tipi di vulnerabilit\u00e0.
\nAvere in produzione macchine con sistemi operativi obsoleti non pi\u00f9 aggiornati rende vulnerabile la nostra infrastruttura.
\nUtilizzare gli aggiornamenti rilasciati preclude tutte le minacce riscontrate adeguando l\u2019integrit\u00e0 del sistema.
\nL\u2019impiego di attrezzatura non conforme \u00e8 un chiaro esempio per essere vulnerabili agli attacchi esterni.
\nSi consiglia quindi di prendere provvedimenti sull\u2019impiego di dotazioni che siano sempre efficienti ,aggiornate
\nPer avere un\u2019analisi della propria infrastruttura e per conoscere questo argomento in maniera approfondita ,SMEUP ICS e il suo team sono lieti di affiancare la tua impresa per riuscire insieme a rendere pi\u00f9 sicuro il tuo Lavoro!<\/p>\n