Certificare i sistemi – tra Privacy, GDPR e Cybercrime
Cyber Security e Information Security: sono la stessa cosa?
Prima di guardare da vicino gli aspetti principali che riguardano il mondo della Security è bene fare una prima chiarezza, distinguendo due termini tra loro apparentemente simili: Cyber Security e Information Security.
Per Information Security si intende l’insieme delle misure e degli strumenti finalizzati a garantire e preservare confidenzialità, integrità e disponibilità delle informazioni. La Cyber Security si focalizza invece su aspetti esclusivamente di sicurezza IT ed è definita come l’abilità di difendere il cosiddetto cyberspace da eventuali attacchi hacker.
Information Security è dunque un concetto più ampio che abbraccia la sicurezza informatica nel suo complesso, facendo riferimento alla protezione dei dati in qualsiasi forma e includendo anche aspetti organizzativi e di sicurezza fisica. Inutile dire, che in un momento della storia in cui il digitale è pane quotidiano, Cyber e Information tendono a convergere in un concetto di Security in cui la sicurezza IT assume un peso sempre maggiore. Aldilà di sottigliezze terminologiche, lo scopo di questa guida è offrire un quadro esaustivo sul tema a imprese e Pubbliche Amministrazioni che intendono fronteggiare la sfida per nulla scontata della protezione del proprio patrimonio informativo.
Quali sono i principi cardine per una corretta gestione della Cyber Security e quali sono i nuovi ruoli e competenze di cui necessitano le aziende? Come incidono i Big Data, l’Internet of Things, il Mobile e gli altri trend dell’innovazione digitale? Come contrastare le minacce derivanti da Cybercrime e attacchi hacker? Tutte domande a cui si darà risposta in questa guida.
Immancabile in questo quadro anche il ruolo del GDPR (all’anagrafe General Data Protection Regulation), che dal 25 maggio 2018 sovvertirà le carte in materia di Privacy e trattamento dei dati personali. Parleremo anche di questo nuovo Regolamento, sottolineandone le novità, i suoi effetti sui processi aziendali e il percorso corretto di adeguamento. Una cosa è certa, che si parli di Information Security o più strettamente di Cyber Security, è il “dato” il protagonista assoluto.
I principi di gestione della sicurezza informatica
gestione sicurezza informatica
Gestire la sicurezza informatica in un’organizzazione vuol dire essenzialmente garantire la protezione del patrimonio informativo e, quindi, la sicurezza dei dati informatici aziendali. Ma come assicurarsi una corretta e adeguata gestione dei dati? Strategie, attività, ruoli, competenze, possono essere diverse, ma ogni strategia di Information o Cyber Security si basa sempre su tre principi fondamentali: confidenzialità, integrità e disponibilità dei dati. Tali principi devono essere ricercati in ogni soluzione di sicurezza, tenendo conto anche di eventuali rischi e vulnerabilità. Scopri di più…
Information e Cyber Security in Italia
Quella della Security è un tema che riguarda le aziende di ogni dimensione. Che siano grandi aziende (sopra i 249 addetti) o PMI (tra i 10 e 249 dipendenti), la focalizzazione sulla sicurezza rimane necessaria. L’ Osservatorio Information Security & Privacy, annualmente analizza un ampio campione di imprese, e lo fa prendendo in considerazione i diversi aspetti che incidono sulla gestione consapevole della sicurezza informatica aziendale. Tali aspetti non sono da intendersi come fasi da implementare in maniera sequenziale, ma come parte di un approccio complessivo.
Cybercrime: quali reati informatici minacciano la sicurezza aziendale?
n ambito Cyber Security e sicurezza informatica, le più rilevanti minacce provengono nella maggior parte dei casi da agenti che operano all’esterno del perimetro aziendale. Parliamo di fenomeni molto noti nella sfera del mondo IT: vale a dire “cybercrime” e “hacktivism”.
Chi sono i “criminali informatici”
Viene definito “cybercriminale” un soggetto che, spinto da motivazioni criminose, effettua, singolarmente o tramite una vera e propria associazione, attacchi informatici attraverso l’uso di Internet (ad esempio al fine di estorcere denaro o trafugare informazioni vitali per l’organizzazione).
Un “hacktivist” invece è colui che mira alla realizzazione di determinati obiettivi sociali e politici attraverso la pirateria informatica.
Dalla Ricerca dell’Osservatorio Information Security & Privacy emerge però una sorpresa: le fonti di attacco sono spesso anche interne all’azienda. Tra i soggetti che rappresentano un pericolo per la sicurezza spiccano infatti anche categorie di persone che hanno rapporti più stretti e continuativi con l’azienda, come i lavoratori attuali (indicati dal 49% delle organizzazioni intervistate) ed i collaboratori e consulenti aziendali (30%).
I principali crimini informatici
Le principali minacce riscontrate negli ultimi anni dalle aziende sono state:
infezioni da malware: il termine “malware” identifica applicazioni dannose finalizzate ad arrecare danno alla vittima, per esempio tentando di accedere segretamente a un particolare dispositivo senza che l’utente ne sia a conoscenza per raccogliere informazioni, creare malfunzionamenti o criptarne i dati.
attacchi di phishing: per “phishing” si intendono i tentativi di frode informatica volti a carpire i dati sensibili degli utenti. Generalmente un attacco di phishing si traduce nell’invio di e-mail, contenenti indicazioni e loghi “familiari”, con cui si invita la vittima a fornire informazioni riservate (ad esempio password, codici di accesso o dati della carta di credito).
spamming: con tale espressione si intende normalmente l’invio imponente e indiscriminato di messaggi di posta elettronica senza il consenso del destinatario. Si tratta solitamente di e-mail aventi contenuto pubblicitario.
attacchi DoS/DDos: gli attacchi di tipo DoS (Denial of Service) sono finalizzati a interrompere la continuità di servizio, rendendo inaccessibili i servizi presi di mira. Possono essere messi in atto generando un numero eccessivo di richieste al server o un volume di traffico maggiore rispetto alla banda disponibile, saturando le risorse a disposizione. Gli attacchi di tipo distribuito (DDoS) vengono generalmente veicolati tramite un insieme di dispositivi connessi alla rete (botnet).
attacchi ransomware: un “ransomware” è un particolare tipo di malware che, dopo aver limitato o impedito del tutto l’accesso al sistema infettato, per esempio criptando i file presenti su un dispositivo, richiede una somma di denaro da pagare per la sua rimozione. Tale tipologia di attacco offre un importante vantaggio ai cybercriminali, in quanto comporta una perdita monetaria relativamente contenuta per le vittime, le quali pertanto sono maggiormente inclini a pagare il riscatto al fine di rientrare in possesso del proprio dispositivo e dei propri dati.
Il Cybercrime tra errori umani e limiti organizzativi
I tipi di vulnerabilità che maggiormente impattano in maniera negativa sulla sicurezza aziendale riguardano la scarsa consapevolezza dei dipendenti rispetto alle policy e alle buone pratiche di comportamento introdotte in azienda, la distrazione degli utenti, l’accesso in mobilità alle informazioni aziendali e la sempre più diffusa presenza di dispositivi mobili personali, spesso utilizzati anche per scopi lavorativi.
Accanto alle vulnerabilità di tipo tecnologico, dovute per esempio all’arretratezza dell’architettura IT o al mancato aggiornamento dei sistemi, che possono essere prese di mira da hacker per perseguire i propri scopi malevoli, si stima che una percentuale cospicua degli attacchi informatici siano causati dal comportamento umano. I dipendenti spesso agiscono in maniera ingenua o inconsapevole, facilitando i cybercriminali nel bypassare le misure di sicurezza messe in atto dall’azienda.