Cyber Security, che cosa si intende e come introdurla in azienda

Le minacce informatiche si stanno facendo sempre più complesse e sofisticate, mettere in sicurezza la propria azienda significa proteggerla da fughe di dati, breach o altri cyber crimini che possono rallentare o interrompere il proprio business. Ma come possiamo difenderci?

Innanzitutto, facciamo un po’ di chiarezza: con il termine cyber security intendiamo tutte quelle operazioni volte a mettere in sicurezza computer, dispositivi mobili, reti informatiche, software, applicazioni e dati relativi a persone, imprese e istituzioni.

‍

Ad un primo sguardo potrebbe sembrare che a doversi preoccupare della cyber security debbano essere solo le grandi aziende con strutture informatiche altamente tecnologiche o big data salvati in cloud ma ormai, nel mondo iper-connesso di oggi, tante informazioni si trovano salvate sui nostri dispositivi ed è proprio nella responsabilità e nelle abitudini dei singoli che spesso si determina il reale livello di sicurezza informatica di una azienda.

Perché è importante parlare di Cyber Security in azienda?

La cyber security rappresenta ormai una delle maggiori sfide della nostra epoca.

Con i processi di digital adoption ed una sempre maggiore  diffusione delle tecnologie digitali nelle imprese, sono infatti aumentati anche i rischi legati alla vulnerabilità informatica. Secondo quanto emerge dal rapporto 2021 del CLUSIT (cui Digital Attitude è associata ) proprio nell'ultimo anno abbiamo registrato il record negativo degli attacchi informatici con un aumento pari al 12%rispetto all'anno precedente, una tendenza in crescita costante negli ultimi quattro anni: 66% di attacchi in più rispetto al 2017.

Inoltre, anche l’Osservatorio Cybersecurity & Data Protection del Politecnico di Milano ha evidenziato un incremento del 40% di cyber attacchi nel 2020. Tuttavia, in tutto questo c’è anche una nota positiva: c’è stato anche una crescita degli investimenti, soprattutto in materia di endpoint security (protezione di ciascun dispositivo) e network & wireless security (protezione dell’infrastruttura di rete), segno di un maggior interesse da parte delle imprese in questo campo.

Eppure, è bene ricordare che correre ai ripari dopo un cyberattacco può essere molto più costoso rispetto ad un investimento a monte in materia di sicurezza informatica. Infatti,i leader dovrebbero guardare al problema della cyber security come un processo on-going e sistemico, il quale determina ovviamente anche un approccio diverso agli investimenti aziendali in materia.

‍

Quali sono alcune delle principali minacce in tema di Cyber Security?

‍

Phishing,si tratta di e-mail ingannevoli, create ad hoc per essere il più veritiere possibili alle fonti affidabili. Lo scopo è sottrarre dati sensibili o carte di credito.

Malware,è un termine generico per indicare tutti quei software il cui scopo è ruba informazioni, creare danni al dispositivo o criptare dati.  

Ransomware,è un tipo di malware che blocca l’accesso al proprio dispositivo o a determinati file, per accedervi viene richiesto un riscatto. Lo scopo è estorcere denaro.

Social engineering,è un attacco molto sofisticato che consiste nello studiare i dipendenti col fine di manipolarli per ottenere informazioni. Questo tipo di cyber attacco non sfrutta la debolezza dei sistemi informatici ma le persone e i loro meccanismi psicologici.

Come introdurre la cybersicurezza (in quanto processo e attitudine) in azienda?

In primo luogo, è necessario effettuare dei test per capire quali sono le eventuali falle a livello tecnico con tool specifici come il penetration test.
Successivamente, vanno pensate a livello strategico delle policy ad hoc soprattutto nel caso di operazioni sensibili, come ad esempio l’utilizzo dell’autenticazione a due fattori (2FA).

Ciononostante, guardando alla cyber security come un processo on-going, è necessario soprattutto diffondere una cultura e delle corrette abitudini in ogni singola individuo poiché, nonostante tutte le procedure di sicurezza tecnica, moltissimi cyberattacchi sono determinati dalle “cattive abitudini” delle persone, le quali diventano malauguratamente l’anello debole del sistema di sicurezza aziendale. Infatti, ancora il CLUSIT nel suo report del 2019 ricordava che:

“la maggior parte degli incidenti di sicurezza è legata ad errori umani: utilizzo di password deboli e non alfanumeriche, accesso di device aziendali a connessioni pubbliche, navigazione in siti non sicuri e il trasporto di dati sensibili con chiavi USB non cifrate (si stima che siano circa l’80%-90% degli incidenti) confermando come il fattore umano sia, anche per la sicurezza informatica, l’anello debole del sistema. Solo in Italia si è stimato che circa il 53% degli attacchi sono dovuti a cause endogene (…) e a queste si sommano gli attacchi di phishing e spear phishing che provocano impatti significativi sull'azienda sia in termini di frodi e dati rubati che come incremento dei costi operativi per il ripristino dagli incidenti occorsi”.

Quindi, oltre alla messa in sicurezza dei processi, delle reti e degli strumenti diventa davvero essenziale lavorare sulle persone e sulle loro abitudini. Una soluzione digitale innovativa arriva da hi | habit-inspiring platform, una digital coach capace di allenare ogni dipendente in azienda a costruire buone pratiche e corrette abitudini, anticipando l’evenienza negativa legata al tema cyber e innovando il paradigma in termini di formazione non più ex-ante ma contestuale e on the job.

Le specifiche caratteristiche e attività inserite nel coaching plan sono appositamente studiate eco-disegnate con le principali figure in azienda dedicate alla cyber security.

Per maggiori informazioni e approfondimenti contattaci.  

Cyber Security: Frequently Asked Question

‍

Che cosa è la cyber security?

Con il termine cyber security intendiamo tutte quelle operazioni volte a mettere in sicurezza computer, dispositivi mobili, reti informatiche, software, applicazioni e dati appartenenti a persone, imprese e istituzioni.

Perché la cyber security è importante per le aziende?‍

Nell'ultimo anno abbiamo registrato il record negativo degli attacchi informatici con un aumento pari al 12% rispetto all'anno precedente (dati CLUSIT 2021), gli attacchi non hanno riguardato solo determinati settori o specifiche aziende tecnologicamente avanzate. Nel mondo iperconnesso di oggi nessuna azienda è davvero “al sicuro”.

‍

Quali sono i principali tipi di attacco informatico?

I più comuni e principali tipi di attacco sono il phishing e i malware, nel primo caso si tratta di e-mail ingannevoli il cui scopo è sottrarre dati sensibili o carte di credito. Mentre i malware sono tutti quei software il cui scopo è rubare informazioni, creare danni al dispositivo o criptare dati per estorcere denaro.

‍