I rischi digitali nell’operatività aziendale quotidiana: come ridurre la superficie di attacco.

– GLI HIGHLIGHTS –

Questo Webinar fa parte di un ampio programma educativo/formativo, realizzato da Citel con lo scopo di aiutare imprese e associazioni a innalzare il loro livello di conoscenza e consapevolezza nell’ambito di security e safety.

Affrontiamo la tematica del perimetro cibernetico: come si definisce e come si protegge dal punto di vista legale e tecnico.

Senza dimenticare che la sicurezza fisica oggi è sempre più parte integrante del perimetro cibernetico, con device intelligenti su IP, quali videocamere, sensori, ecc. che devono quindi sottostare alle best practice della sicurezza cibernetica.

Citel vuole creare un collegamento tra questi due mondi che si occupano della stessa materia – protezione degli asset e delle persone che lavorano in azienda – affrontandoli da due prospettive diverse e integrandoli, così da offrire ai clienti la migliore soluzione possibile.

Di seguito qualche spunto emerso nel corso dell’evento.


SCARICA QUI LA PRESENTAZIONE CON TUTTI GLI INTERVENTI.

 

Se ti sei perso l’evento e desideri rivederlo  CLICCA QUI


HIGHLIGHTS

 

Luca Leonessi – GECOM S.p.A. e CyberLabs S.r.l.

Ormai le guerre non si combattono più con le armi convenzionali ma con la tastiera di un PC, ed è per questo che dobbiamo rafforzare la sensibilizzazione e la consapevolezza sul reale valore dei dati personali o aziendali e sull’importanza di una loro gestione in sicurezza, anche per quanto riguarda le responsabilità che ne conseguono.

Giovanni Finetto – Fidem Cyber Security & Intelligence

La sicurezza richiede oggi un approccio olistico, passano dalla security fisica a quella cyber, concentrandosi sulla formazione, per migliorare la resilienza dell’anello debole della catena di protezione, ovvero il fattore umano. È poi importante che tutti questi temi vengano racchiusi all’interno di un perimetro legale in cui poter agire.

Paola Finetto – Avvocato

La presenza di un team legale e tecnico che supporti l’organizzazione nel momento in cui si verificano incidenti di sicurezza, ma ancor prima, quando è necessario costruire una struttura resistente e resiliente, è oggi un fattore cruciale.

Il legislatore europeo ha dedicato una grande attenzione alla protezione dei dati personali, definendoli un diritto fondamentale (considerando 1-GDPR).

Sta inoltre lavorando intensamente per adottare un regolamento di protezione di tutti i dati, anche quelli non strettamente relativi alle persone fisiche.

Oggi il riferimento normativo in materia di protezione dei dati personali è il regolamento UE 2016/79 (GDPR), ma insieme al D.Lgs 196/2003, il cosiddetto codice della privacy, ancora in vigore in Italia.

Nel 2018, poi la normativa italiana è stata adeguata pienamente a quella europea con l’adozione del D.Lgs 101, per evitare sovrapposizioni in materia.

A novembre 2020, infine, la Commissione Europea ha sottoposto alle istituzioni una proposta di Regolamento per la protezione dei dati in generale, e non solo personali (ad esempio file e documenti aziendali riservati).
Per quanto riguarda più specificamente la cyber security, già nel 2010, la commissaria europea per gli Affari Interni Cecilia Malmström, evidenziò la necessità di implementare un sistema europeo di sicurezza cibernetica. In quell’anno venne adottato dalla Commisisone il progetto Europa 2000 con una serie di obiettivi da raggiungere entro il 2020, tra i quali l’agenda digitale europea, per favorire lo sviluppo tecnologico e rafforzare allo stesso tempo la sicurezza informatica: un problema che incrinava la fiducia dei consumatori nei confronti degli strumenti digitali.

La pandemia, con l’aumento delle connessioni e dello smart working ha dato un forte impulso alla necessità di protezione delle reti e dei sistemi, perciò la Commissione Europea sta esaminando la proposta di una direttiva Nis 2 per potenziare questo aspetto.

È importante affrontare la tematica della protezione dei dati e della cyber security in un’ottica di gestione virtuosa ed efficace dei rischi d’impresa: in azienda non può per questo mancare un risk assessment periodico, perché le strutture e i rischi associati sono in continua evoluzione.

Giovanni Finetto – Fidem Cyber Security & Intelligence

Nel global risk report 2021, pubblicazione annuale del World Economic Forum che evidenzia i principali rischi che potrebbero cambiare la nostra vita, in ordine di priorità e a livello di probabilità di accadimento, i rischi legati a problemi di cyber security sono ben presenti nella top ten. Anche per quanto riguarda l’impatto, nella lista dei 10 principali rischi è inserito il break down dei sistemi IT.

L’innovazione dei processi nell’industria 4.0, ad esempio con linee produttive robotizzate e connesse, rende oggi necessario monitorare costantemente la superficie d’attacco.

Enrico Marcolini – Dottor Marc Srl

Un esempio concreto di rischio è quello legato all’utilizzo di software non acquistati con licenza ufficiale. Installare un software o un’applicazione su un dispositivo digitale, significa permetterne l’accesso a terze parti. Ovviamente in questi casi se il software proviene da fonti non affidabili il fattore rischio è elevato.

Parlando di antivirus, esiste una piramide della protezione. Gli antivirus di base del sistema operativo sono molto diffusi e facilmente aggirabili, perciò molti si rivolgono agli antivirus gratuiti, scaricabili da internet. La percezione di essere protetti in questo caso può però rappresentare un ulteriore rischio. Al livello superiore si trovano gli antivirus a pagamento, che garantiscono una buona protezione, ma non tutti gli utenti sono in grado di gestirli correttamente.

Al vertice della piramide della protezione è perciò collocato l’antivirus a pagamento, ma gestito e monitorato dai professionisti di una centrale operativa.

Giovanni Finetto – Fidem Cyber Security & Intelligence

Oggi, in particolare con lo sviluppo dello smart working, il cosiddetto perimetro fisico dell’azienda non esiste praticamente più; si parla perciò di perimetro cibernetico, ovvero di una superficie d’attacco ampia e complessa costituita dalla somma di tutti gli indirizzi Ip e degli account digitali in utilizzo all’azienda e ai dipendenti.

In questo scenario parlare di sicurezza è fondamentale: prima di tutto va identificata la superficie d’attacco, ovvero vanno mappati gli asset che rientrano nel perimetro e analizzate continuamente le loro vulnerabilità, perché le minacce si evolvono.

Enrico Marcolini – Dottor Marc Srl

Nel momento in cui si espone in rete una parte dell’infrastruttura, la superficie di attacco si amplia, ma in uno spazio cibernetico, così come in uno fisico, il dogma deve essere rendere più costoso entrare rispetto al valore presente all’interno.

Va inoltre ricordato che in tema cyber nessuno regala qualcosa senza un secondo fine: persino chiavette usb o caricatori per smartphone e pc potrebbero nascondere delle insidie per la sicurezza.

Altro esempio di un problema di sicurezza emerso di recente, è che in alcuni casi i documenti salvati su un nas installato in modo “artigianale” risultano accessibili da chiunque conosca l’indirizzo ip dell’utente.

Come si verifica un attacco informatico?

I vettori d’attacco possono essere molteplici, dalle email con allegati malware, accessi wifi, accessi illeciti al sito web che fanno da ponte alla rete interna…

Giovanni Finetto – Fidem Cyber Security & Intelligence

Il Framework Nazionale per la Cybersecurity e la Data Protection è l’applicazione pratica di quanto indicato nell’art 32 del GDPR, e rappresenta il documento di riferimento per orientarsi sulle azioni da intraprendere per difendere il perimetro informatico.

È molto importante gestire in maniera sinergica lo strumento informatico con l’esigenza normativa alla quale siamo chiamati ad aderire per legge (GDPR).
Tra gli obiettivi dei moderni sistemi di cyber defence:

  • difesa perimetro cibernetico;
  • difendere i dati sensibili aziendali;
  • garantire la continuità aziendale;
  • proteggere le figure apicali dell’azienda, responsabili per legge anche a livello penale.

Enrico Marcolini – Dottor Marc Srl

Un “attaccante” cerca sempre di identificare tuti i punti di accesso, e allo stesso modo l’azienda deve essere in grado di conoscerli per proteggerli adeguatamente.

Perché allora non utilizzare gli stessi strumenti dell’attaccante per effettuare controlli sulla propria rete interna ed esterna?

L’automazione e la semplificazione del monitoraggio della superficie di attacco e di un’eventuale risposta è oggi possibile grazie a Phalanx, strumento di monitoraggio del perimetro cibernetico in grado di rilevare e censire ogni eventuale vulnerabilità e integrabile con moltissime funzionalità, ma anche di risolvere dinamicamente le “scoperture” e gestire gli incidenti informatici.

Phalanx si propone come una piattaforma che con diverse migliaia di controlli automatizzati in scansione continua, offre in maniera olistica tutto l’approccio alla protezione dei dati: una common operational picture del mondo data protection, nonché primo livello di protezione di cyber security.

Alfonso De Paola – CyberLabs S.r.l

Una componente umana adeguatamente formata è fondamentale nella riduzione del rischio.

In base all’art 32 del GDPR, il titolare e il responsabile del trattamento dei dati devono garantire che il personale sia formato e consapevole dei rischi.

Oltre a essere un obbligo di legge, questo punto è assolutamente necessario perché quasi sempre un attacco è causato da disattenzione umana.

Anche il rapporto Clusit sulla sicurezza ICT in Italia, evidenzia la natura degli attacchi informatici – cresciuti del 12% nel 2020 – e sottolinea come sia importante la formazione all’interno delle aziende, al fine di contrastare gli attacchi più comuni come quelli perpetrati tramite phishing.