Cybersecurity: le misure di sicurezza avanzate

La recente approvazione della Direttiva NIS2, introducendo nuovi obblighi in tema di cybersecurity, ha nuovamente innalzato l’attenzione di società e imprese che, troppo spesso, trascurano l’applicazione e l’implementazione di misure di sicurezza informatiche, facendosi trovare impreparate e vulnerabili.

Il CLUSIT, l’Associazione Italiana per la Sicurezza Informatica, nell’edizione di ottobre del Rapporto 2022 sulla Sicurezza ICT in Italia, ha evidenziato una situazione drammaticamente allarmante: nel solo primo semestre dell’anno 2022, si sono registrati 1.141 attacchi, con un aumento dell’8,4% delle violazioni registrate rispetto al semestre dell’anno precedente.

I dati sono ancor più allarmanti se analizziamo i dati degli ultimi undici anni, poiché dai rilevamenti del CLUSIT stesso, sarebbero 15.000 gli attacchi informatici gravi, 8.285 dei quali si sono verificati nell’ultimo quadriennio, circostanza che ha evidenziato una accelerazione esponenziale delle minacce.

Il sommerso

Rispetto a tali dati, peraltro, è opportuno considerare la sussistenza di due fattori che rendono parziali i rilievi: in primo luogo questi si basano esclusivamente su notizie di “pubblico dominio” e non considerano gli incidenti che rimangono “segreti”; in secondo luogo, i dati analizzati riguardano i cc.dd. “attacchi diretti” o cyber attacchi, senza comprendere tutti quegli incidenti derivanti da fenomeni quali calamità naturali, o problemi accidentali che società e imprese si trovano a fronteggiare. È plausibile, quindi, supporre che la realtà analizzata dal rapporto, rappresenti uno scenario decisamente meno critico rispetto alla realtà.

Eppure, nonostante dati così allarmanti, aziende e società, ancora oggi, sono del tutto ignare delle misure di sicurezza informatiche da attuare per contrastare incidenti e data breach.

Prima di procedere con un’analisi dettagliata delle singole misure applicabili, è necessario partire da una definizione di sicurezza informatica, che può essere descritta come l’insieme di prodotti, servizi, regole organizzative, procedure e comportamenti individuali che proteggono i sistemi informatici di un’azienda, al fine di garantire la sicurezza delle informazioni. Insomma, la sicurezza informatica serve a proteggere i sistemi aziendali da attacchi dannosi che mirano all’accesso abusivo, alterazione o distruzione dei dati.

E proprio nell’ottica di un contenimento di questi attacchi, quando parliamo di sicurezza informatica non possiamo non partire dal concetto di prevenzione, che è la prima misura essenziale. Solo attraverso l’adozione di un buon sistema di prevenzione attiva, infatti, è possibile ridurre la minaccia di una perdita di dati.

Come prevenire?

Abbiamo già fornito spunti di riflessione sulle misure di sicurezza minime, quelle che tutte le aziende “dovrebbero” adottare. Ma ci sono strumenti ulteriori, con prerogative e finalità maggiormente specifiche, che ci permetteranno di comprendere quali siano maggiormente confacenti alla singola realtà organizzativa.

Parola d’ordine: tornare operativi immediatamente!

Nessuna organizzazione può permettersi di ignorare un piano di Disaster Recovery, attraverso cui ripristinare i sistemi, il più rapidamente possibile.

Il Piano di Disaster Recovery è un documento al cui interno sono incluse istruzioni specifiche e dettagliate che rispondono ad incidenti non pianificati quali, attacchi informatici, blackout, disastri naturali e qualunque altro evento che possa comportare una interruzione. Più nel dettaglio, è l’insieme delle misure tecniche e organizzative adottate a seguito di eventi che hanno provocato una indisponibilità prolungata, che assicurano il ripristino del funzionamento dei sistemi aziendali. Si ricorda che un Piano di Disaster Recovery efficace, affronta tutti i tipi di interruzione delle operazioni e non solo gli eventi più “plausibili” perché le interruzioni possono essere causate dalle più svariate ragioni: eventi naturali, errore umano, attacco informatico, interruzione fortuita di servizi essenziali etc.

Come garantire una continuità operativa? Business Impact Analysis e Business Continuity.

Vi sono, poi, organizzazioni per le quali si rende indispensabile la continuità dei propri servizi, al fine di garantire la corretta e costante erogazione del servizio. Rispetto a tale esigenza, è doveroso analizzare la Business Impact Analysis e la Business Continuity.

La Business Impact Analysis (BIA) è uno strumento che consente la determinazione dell’impatto e le conseguenti ricadute sul business aziendale di eventi, di diverso genere e tipo, che causano l’interruzione dell’erogazione dei servizi aziendali o il fermo della produzione. Al fine di procedere ad una corretta e completa analisi d’impatto, si richiede l’identificazione di tutti i disservizi che comporterebbero l’interruzione del processo lavorativo per cause interne o esterne. Nello specifico, partendo da una puntuale mappatura dei processi aziendali, si individuano e valutano i singoli processi aziendali stessi, per poi determinarne la rilevanza ai fini della continuità operativa. Conseguentemente si predispongono le più opportune considerazioni rispetto all’impatto che conseguirebbe al verificarsi di scenari che minacciano la prosecuzione dell’attività.

Ancor più avanzato, è il Business Continuity Plan, che permette ad aziende e società di dotarsi di un documento attraverso cui si sono precisamente delineate le attività che garantiscono la continuità aziendale durante interruzioni non pianificate dei servizi. Rispetto al piano di Disaster Recovery, di cui già abbiamo parlato, il Business Continuity Plan risulta essere più completo, poiché, sulla scorta delle esigenze aziendali può comprendere veri e propri piani di emergenza per ogni singolo elemento aziendale: processi, beni, risorse umane, supply chain, etc. Ovviamente non sempre è necessario e possibile ma per alcune realtà è fondamentale (pensiamo per esempio a ospedali o a e-commerce che ogni minuto fatturato migliaia di €)

La ratio di tale piano è di ristabilire la produttività degli uffici e dei software aziendali, sì da poter garantire che le esigenze aziendali principali vengano soddisfatte.

È evidente, quindi, come un buon piano di Business Continuity non possa prescindere da un piano di Disaster Recovery, che è componente fondamentale per determinare le strategie da attivare per gestire le interruzioni dei sistemi.

Prevenire è meglio che curare. Come scoprire il nostro livello di sicurezza informatica: Vulnerability Assesment e Penetration Test.

In un’ottica di prevenzione ancor più consapevole e mirata, infine, non possiamo non prendere in considerazione Vulnerability Assesment e Penetration Test, attraverso cui è possibile “testare” la resistenza dei propri sistemi ed analizzare i propri livelli di sicurezza informatica.

Per Vulnerability Assesment si intende un processo volto ad identificare, classificare e correggere, in termini di sicurezza, le mancanze, le carenze, i difetti dei sistemi informatici di un’azienda. Il chiaro obiettivo di tale strumento è l’identificazione di ogni vulnerabilità e dei danni potenziali che un eventuale attacco può infliggere all’unità produttiva. Quanto, invece, al Penetration Test, questo processo è volto all’analisi, attiva e passiva, di un sistema informatico o di una rete, finalizzato alla dimostrazione di sussistenza dei requisiti di sicurezza degli stessi. Attraverso la simulazione di attacchi informatici, quindi, si verificano eventuali punti deboli, difetti tecnici e vulnerabilità determinate, ad esempio, da possibili problemi nella progettazione.

Alla luce di quanto abbiamo appena analizzato, è evidente come i danni subiti a seguito di un attacco informatico non siano traducibili, esclusivamente, in termini economici, perché le conseguenze che rilevano a seguito di una perdita di informazioni e dati sensibili, anche solo rivelatasi successivamente potenziale, hanno una portata ben maggiore in termini di ore di produzione perse, danni alla strumentazione informatica e, soprattutto, in termini di danno all’immagine e reputazionale. Per questi motivi e per i sempre più crescenti attacchi informatici cui stiamo, inermi, assistendo nel recente periodo, la prevenzione dovrebbe essere la parola d’ordine, al fine di tendere, progressivamente, verso soluzioni di sicurezza informatica ponderate e calibrate sulle specifiche esigenze delle organizzazioni.

Cybersecurity: le misure di sicurezza minime