InfoSec : è il momento di fare sul serio.

Evitiamo di trasformare l'urgenza in ritardo !
Sec_campus_digital_job

12 Giu InfoSec : è il momento di fare sul serio.

Lo so, il discorso lo capisco !

Solo le grandi aziende (multinazionali o corporate come meglio preferite)  sono bersaglio di BUD GUYS e CYBERCRIME.

Che bisogno c’è dunque di approcciare la tematica in maniera strutturata ed approfondita ?

Ormai di firewall più o meno ci si siam dotati tutti (fatta eccezione per la BC del Bangladesh). Antivirus e Malware, soprattutto free, ne abbiamo installato a profusione. Qualcuno si è addirittura spinto a fare hardening delle “public machine”, a mettere in sicurezza access point wiFi ed adottare politiche di “secure Password” [dadada].

Tutte queste chiacchiere sulla cyberSecurity, APT, Threat intelligence e cose varie valgono per poche, anzi pochissime, aziende.. per la maggior parte sono solo chiacchiere !

Il discorso lo capisco come ho detto..ma è FOLLEMENTE sbagliato e totalmente irreale.

Dal 2013 infatti la maggior parte degli attacchi avvengono contro Medie Organizzazioni e molto spesso mettendole in ginocchio tanto da minare addirittura la loro stessa presenza sul mercato.

Le Cyberthreats sono reali, gravi e in continua crescita, ed è il momento per le aziende di ogni dimensione di comprendere il mondo dove respirano e lavorano e di assumersi le responsabilità. Ora ! Domani può essere troppo tardi. Per le aziende e per l’intero nostro sistema produttivo ed economico.

Prima di provare a spiegare del perché dobbiamo sbrigarci vorrei farvi riflettere sulla crescita tecnologica e digito-demografica che ci aspetta nei prossimi anni (Fonte informativa McAfee – Previsioni Minacce 2016)

Scenario prossimi anni

I numeri crescono… le cose si complicano, l’urgenza presto si può trasformare in ritardo.

Cerchiamo allora di razionalizzare, in modo semplice, le motivazioni che devono spingerci ad affrontare l’argomento con l’impegno e la serietà che merita.

Minacce sofisticate richiedono contromisure adeguate

Firewall e antivirus, pur rappresentando una linea di difesa assolutamente necessaria, sono letteralmente insufficienti rispetto le minacce odierne. A solo titolo esemplificativo:

  • Gli attacchi sono sempre più sofisticati, subdoli e maledettamente mirati. Sfuggono spesso dal controllo di dispositivi basati sul concetto di “signature” e su ACL.
  • Le superfici di attacco crescono.
  • Le aziende sono de-perimetrate, si moltiplicano applicazioni e servizi, il cloud cresce esponenzialmente, i dispositivi mobile sono entrati nelle aziende pur non offrendo garanzie di sicurezza minime.
  • Le campagne di social Engineering sono sempre più mirate ed efficienti
  • IT Skills in riduzione. Più «cry for help» e meno «fix it yourself».
  • Poca consapevolezza da parte degli addetti ai lavori siano essi Manager, Architetti, Sviluppatori ed End Users.
  • Ultimo ma non per ultimo un’esposizione individuale volontaria incredibile accompagnata da una profonda mancanza di consapevolezza di rischi e conseguenze.

La lista non è assolutamente completa. Ci son migliaia di pagine scritte sull’argomento ( Io personalmente vi consiglio la pubblicazione ISACA Trasforming CyberSecurity. Ha un paio di anni ma è illuminante.) quindi mi fermo qui. Credo che la lista è sufficiente però a far riflettere di quanto misure minime e basilari di Security siano insufficienti e di come siano urgenti interventi più strutturati.

Risk Management & Treatment deboli, Nessuna assicurazione di CyberRisk e Data Loss

Troppo poche organizzazioni approcciano la gestione della Governance IT implementando realmente un processo di Risk Management e Treatment. E’ l’unico strumento che rappresenta lucidamente gli scenari che l’azienda si trova ad affrontare quotidianamente e che supporta nella corretta valutazione dei rischi associati.

Una mancanza che diventa ancora più pericolosa dal momento che il rischio “Cyber” non è molto spesso coperto da alcun tipo di assicurazione (Quando un’organizzazione è colpita, ad esempio da un incendio, il contenuto fisico solitamente   viene rimborsato. I dati e le informazioni perse NO!).

E molto spesso non si è coperti da assicurazione perché il mercato assicurativo fatica a proporre offerte convenienti. E fatica proprio perché, visto che la gestione del rischio è un’attività core di settore, gli assicuratori conoscono molto bene le minacce “world wide” e le vulnerabilità tecniche ed amministrative delle aziende. Riflettiamoci e iniziamo a muoverci.

A questo punto però mi fermo ed evito di continuare a scrivere.

Mi torna infatti alla mente un articolo letto qualche tempo fa e scritto dal mitico Raul Chiesa che si intitola Quelle verità mai dette sulla cyber securityche probabilmente in modo diverso (visto il contesto diverso dell’articolo che è, comunque, molto più approfondito ed autorevole di questo) contiene molti degli argomenti che stavo per trattare. Con la differenza che le informazioni “allarmanti” di cui parla Raul Chiesa oggi lo son ancor di più.

Penso allora che un quadro veloce dello scenario ve l’ho fatto e qualche buon motivo di spunto e riflessione comunque ve lo lascio. Che l’articolo di Raul Chiesa è ancora on-line e raggiungibile a questo indirizzo e quindi “poso la penna” invitandovi a leggerlo e riflettere.

A presto.

Ettore Galluccio
e.galluccio@digitalengineering.it
No Comments

Post A Comment