Cyber Security: prepariamoci all'impatto

 

il 1° Ottobre si è concluso a Verona il "Security Summit 2015" promosso da Clusit (Associazione Italiana per la Sicurezza Informatica).

Nel rapporto sulla sicurezza ICT in Italia aggiornato a Settembre 2015, dopo un'attenta analisi sono evidenziati i settori, che tendenzialmente, saranno maggiormente soggetti ad essere attaccati, che sono:

  • Social Network: le piattaforme del Social Networking saranno utilizzate non solo, come già avviene, come uno dei principali vettori di attacco per la diffusione di malware e per effettuare frodi basate su social engineering, ma anche come campo di battaglia nella lotta tra governi ed organizzazioni terroristiche. In questa ottica, gli utenti saranno oggetto di crescenti attività di psychological warfare e di perception management su larga scala.
  • POS, il tallone d'Achille del Retail : data la fragilità intrinseca dei sistemi POS rispetto all'evoluzione delle minacce occorse nel 2014, la difficoltà oggettiva nel sostituirli rapidamente e la facilità con i quali i criminali possono monetizzare questo genere di attacchi, questi apparecchi saranno sempre più bersagliati.
  • Internet of Things, il prossimo bersaglio : il rapidissimo sviluppo di device "smart" connessi in Rete, dai sensori per la domotica, agli elettrodomestici intelligenti alle automobili, non corrisponde ad oggi l'adozione di misure di sicurezza adeguate. Questo nuovo fronte di sviluppo dell'ICT sarà oggetto di crescente attenzione da parte di criminali e malintenzionati in genere, elevando in modo significativo il livello di rischio per aziende e privati cittadini.
  • Mobile, strategie da rivedere velocemente : la grande rapidità mostrata dagli attaccanti nel cambiare "modello di business" unita alla definitiva affermazione dei device mobili (smartphone, tablet) sui PC tradizionali implica un aumento sostanziale di attacchi verso questo genere di strumenti.
  • Ricatti ed estorsioni nei confronti di Aziende, PA ed Infrastrutture Critiche : la crescita inarrestabile del Cybercrime porterà alla ulteriore diffusione di quelle logiche estorsive. Gli attacchi di questo tipo saranno compiuti sia per ragioni economiche che politiche, consolidando un trend di crescente collaborazione tra gruppi cyber criminali e gruppi terroristici.

 Se il contesto descritto è inquietante, sempre all'interno del Rapporto Clusit vengono fornite alcune semplici regole che possono limitare la probabilità di compromissione del proprio computer e delle proprie credenziali e limitare l'impatto di azioni fraudolente, che sarebbe opportuno, che tutti seguissimo:

  • Diffidare da email non richieste o provenienti da mittenti sconosciuti o non credibili specie se invitano ad accedere a contenuti esterni alla mail come ad esempio cliccare su link o aprire allegati.
  • Assicurarsi di aver abilitato sul proprio antivirus la funzione di scansione link e le analoghe funzioni sul browser.
  • Usare la massima cautela nell'aprire allegati, attendere sempre che l'antivirus ne completi la scansione.
  • Mantenere aggiornato il Sistema Operativo e tutto il software applicativo, abilitando i meccanismi di aggiornamento automatico e verificandone periodicamente il corretto funzionamento.
  • Ridurre la superficie di attacco verificando periodicamente i plug-in installati all'interno di tutti i browser, rimuovendo quelli non necessari o non utilizzati recentemente, aggiornando quelli necessari e disabilitando i plug-in vulnerabili per i quali non esistono aggiornamenti (i browser più comuni hanno strumenti automatici di verifica).
  • Configurare il livello di sicurezza di Java su "Alto" o "Molto alto".
  • Limitare l'esecuzione di applicazioni Java non firmate digitalmente o per le quali il certificato digitale non soddisfi i controlli operati dal browser.
  • Preferire eseguibili firmati digitalmente, per i quali il controllo del certificato operato dal sistema operativo consenta di verificare con certezza l'origine del software.
  • Aggiornare costantemente il Java Runtime Environment, configurando possibilmente l'aggiornamento automatico.
  • Verificare il corretto funzionamento dell'antivirus, in particolare relativamente agli aggiornamenti che devono essere almeno giornalieri.
  • Iniziare quanto prima ad utilizzare soluzioni specifiche anti-malware che impediscono attacchi man-in-the-browser e proteggono la confidenzialità e l'integrità delle scansioni di navigazione ai siti di online banking.
  • Accertarsi sempre della fonte e dell'autorevolezza del software installato specie quando si tratta di software gratuito cercato su internet.
  • Fare backup periodici dei propri dati (con frequenza quotidiana o almeno settimanale) su supporti esterni, multipli (almeno due diversi), alternati periodicamente e mantenuti in località diverse.

Per chi volesse saperne di più può richiedere il Rapporto 2015 direttamente al Clusit ( www.clusit.it ).

 

 

 

Trasferire il Rischio in Caso di Crisi

 

Assicurarsi contro un determinato evento avverso è una strategia di continuità operativa assolutamente plausibile, ma che richiede competenze piuttosto specialistiche e decisioni ben ponderate.

In caso di evento critico e conseguente cessazione dell'attività di un'Azienda, i costi fissi sostenuti durante il periodo di fermo totale o parziale, le spese straordinarie sostenute per la ripresa della regolare attività (come ad esempio l'affitto di nuovi locali, il lavoro straordinario, i costi per la manodopera esterna, le lavorazioni affidate a terzi, ecc.), i costi di bonifica e ripristino potrebbero essere considerati all'interno di una polizza.

 

In questi casi chi si occupa di Business Continuity deve avere anche una buona conoscenza dei prodotti assicurativi e interfacciarsi con regolarità con chi in Azienda si occupa di coperture assicurative.

Meglio sarebbe se vi fosse sinergia fra le funzioni aziendali che si occupano di continuità operativa, di rischi e il Broker; "deve essere un lavoro di squadra" in cui ogni professionalità fornisce gli elementi e le giuste valutazioni per ridurre al minimo il danno in caso di evento avverso con il minimo costo per l'Azienda.

 

Sull'argomento di seguito riporto due considerazioni di cui è importante soffermarsi a riflettere.

 

1°) da un'indagine ANIA sulle piccole e medie imprese, dal campione preso in esame risulta che la copertura assicurativa per ramo ha i seguenti valori percentuali:

* Incendio e danni                        86%

* RC verso terzi e dipendenti       68%

* Furto                                          62%

* Merci                                         30%

* Rischi Tecnologici                     28%

* RC Prodotto                              23%

* Credito e Cauzioni                    15%

* Polizze per Dipendenti              14%

* Rischio Ambientale                   12%

* Business Interruption              3%

 

Nonostante questi dati facciano riferimento al 2010, ad oggi poco è cambiato a causa della scarsa consapevolezza sui rischi aziendali e delle loro conseguenze, unite alla percezione che le assicurazioni possano costare troppo (e per questo spesso ci si sotto-assicura).

Considerando che la Gestione della Business Continuity non è ancora molto sviluppata nelle Aziende (quindi mancano totalmente i piani di continuità operativa), il dato allarmante è che solo il 3% delle PMI ha una copertura per l'interruzione dell'attività causata da un evento catastrofico.

Al verificarsi di un evento avverso in assenza di un Sistema di Gestione della Continuità Operativa, di coperture sui danni indiretti, copertura costi di bonifica e ripristino porta al fallimento oltre il 43% delle PMI nei successivi 2-5 anni.

Meditate gente, Meditate!

 

2°) Quando ci si avvale di consulenti per sviluppare i Piani di Continuità Operativa, è importante accertarsi che tali piani siano sviluppati da professionisti qualificati che collaborano in sinergia con il Risk Manager (e/o la società di brokeraggio) rispettando la logica definita dalle Good Practice Guideline per i Sistema di Gestione della Business Continuity che prevedono a seguito della definizione della policy, l'analisi (business impact analysis e la mitigazione dei rischi), per poi definire le strategie di continuità che consentono di elaborare (finalmente) i piani di continuità ai tre livelli (Strategico, Tattico e Operativo) per terminare con la validazione dell'efficacia del sistema sviluppato.

È importante che tutte le fasi del sistema vengano analizzate e implementate, limitarsi a fare solo i Piani di Continuità Operativa (senza aver fatto le attività precedenti) porta ad una fiducia mal riposta che in caso di evento avverso metterebbe in serie difficoltà l'Azienda nel gestire la crisi.

 

A questo punto diventa indispensabile verificare a priori le capacità di chi opera nello sviluppo delle attività di Business Continuity; oltre all'esperienza comprovata, uno degli elementi discriminanti è accertarsi che sia qualificato e certificato (dal BCI o dal DRI).

 

 

ISO 9001:2015 e il Risk Based Thinking

La nuova ISO 9001:2015 introduce i concetti di Risk Based Thinking e di Risk Management imponendo di definire il contesto e di analizzare i rischi.

 

Che cosa significa? Cosa ci dobbiamo aspettare? 

 

In collaborazione con Dekra e Si&T è stato organizzato un incontro per il prossimo 10 giugno (dalle 14,00 alle 17,30) a Imola presso l'autodromo Dino Ferrari per iniziare a dare risposte concrete a questi interrogativi.

L'obiettivo del mio intervento sarà quello di sensibilizzare le Organizzazioni sull'importanza che riveste la Business Continuity come elemento di garanzia per la soddisfazione del cliente e quanto sia determinante coinvolgere anche i fornitori critici affinché la continuità sia garantita all'interno di tutta la Supply Chain.

 

La partecipazione è GRATUITA ed è aperta a più persone previa REGISTRAZIONE (fino ad esaurimento posti).

Programma dell'evento e modulo di registrazione Locandina_Evento_Dekra_10-giugno-2015

Per esigenze organizzative si chiede di registrarsi entro il 6 giugno inviando il modulo compilato a Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.