Il futuro della cybersicurezza nel 2020 secondo Gartner

Il futuro della cybersicurezza nel 2020 secondo Gartner

Quali saranno le novità 2020 nel campo della cybersicurezza? Analizziamo le tendenze più significative in quest’ottica secondo Gartner.

Come ogni anno Gartner, tra le più famose società di consulenza e di ricerca in ambito IT, ha stilato la classifica dei 10 trend tecnologici da tenere in considerazione per l’anno a venire.

Protagoniste indiscusse della ricerca di quest’anno sono l’intelligenza artificiale e l’evoluzione “intelligente” degli ambienti che ci circondano. Pianificando le prossime iniziative di ottimizzazione e trasformazione digitale, CIO e responsabili IT dovranno valutare con attenzione le opportunità derivanti da questi trend strategici. Senza tralasciare le sempre più attuali questioni relative a privacy, etica e sicurezza digitale.

Vogliamo soffermarci in particolare su una tendenza della classifica per l’impatto e le evoluzioni che comporterà: la sicurezza informatica nell’ambito dell’intelligenza artificiale (AI).

Esaminiamo nel dettaglio questo trend tecnologico presentato da Gartner per il 2020.

 

Sicurezza informatica e AI: opportunità e minacce

Dopo aver ottenuto il primo posto in classifica nel 2019, l’Intelligenza Artificiale è punto cardine dei 10 trend tecnologici presentati quest’anno da Gartner. Il diffondersi dell’Internet of Things, la proliferazione di oggetti connessi e sistemi interconnessi ci pone di fronte ad una nuova sfida: come garantire la sicurezza di questi oggetti ed ecosistemi alimentati dall’AI?

Nei prossimi 5 anni l’AI assumerà un ruolo sempre più cruciale in ambito aziendale. Non più solo come tecnologia abilitante a livello operativo, ma soprattutto come tecnologia a supporto delle decisioni, grazie al machine learning (ML).

Allo stesso tempo, però, l’evoluzione di questo complesso ecosistema di oggetti interconnessi porterà ad un aumento massivo dei potenziali punti vulnerabili a un attacco informatico.

Come difendersi al meglio?

  • Innanzitutto sfruttando l’AI per migliorare i sistemi di sicurezza. Attraverso il ML sarà possibile comprendere modelli, scoprire attacchi e automatizzare alcuni aspetti dei processi di cyber sicurezza, potenziando l’azione di analisti ed esperti di sicurezza informatica;
  • In secondo luogo proteggendo i sistemi alimentati dall’AI, mettendo in sicurezza i dati e modelli di apprendimento automatico. Sarà fondamentale proteggersi da rischi ed eventuali danni causati da dati di apprendimento falsati o compromessi.
  • Infine anticipando l’uso disonesto dell’AI da parte di malintenzionati. Si apre un nuovo fronte per la sicurezza informatica, che dovrà tenere conto anche dell’identificazione e difesa da questo tipo di attacchi.

Siamo pronti ad accogliere questa sfida?

 

Vuoi proteggere i tuoi dati dalle sfide dell’AI?

Sicurezza dei dati personali nel contesto normativo Europeo: Direttiva NIS e GDPR

Sicurezza dei dati personali nel contesto normativo Europeo: Direttiva NIS e GDPR

Nel panorama normativo europeo il GDPR non è l’unico provvedimento a sancire misure di sicurezza dei dati personali e obblighi di comunicazione delle violazioni. Di recente introduzione è anche la direttiva NIS, recante misure per un livello elevato di sicurezza delle reti e dei sistemi informativi nell’Unione Europea.

Anche la NIS definisce quale debba essere il corretto processo di trattamento di dati, seppur in modo diverso e soprattutto nei confronti di una platea di soggetti giuridici più circoscritta. Scopriamo insieme somiglianze, differenze, ma soprattutto, le misure di sicurezza che le aziende sono chiamate ad adottare.

 

GDPR: oggetto di tutela e misure di sicurezza

Il regolamento trova applicazione nei casi di trattamento di dati personali, da intendersi, sulla base dell’art. 4, come qualsiasi informazione riguardante una persona fisica identificata o identificabile. Il GDPR prevede che chi effettua il trattamento di dati personali adotti specifiche misure di sicurezza: ai sensi dell’art. 32, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre:

  • la pseudonimizzazione e la cifratura dei dati personali;
  • la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
  • la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
  • una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.

NIS: oggetto di tutela e misure di sicurezza

Al contrario, la Direttiva NIS non si prefigge il compito di assicurare alcuna tutela dei dati personali, almeno non direttamente, la sua ratio è piuttosto quella di definire obblighi di adozione di specifiche misure di sicurezza volte a conseguire un livello elevato di sicurezza della rete e dei sistemi informativi in ambito nazionale, contribuendo ad incrementare il livello comune di sicurezza nell’Unione Europea. Sono soggetti all’adozione di tali misure  i “fornitori di servizi critici”, ovvero gli operatori di servizi essenziali:

  • fornitura di energia: elettricità, petrolio e gas;
  • trasporto: aereo, ferroviario, marittimo e stradale;
  • settore bancario: istituti di credito;
  • salute: istituti sanitari;
  • infrastrutture proprie dei mercati finanziari: le sedi di negoziazione e le controparti centrali;
  • acqua: fornitura di acqua potabile e la relativa distribuzione;
  • infrastrutture digitali: Internet Exchange point, fornitori di servizi DNS e registri TLD.

L’Italia, tra pubblico e privato, ha individuato 465 aziende critiche che hanno avuto tempo fino a fine 2019 per mettersi al passo. Inoltre, è attualmente in via di definizione l’individuazione di un’ulteriore platea di aziende:

  • I fornitori di servizi digitali:
  • i Mercati online;
  • i Motori di ricerca;
  • i Servizi di cloud.

Su questa seconda categoria di soggetti l’Enisa, l’Agenzia europea per la sicurezza delle reti e dell’informazione, deve presentare le linee guida per semplificare il riconoscimento delle società da assoggettare alla direttiva.

 

Operatori di servizi essenziali

Gli operatori di servizi essenziali, in conformità all’art. 12 del D. lgs., devono adottare

  • adeguate misure tecniche e organizzative
  • proporzionate alla gestione dei rischi posti alla sicurezza della rete e dei sistemi informativi che utilizzano nelle loro operazioni.

Tenuto conto delle conoscenze più aggiornate in materia, dette misure devono assicurare un livello di sicurezza delle reti e dei sistemi informativi adeguato al rischio esistente. Gli operatori di servizi essenziali devono altresì adottare misure adeguate per

  • Prevenire
  • Minimizzare

l’impatto di incidenti a carico della sicurezza della rete e dei sistemi informativi utilizzati per la fornitura dei servizi essenziali, al fine di assicurare la continuità di tali servizi.

 

I fornitori di servizi digitali

Per quanto concerne i fornitori di servizi digitali, sulla base di quanto definito dall’art. 14 del D. lgs, devono identificare ed adottare misure tecniche e organizzative adeguate e proporzionate alla gestione dei rischi relativi alla sicurezza della rete e dei sistemi informativi che utilizzano. Tenuto conto delle conoscenze più aggiornate in materia, tali misure devono assicurare un livello di sicurezza della rete e dei sistemi informativi adeguato al rischio esistente e tengono conto dei seguenti elementi:

  • la sicurezza dei sistemi e degli impianti;
  • trattamento degli incidenti;
  • gestione della continuità operativa;
  • monitoraggio, audit e test;
  • conformità con le norme internazionali.

NIS vs GDPR

L’assetto e le disposizioni contenute nelle due direttive sembra disegnare un quadro dove NIS e GDPR si completano a vicenda nel perseguire i rispettivi obiettivi di tutela dei dati personali.

Il GDPR enfatizza il ruolo del titolare del trattamento assegnandogli l’onore e l’onere di definire quali misure di sicurezza debbano essere adottate. Il NIS sancisce l’adozione di misure più elevate.

In questo specchietto estratto da un rapporto della Corte dei Conti Europea, è possibile individuare differenze e principali punti di contatto:

 

Meno muri e più sistemi di monitoraggio avanzato

Sempre più aziende adottano tecnologie emergenti e lo fanno più rapidamente rispetto alla velocità con cui affrontano i relativi problemi di cyber security. Questo rende sempre più difficile proteggere la propria organizzazione dalle vulnerabilità delle parti terze e salvaguardare i dati personali dei clienti, ma anche dei propri dipendenti. Uno scenario che trova un riscontro nel rapporto dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, secondo cui le imprese italiane hanno mediamente “sufficienti” strutture organizzative, procedure e competenze, ma devono ancora incrementare le iniziative di sicurezza a tutti i livelli manageriali e organizzativi.  

Per questo motivo le istituzioni nazionali ed Europee si stanno muovendo verso l’introduzione di provvedimenti che incentivino le aziende ad adottare sistemi intelligenti di sicurezza del dato.  Gli obblighi di comunicazione che scaturiscono da un ipotetico Data Breach, impongono alle aziende maggiori capacità di controllo nel rilevare e trattare gli incidenti. Ecco quindi che non è più sufficiente investire sulla protezione del perimetro aziendale. Nel contesto odierno costruire muri sempre più alti è inefficace. È invece necessario coordinare e centralizzare tutti questi sforzi in un unico ambiente di monitoraggio e analisi della sicurezza.

La tua azienda è pronta a questa sfida?

Richiedi informazioni sui sistemi intelligenti di sicurezza del dato per la tua azienda

3 gap che limitano i piani di sicurezza delle aziende

3 gap che limitano i piani di sicurezza delle aziende

Secondo un’indagine IBM, il 78% dei consumatori intervistati dice che l’abilità di una organizzazione nel proteggere i dati è estremamente importante per mantenere la fiducia verso l’azienda.

Questo ci conferma che:

  • Sebbene le aziende si dimostrino riluttanti ad adottare e mettere in pratica piani di risposta agli eventi di sicurezza, con il GDPR il legislatore sembrerebbe aver colto nel segno rispetto al bisogno di protezione manifestato dai clienti delle aziende di tutto il mondo.
  • Intraprendere un percorso di trasformazione digitale relativo alla protezione del dato non può più essere visto come mera risposta alla richiesta del legislatore in ambito privacy, ma deve essere colto soprattutto come sfida di business connessa alla Digital Transformation.

Ma quali sono le principali difficoltà incontrate dalle aziende? Perché si fatica a progettare adeguati piani di sicurezza?

Piani di sicurezza: le difficoltà che incontrano le aziende

1) Skills Gap nel settore della sicurezza

Dai risultati di una ricerca condotta da IBM e Ponemon Institute, competenze e tecnologie rappresentano due variabili difficili da gestire nella progettazione e attuazione di adeguati piani di sicurezza.

Solo il 30% dei partecipanti ha riportato che il personale per la sicurezza informatica è sufficiente per ottenere un alto livello di resilienza informatica. Inoltre, il 75% degli intervistati ha valutato la propria difficoltà nelle assunzioni e nel mantenimento del personale esperto in sicurezza informatica tra moderatamente alta e alta.

In questo contesto è difficile per le risorse impiegate in azienda portare avanti dei piani di sicurezza convincenti, soprattutto perché avere il fiato corto per mancanza di competenze e di personale comporta un’inevitabile erosione di autorevolezza nei confronti degli organi direzionali e conseguentemente una scarsa autonomia di portafoglio.

 

2) Disordine tecnologico

In aggiunta al gap di personale, quasi la metà dei partecipanti (48%) ha ammesso che le proprie aziende ricorrono a troppi strumenti e soluzioni, causando una maggiore complessità e riducendo la visione d’insieme sui sistemi di sicurezza. Soprattutto in contesti come quello di un incidente informatico, districarsi tra la mole di dati prodotti da numerosi strumenti “stand alone” senza disporre di una piattaforma di gestione centralizzata, richiede tempo e inibisce la capacità di risposta dell’azienda.

 

3) Approccio funzionale e non di processo

Le aziende operano oggi in un ambiente interconnesso e interdipendente che comporta un allargamento dei confini aziendali. Gli ecosistemi sono costruiti attorno a un modello di collaborazione aperta che comporta continui flussi di dati tra le funzioni aziendali, gli utenti e le terze parti. In questo contesto, adottare nuove tecnologie senza prima aver affrontato i relativi problemi di cyber security è un grande rischio.

Per questo motivo, nell’attuare processi di digital transformation, è fondamentale coinvolgere in modo trasversale anche i responsabili della sicurezza.

In molti casi è il board l’organo che, sentite le parti coinvolte (CISO, CIO, Finance, ecc..), deve coordinare e orchestrare le decisioni cruciali legate ai processi di trasformazione digitale. E proprio in questo passaggio si cela il terzo grande gap: secondo uno studio Marsh – Microsoft infatti, solo il 17% dei responsabili dice di aver dedicato più di un paio di giorni al tema dei rischi informatici durante l’ultimo anno. Inoltre, il 69% dei responsabili di sicurezza afferma che la sfida maggiore è riuscire a comunicare le minacce internamente.

Questi dati sono confermati anche in Italia, dove secondo un’indagine Trend Micro, il 39% dei responsabili della sicurezza dichiara di sentirsi isolato nel proprio ruolo proprio a causa delle barriere di comunicazione interne.

 

Security As A Service, l’approccio che risolve i gap delle aziende

Grazie ad un approccio di Security As A Service, le aziende possono accedere a:

  1. Tecnologie d’avanguardia
  2. Elevate competenze in cybersecurity
  3. Processi allineati con gli standard internazionali

necessari per superare i principali gap che limitano l’adozione di piani di sicurezza efficaci.

 

Cos’è la Security As A Service?

La Security as a service, si appoggia sul SOC, una struttura fisica e logicamente organizzata a tre livelli (Tier), per prevenire, rilevare, valutare e rispondere alle minacce e agli incidenti di sicurezza informatica di un’azienda.

L’obiettivo della Security è scoprire e reagire agli attacchi prima che accadono.

In un contesto di continuo cambiamento come quello delle minacce informatiche, avere internamente le risorse e gli strumenti da dedicare a questa attività diventa estremamente oneroso e impegnativo. Per questo motivo, anziché concentrarsi sulla progettazione di architetture di sicurezza on premise, il team del SOC As A Service è responsabile della componente operativa e continuativa della sicurezza delle informazioni aziendali, affiancando e accompagnando le aziende nella definizione ed esecuzione della strategia di security.

Grazie alla Security As A Service, le aziende riducono il livello di esposizione dei propri sistemi informativi sia a rischi esterni che interni, beneficiando dei vantaggi di un servizio gestito.

 

Cosa fa un SOC As A Service in questo contesto?

Un SOC:

  • migliora il livello di protezione dell’organizzazione con misure pro-attive, come servizi di security e vulnerability assessment, security awareness e rilevamento interno delle anomalie (grazie a Behavioral Analysis e Threat Intelligence);
  • garantisce l’adempimento alle normative (GDPR, NIS, …) implementando controlli specifici e producendo report di facile condivisione ed estrazione in caso di necessità;
  • centralizza le funzionalità di sicurezza legate all’infrastruttura IT: in questo modo, anche se sono presenti numerose soluzioni per la sicurezza, log e flussi saranno ricondotti sempre e unicamente a un’unica console di security;
  • monitora in tempo reale e continuativo l’infrastruttura IT e di sicurezza, analizza automaticamente flussi e log e genera H24 alert gestiti da analisti esperti ovviando alla mancanza di risorse, tempo e competenze specifiche per un’adeguata risposta agli incidenti informatici.

Come la Security As A Service riduce i tempi di risposta

Uno dei vantaggi più tangibili per un’azienda che adotta l’approccio Security As A Service è la significativa riduzione dei tempi di risposta agli incidenti di sicurezza. Questo è possibile grazie alla combinazione di 3 elementi fondamentali:

  1. Tecnologie: Advanced Detection e Intelligence
  2. Competenze: specialisti di sicurezza che convalidano i potenziali incidenti, assemblano il contesto appropriato, indagano in dettaglio sull’ambito e sulla gravità e formulano specifiche raccomandazioni
  3. Processi: che attivano velocemente il contenimento e recovery degli incidenti.

Ma non bisogna dimenticare che questo risultato è solo la punta di un iceberg e si raggiunge implementando adeguati piani di sicurezza che prevedono un constante allineamento tra le necessità strategiche di business e i rischi connessi alla digital transformation. Un processo di carattere culturale che, anche grazie alle soluzioni gestite e all’outsourcing, in tempi relativamente brevi è reso operativo e disponibile alle aziende.

Scopri come la Security As A Service può risolvere i gap della tua azienda

Security Awareness Training: perché l’approccio tradizionale ha fallito

Security Awareness Training: perché l’approccio tradizionale ha fallito

Nonostante il crescente coinvolgimento delle aziende in programmi di formazione sulla sicurezza aziendale, i risultati sono insoddisfacenti. Ecco perché il tradizionale approccio alla Security Awareness ha fallito.

Adottare un programma di formazione del personale nel campo della sicurezza informatica è oggi una necessità. Il rischio più concreto, oltre a quello di subire un incidente di sicurezza, è quello di gettare al vento tempo e denaro nell’implementazione di tecnologie di sicurezza, in alcuni casi, anche molto avanzate. Per questo negli ultimi anni le aziende si sono dimostrate particolarmente sensibili verso i programmi di Security Awareness. Questo interesse è stato accelerato da due situazioni emergenti:

  1. l’aumento di e-mail di phishing e delle tecniche di social engineering, che nel 2019 hanno causato in Italia un incremento dell’81,9% di questo tipo di attacchi (Rapporto Clusit 2020);
  2. l’introduzione di normative a tutela dei dati personali (come il GDPR), che tra gli altri, hanno sollevato l’obbligo di formare il personale sugli aspetti legati alla tutela e alla sicurezza delle informazioni.

Secondo la ricerca dell’Osservatorio Information Security & Privacy della School of Management del Politecnico di Milano, nel 2019, in Italia, le aziende con un piano di formazione sulla security attivo sono circa la metà (55% del campione). Dato che si allinea con alcune rilevazioni a livello mondiale secondo cui circa il 53% delle aziende ha avviato una qualche forma di programma di sensibilizzazione sulla sicurezza.

Nonostante sia stata riconosciuta l’importanza dei programmi di Security Awareness, il Rapporto Clusit 2019 registra dati sconfortanti sulla loro efficacia:

  • Il 97% degli utenti non sa riconoscere una e-mail di phishing: gli attacchi di phishing sono in continua evoluzione, diventando sempre più sofisticati grazie a tecniche di social engineering sempre più evolute.
  • Secondo analisti ed esperti di sicurezza, l’80-90% degli incidenti di sicurezza è legato a errori umani.
  • Il 53% degli attacchi in Italia è dovuto a cause interne all’azienda, per esempio la navigazione su siti non sicuri, l’accesso con device aziendali a connessioni pubbliche, l’utilizzo di password deboli e non alfanumeriche e il passaggio di dati sensibili con chiavi USB non cifrate.
  • In Italia nel 2018 il 37% della popolazione adulta è stata colpita da un attacco informatico.

Di fronte a questi dati, è chiaro che il tradizionale approccio teorico alla Security Awareness non sta funzionando.

 

Prepara i tuoi collaboratori a prendere decisioni sicure

Scopri Intelligent Awareness

 

Perché il tradizionale approccio alla Security Awareness ha fallito

Con l’aiuto del rapporto Clusit 2019 abbiamo individuato le 5 caratteristiche che hanno reso inefficace l’approccio formativo tradizionale.

 

1) OBIETTIVO SBAGLIATO

L’obiettivo di un programma di Security Awareness tradizionale è quello di accrescere la sensibilità verso i pericoli informatici. Si assume che, se una persona è consapevole dei rischi, modificherà il proprio comportamento di conseguenza.

Nella realtà non è così: una volta completato il corso o il test, spesso le persone tornano alla loro routine ignorando quanto menzionato nella formazione. Questo avviene perché il classico approccio formativo teorico è spesso inteso come mero obbligo aziendale, un task da completare: di conseguenza, non è in grado di attirare l’attenzione e l’interesse necessari ad attivare un percorso di cambiamento delle abitudini.

Occorre allora implementare un programma globale di Security Education, Training & Awareness: la formazione dovrà partire dalla sensibilizzazione, ma concentrarsi poi anche sulla creazione di una solida cultura di sicurezza aziendale, in grado di modificare concretamente i comportamenti delle persone.

 

2) MANCANZA DI PERSONALIZZAZIONE

Le attività formative classiche, erogate come video lezioni, corsi in aula, newsletter, sono uguali per tutti: non tengono conto delle diverse conoscenze ed esperienze dei partecipanti e soprattutto del ruolo in azienda. Senza un assessment iniziale e una formazione su misura che considerino il livello del singolo partecipante, risulta difficile anche solo aumentare il livello di sensibilità ai rischi di sicurezza.

Adottando soluzioni che includano il behavior management, quindi prevedano

  • un’analisi del comportamento dell’utente,
  • uno studio delle sue lacune e della sua sensibilità a determinati vettori psicologici,
  • il monitoraggio dell’endpoint e del suo modo d’uso del pc,

sarà invece possibile impostare una formazione mirata che renda le persone la prima difesa contro le minacce informatiche.

 

3) NON SI IMPARA DAGLI ERRORI

Nonostante alcuni tentativi di cambiare modalità di erogazione, introducendo attività più pratiche come la simulazione di attacchi di phishing per misurare il livello di awareness dei dipendenti, queste attività rimangono fini a sé stesse, perdendo il loro vero potenziale. I programmi classici soffrono la mancanza di un framework di indicatori in grado di misurarne e monitorarne l’efficacia.

Impostando un processo formativo continuativo attraverso il ciclo Plan-Do-Check-Act si otterrà una gestione delle competenze basata sulla reale esperienza e un continuo miglioramento:

  • tenendo conto dei risultati di simulazioni e test come punto di partenza per impostare il successivo security awareness training mirato;
  • inserendo i momenti di formazione all’interno delle attività quotidiane, la verifica dell’apprendimento sarà reale, con un effettivo approccio learning by doing.

 

4) FREQUENZA DI EROGAZIONE INADEGUATA

Di norma, come rilevato da Osterman Research, il 64% delle aziende prevede un intervento di formazione sulla sicurezza informatica aziendale da 1 a 3 volte l’anno. Questa frequenza è inadeguata.

In questo contesto, spesso le aziende si limitano a progettare un percorso perché necessario, senza una vera progettualità a lungo termine. Che efficacia può avere seguire un corso isolato sulla prevenzione del phishing quando emergono nuove tecniche ogni giorno?

Perché un percorso porti a dei risultati tangibili e a una modifica dei comportamenti, sono necessari interventi formativi mirati continuativi distribuiti nell’arco di almeno un anno.

 

5) SUPPORTO DAL MANAGEMENT NON ADEGUATO

Un fattore strettamente collegato al successo di un programma di security awareness è il supporto da parte del management: un minore coinvolgimento corrisponde a una minore maturità del programma sviluppato. Fintanto che il management aziendale ritiene la security awareness una tematica confinata all’ambito tecnico, non sarà possibile una trasformazione culturale che impatti su tutta l’azienda.

Diventa quindi prioritario lavorare sulla sensibilizzazione del management fornendo visibilità dei benefici che il programma comporta.

 

Come massimizzare il rendimento del tuo investimento in Security Awareness

Stai pensando di investire in un programma di formazione per i tuoi collaboratori?

Il nostro consiglio è di fare tesoro delle indicazioni contenute nel rapporto Clusit e strutturare una formazione che dia risultati tangibili e misurabili nel tempo. Come è possibile fare questo?

La ricetta Matika si chiama Intelligent Awareness e risponde proprio a questo quesito.

 

Scopri come misurare e monitorare l’efficacia del tuo programma di Security Awareness

Massimizza il rendimento del tuo investimento 

Data Breach: 3+1 conseguenze di business che non hai considerato

Data Breach: 3+1 conseguenze di business che non hai considerato

Quando si parla di “data breach” spesso si pensa solo a sanzioni di carattere pecuniario. Nella realtà, le conseguenze negative di una violazione dei dati personali vanno ben oltre l’applicazione delle multe che il legislatore europeo ha attivato come deterrenti. In questo articolo abbiamo individuato 3+1 conseguenze negative per il tuo business.

Cos’è un data breach e quando si verifica?

Un “data breach” secondo il GDPR (che tratta la materia agli articoli 33 e 34), è una violazione di sicurezza che comporta accidentalmente o in modo illecito

  • la distruzione
  • la perdita
  • la modifica
  • la divulgazione non autorizzata
  • l’accesso

ai dati personali trasmessi, conservati o comunque trattati.

 

A che punto sono le aziende nel processo di protezione dei dati avviato dal GDPR?

Secondo il Rapporto Clusit  2019 sulla Sicurezza ICT le organizzazioni italiane che stanno adottando processi di adeguamento al GDPR sono in crescita: il settore manifatturiero è quello che registra una maggiore accelerazione di questo processo, con un incremento delle aziende dal 42% all’87%.

Parallelamente, sono cresciuti anche i budget stanziati per le misure di adeguamento: mentre nel 2018 solamente nel 58% dei casi esisteva un budget dedicato, nel 2019 la percentuale ha raggiunto l’88%.

Al contrario, risultano ancora poche le aziende che dichiarano l’esistenza di un budget dedicato a misure di risposta agli eventi di sicurezza (come il data breach). Su questo aspetto poco più di metà delle aziende (51%) ha stanziato un budget, il 21% ha provveduto entro il 2019, mentre il 28% non lo prevede nemmeno per il futuro.

I numeri ufficiali parlano di una crescente sensibilità negli investimenti per la compliance normativa, mentre gli aspetti che riguardano le misure necessarie per prevenire, rilevare e segnalare un data breach sembrano passati in secondo piano e con essi anche il rischio di incorrere in multe e sanzioni.

 

Violazioni della Security: rischio percepito vs rischio reale

Secondo uno studio Marsh-Microsoft: Global Cyber Risk Perception, per il 64% delle aziende (europee) subire un attacco o un incidente di sicurezza sarebbe il primo motivo per aumentare la spesa in cybersecurity. Questo dato può essere letto in chiave di percezione del rischio: le aziende in pratica dichiarano che solo dopo aver subito un attacco avrebbero un forte incentivo ad adottare misure destinate alla mitigazione degli incidenti di sicurezza.

Eppure in Italia come in tutto il mondo, gli attacchi informatici sono in crescita. Nel Regno Unito secondo una ricerca Carbon Black, l’88% delle aziende sono state violate nel 2018. Ma non solo: il tempo medio per rilevare gli incidenti di sicurezza è molto lungo (206 giorni). Un lasso di tempo enorme, che espone le aziende alla potenziale compromissione di elevate quantità di dati.

Se da un lato la crescita degli attacchi spaventa relativamente le aziende, dall’altro anche le sanzioni previste dal GDPR non sembrano rappresentare un rischio altamente percepito. In Italia, fino ad oggi, delle sanzioni comminate dal garante solo il 9% è dovuta a Data Breach, mentre il 18% a insufficienti misure di sicurezza. Forse questi dati non risuonano ancora così importanti da far temere il rischio di una sanzione.

In conclusione, il rischio di ricevere una multa (per quanto salata) non è sentito dalle aziende e non sembra un incentivo sufficiente ad indirizzare le organizzazioni verso l’implementazione di misure atte a prevenire, rilevare e segnalare un data breach. 

Come gestire un data breach?

Scoprilo nell’infografica

Data Breach: le conseguenze per il business

Vediamo allora di capire quali sono le conseguenze negative a cui va incontro un’azienda che ha subito un Data Breach. Secondo quanto previsto dal GDPR l’importo delle sanzioni può arrivare fino a 20 milioni di Euro o, fino al 4% del fatturato mondiale annuo, se superiore.

Ma è tutto qui? O dietro la violazione dei dati di un’azienda si nascondono altri pericolosi rischi per la sopravvivenza del business?

Abbiamo individuato 3+1 conseguenze negative che potrebbero mettere in serie difficoltà le aziende:

1) Danno di reputazione

Oltre ad aver pagato le multe previste dalle normative a tutela dei dati personali, l’organizzazione deve affrontare il danno di reputazione, che nei casi di aziende quotate può amplificarsi portando importanti conseguenze negative sul valore dei titoli in borsa. La fiducia e la credibilità acquisite con anni di lavoro e investimenti sono infatti asset che una volta perduti possono essere difficili da riscostruire. Inoltre, spesso sottovalutati, costituiscono driver importanti di acquisizione di nuovi clienti: non è escluso che, una volta eroso il rapporto di fiducia stretto con i propri clienti, l’azienda debba rassegnarsi e accettare la perdita e/o la diminuzione di nuove opportunità di business.

2) Risarcimento dei danni agli interessati

Per comprendere l’entità potenziale del danno è necessario prendere in esame l’art. 82 del Regolamento. Il provvedimento gode di scarsa attenzione, ma è di fondamentale importanza per inquadrare le responsabilità che un data breach presuppone:

Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento”. Il legislatore intende mettere al centro delle sue preoccupazioni il soggetto che considera la parte debole (chi subisce il trattamento) e afferma così il diritto dell’interessato, quando danneggiato, di ottenere il risarcimento del danno subìto. Danno che potrà essere sia patrimoniale che non patrimoniale.

3) Indagini sull’incidente

Una volta subito un incidente, soprattutto in mancanza di adeguate tecnologie e competenze, l’azienda dovrà mettere in campo uno sforzo importante al fine di compiere le relative indagini. Questo può comportare: l’assunzione di una parte terza, l’impiego di ore di straordinario del proprio personale e più in generale un consistente impiego di energie in attività extra rispetto al core-business aziendale.

3+1)  Reiterazione del Data Breach

Sebbene non sia l’unica causa, i data breach sono spesso generati da attacchi informatici. In questo contesto un aspetto che viene sempre sottovalutato dalle aziende è quello relativo alla reiterazione della violazione: una volta entrati nel sistema aziendale gli hacker permangono anche per mesi all’interno dell’azienda prima di sferrare un reale attacco. A quel punto è difficile estirpare completamente la loro presenza dall’ecosistema aziendale. A livello tattico, gli hacker possono nascondere le loro tracce in un perimetro vastissimo da controllare, conservando il vantaggio di aver studiato nel dettaglio tutte le vulnerabilità dell’azienda.

In pratica, nel fronteggiare le conseguenze di un attacco, le aziende si trovano a compiere immensi sforzi per arginare i danni di una violazione della sicurezza, ma invece di vincere la guerra si devono accontentare di vincere solo una delle tante battaglie.

 

Come prevenire un Data Breach

Una violazione di sicurezza può assumere una scala talmente ampia da avere conseguenze disastrose per il business di un’azienda. Oggi, un’azienda che subisce un danno di reputazione avrà poche altre chance per sbagliare perché i clienti difficilmente saranno inclini a tollerare ulteriori situazioni di incertezza. Questo accade in un contesto di attacchi informaci persistenti che spesso possono essere facilmente reiterati. Per questo motivo le aziende devono ripensare gli investimenti in sicurezza informatica passando dalla costruzione di muri sempre più alti, all’adozione di tecnologie e competenze in grado di monitorare, correlare e identificare le minacce in tempo reale.

Come notificare un data breach al garante?

Scopri nell’infografica se la tua azienda è pronta ad affrontare una violazione dei dati personali

Phishing: 5 emozioni che gli hacker sfruttano per colpirci

Phishing: 5 emozioni che gli hacker sfruttano per colpirci

Il phishing continua a essere il principale vettore di attacchi informatici. Scopriamo il ruolo fondamentale delle emozioni nei successi degli hacker.

Nonostante il phishing sia un fenomeno noto da anni, per cui veniamo messi in guardia quotidianamente, resta ancora oggi l’arma vincente dei criminali informatici. Come si spiega?

 

Perché continuiamo a essere vittime di phishing?

In primo luogo, dobbiamo essere realisti e ammettere che non c’è nessuna tecnologia perfetta in grado di filtrare tutte le mail di phishing. I sistemi antispam sono basati su signature, in grado di bloccare le minacce più note, ma all’arrivo di una mail di phishing 0-day molto probabilmente il sistema fallirà. Le email truffaldine sono sempre nuove, sempre diverse e in evoluzione.

In secondo luogo, gli hacker cercano di colpire il punto più vulnerabile per accedere: non le tecnologie, ma le persone. Infatti, oltre il 99% delle minacce richiede l’interazione umana per attivarsi.

Per riuscire in questo intento, i criminali hanno affinato le loro tecniche: oggi preferiscono colpire una vittima specifica in azienda, piuttosto che colpire nel mucchio. Attaccano con tecniche sempre più evolute di social engineering, spesso attraverso email di spear phishing, mirando alle vulnerabilità del singolo.

Sfruttando le nostre emozioni, gli hacker ci spingono ad agire d’istinto, senza attivare la parte più razionale e logica del nostro cervello. In base a principi di psicologia e sociologia, creano dei meccanismi per ingannare il modo in cui il nostro cervello prende le decisioni.

Questo significa che tutti possiamo essere vittime di phishing.

 

Cervello primitivo VS Cervello razionale

Facciamo un passo indietro: cosa ci spinge a cliccare su quel link malevolo?

Il nostro cervello prende migliaia di decisioni ogni minuto, la maggior parte in modo inconscio. Per far fronte all’enorme quantità di decisioni da processare, rapidamente, senza spendere troppe energie, il cervello usa delle scorciatoie: ecco che si attiva il cervello antico, con un processo di pensiero veloce e intuitivo. Se devo scegliere dove sedermi su un mezzo di trasporto pubblico, per esempio, utilizzerò questo processo decisionale. Contrapposto al cervello antico c’è il nostro cervello razionale, più lento, ma anche più logico e riflessivo, che attiviamo per prendere decisioni più complesse, come nella scelta di un fornitore.

Quando si aziona il cervello primitivo, istintivo e irrazionale, è più probabile commettere errori e cadere vittima di attacchi di phishing.

I criminali informatici ci costringono a prendere decisioni facendo affidamento sul cervello antico. Ed ecco che clicchiamo.

Quindi, cosa fare per proteggersi dal phishing?  

Le 5 principali emozioni che gli hacker sfruttano per colpirci

Il primo passo per proteggerci dal phishing è essere consapevoli delle nostre vulnerabilità.

È utile imparare a conoscere le dinamiche psicologiche e le emozioni, che gli hacker sfruttano e, che ci spingono ad agire in modo avventato.

  • PAURA: Colpire il nostro istinto di preservazione e sopravvivenza è una tattica molto efficace. Minacciare con possibili conseguenze negative, come il blocco di un account oppure un’azione legale in seguito a un reclamo, è molto comune e genera spesso una risposta immediata.

Es. “Il tuo computer è stato infettato e bloccato. Clicca qui.”

  • CURIOSITÀ: I malintenzionati approfittano del bisogno di sapere, intrinseco in ognuno di noi, promettendo qualcosa di entusiasmante o proibito. Anche se il messaggio ci sembra strano e la prima reazione è “Cosa sta dicendo?! Incredibile?! Davvero??”, è molto facile cadere nella trappola per controllare di persona di cosa si sta parlando.

Es. “Il tuo account è entrato nella classifica dei peggiori account. Guarda qui.”

  • IRRITAZIONE: Nella quotidianità ci sono innumerevoli piccolezze che possono infastidirci: ricevere l’ennesimo messaggio promozionale, la richiesta di dettagli mancanti o di un problema per una pratica che ci riguarda (“Di nuovo? Lo sapevo che l’ufficio ics non sa lavorare!”), e molti altri. E spesso, d’istinto, clicchiamo subito per liberarci dall’impiccio e risolvere la situazione.

Es. “Per disiscriverti, clicca qui.”

  • AVIDITÀ: Un messaggio che ci offre o promette denaro cliccando su un link o rispondendo ad alcune domande di solito è malevolo. Se sembra troppo bello per essere vero, probabilmente lo è.

Es. “Hai vinto un buono sconto del 50%”

  • DESIDERIO DI AIUTARE: Non solo emozioni negative: anche il nostro naturale istinto ad aiutare chi è in difficoltà, viene sfruttato per rubare dati. Purtroppo, questa tipologia di campagne viene spesso attivata in occasione di tragedie.

Es. “Credo che il tuo collega abbia perso i suoi documenti. Inviami il suo numero.”

 

Leve di persuasione

Perché il lunedì è la giornata in cui vengono inviate più email di phishing? Perché in Europa tra mezzogiorno e le prime ore dopo pranzo siamo più propensi a cadere vittime di questi attacchi? (Report Proofpoint – Il fattore umano 2019)

Oltre a formulare un messaggio che prema i giusti tasti emotivi, gli hacker lavorano anche su dettagli come l’orario dell’invio, il mittente, etc. per rendere più efficace il messaggio di phishing.

I cyber criminali cercano di trovarci in un momento di disattenzione: il lunedì mentre controlliamo la posta arretrata oppure durante la pausa pranzo in cui siamo più rilassati e magari non facciamo caso a degli errori (come “www.paypai.com” “www.gmall.com” invece che i corretti PayPal o Gmail).

Per costruire questi dettagli in modo credibile, sfruttano delle leve di persuasione, che cercano di ingannare anche il nostro cervello razionale. Due delle leve più efficaci sono:

  • AUTORITÀ: Se il mittente è conosciuto e autorevole, il CEO o un nostro responsabile in azienda oppure un ente pubblico, il messaggio diventa automaticamente più credibile e ci spinge ad agire.
  • URGENZA/SCARSITÀ: Inserire una scadenza a breve termine o una disponibilità limitata, ci spinge allo stesso modo ad attivarci subito. Questa leva è utilizzata per confondere il ricevente.

 

Come gli hacker sfruttano le emozioni: alcuni esempi

La particolare situazione di emergenza legata al Coronavirus che stiamo vivendo in questi giorni ci fornisce la conferma che gli hacker sfruttano le tragedie per trarne vantaggio. Sono innumerevoli gli esempi di phishing e truffe informatiche emerse in quest’ultimo periodo.

Qui elenchiamo alcuni esempi degli attacchi in circolazione in Italia evidenziando l’emozione e/o leva utilizzata:

  • Precauzioni contro il Coronavirus della Dott.ssa Marchetti: il messaggio sembra provenire da una dottoressa dell’OMS – Organizzazione Mondiale della Sanità (autorità) e invia informazioni su come proteggersi dal contagio (curiosità e paura) che spingono ad aprire l’allegato;
  • Accredito domanda Covid dall’INPS (autorità): in questa truffa via sms o smishing, si invia una richiesta di aggiornamento dati (irritazione) affinché la domanda del bonus vada a buon fine: difficile non cliccare sul link;
  • Falsi buoni spesa dei supermercati: in questo momento ricevere un buono da 250€ per la spesa farebbe gola a molti (avidità);
  • False campagne di raccolta fondi per gli ospedali: nei momenti di emergenza, siamo portati ad essere più buoni e altruisti (desiderio di aiutare) e i cyber criminali lo sanno bene: in questo periodo sono almeno 3 le false campagne già individuate in favore di strutture sanitarie. 

Rendi i tuoi collaboratori più forti e consapevoli contro il phishing.

Scopri Matika Intelligent Awareness.

Intelligent Awareness: maggior consapevolezza delle proprie lacune

Il secondo passo per proteggere i nostri dati da clic pericolosi è dotarsi di strumenti che contribuiscano a renderci più consapevoli delle nostre lacune.

Lo strumento più efficace è intraprendere un percorso di security awareness aziendale.

Matika Intelligent Awareness è il percorso di formazione sulla Security con un approccio personalizzato, sviluppato assieme a un team di psicologi. Oltre alla teoria, ogni collaboratore potrà acquisire consapevolezza attraverso degli attacchi di phishing simulati progettati sulle sue attitudini e lacune, attivando le emozioni per cui risulta più sensibile.

Non si tratta di una mera formazione teorica anti-phishing: nel percorso il collaboratore avrà modo di sperimentare sul campo le competenze acquisite, ma soprattutto di rendersi conto delle sue vulnerabilità.

Solo così, nel momento in cui riceveremo dei messaggi inaspettati con richieste di informazioni importanti (via email, sms, messaggi sui social, ma anche chiamate), saremo in grado di attivare il cervello razionale e meccanismi di verifica. Potremo fermarci e chiederci:

  • Il dominio da cui è stata inviata la richiesta esiste/è corretto?
  • Chi è il mittente del messaggio?
  • Con quale altro mezzo di comunicazione posso verificare la bontà della richiesta?

Se saremo soddisfatti delle risposte, ci sentiremo sicuri nell’aprire il link. 

Impara a riconoscere le minacce attraverso attacchi simulati di phishing.

Scopri Matika Intelligent Awareness.