E voi vi fidate?

Come l'approccio Zero Trust può fare la differenza.

Qualche settimana fa ho scritto un articolo proprio sulla fiducia e in queste righe vorrei affrontare il tema della fiducia in ambito informatico.
Leggendo il Rapporto Clusit marzo 2022  emergono alcuni dati importanti che meritano attenzione.
Nel 2021 gli eventi di sicurezza rilevati dal SOC di Fastweb hanno registrato un aumento del 16% ma, quello che dovrebbe farci riflettere, è l’aumento del 58% dei server compromessi da malware e botnet e dalla rilevanza dei dispositivi mobili.

In Italia i settori più colpiti si confermano il Finance/Insurance e la Pubblica Amministrazione, obiettivi che insieme costituiscono circa il 50% dei casi. A questi si aggiunge quello dell’Industria che ha presentato l’aumento più significativo, dal 7% del 2020 al 18% del 2021.
Anche nelle email la situazione non migliora, le tecniche di attacco sono sempre più sofisticate e difficili da intercettare.
A tutto questo dobbiamo aggiungere il cambio di paradigma nelle nostre attività on-line, la disponibilità di nuovi servizi SaaS, il cloud pubblico (AWS, Azure) e lo smart working, che rappresentano grandi opportunità per utenti e aziende ma allargano il perimetro esposto dei sistemi.

Tematiche che non possono essere affrontate senza un approccio Zero-Trust, la cui fiducia riconosciuta a strumenti ed utenti è concessa solo se coerente con i comportamenti leciti.
Una certezza quindi è che la sicurezza come la si immaginava dieci anni fa ormai non è più sicurezza!
La fiducia che si riconosceva agli utenti interni rispetto agli esterni, ai propri server e alle proprie applicazioni non è più un modello adeguato ai tempi che corrono.
Come nella mia riflessione dove ponevo l’attenzione sul guadagnarsi la fiducia dimostrandolo con le azioni, anche in ambito applicativo il paradigma della Zero-Trust segue il medesimo principio.
L’approccio prevede la definizione dei privilegi minimi di accesso per svolgere certe operazioni, vengono rilevati e valutati i rischi sui dati, sull’identità, sui dispositivi, le applicazioni e l’infrastruttura.
In generale non ci si fida mai ma si verifica sempre.
Infine si immagina che una violazione possa accadere realmente, prima o poi: così facendo si identificano le minacce e si predispongono le risposte automatiche che oltre a fermare l’attacco nell’immediato siano in grado di adattarsi dinamicamente.

Tornando al report un altro aspetto interessante sono i risultati dell’intervista fatta a 732 amministratori di sistema.
Nel dettaglio il 59% dichiara che la quantità di tempo che dedica al lavoro è aumentata rispetto allo scorso anno e il 62% lavora più di 40 ore a settimana.
Il 29% afferma di essere più concentrato sulla sicurezza informatica.
Il 40% dichiara di essere preoccupato per la rapida evoluzione delle minacce informatiche ed ammette che il lavoro a distanza ha distolto l’attenzione dalle attività di sicurezza.
Il 73% infine afferma che la propria vita sarebbe più semplice se gli utenti smettessero di cliccare su collegamenti o allegati sospetti e il 42% dichiara inoltre che sarebbe un sogno se gli utenti smettessero di scrivere le proprie password su post-it attaccati al loro PC.

Una fotografia sicuramente interessante e che non può che farci riflettere.
In alcuni casi con un pizzico di presunzione, visti i servizi che via via si sono evoluti in GPV Solutions dal 2004 ad oggi.
Servizi che in accordo con i nostri partner spaziano dalle survey agli assessment, dalla gestione in modalità full managed di UTM, Infrastrutture cloud ed End Point ai sistemi di autenticazione MFA.
Soluzioni che, anche alla luce del rapporto Clusit, ci rendono orgogliosi di aver intrapreso questo percorso con l’obiettivo di supportare IT Manager, aziende e pubbliche amministrazioni nella gestione della cyber security.

5 miti da sfatare sulla cyber security

5 miti da sfatare sulla cyber security

5 miti da sfatare sulla cyber security

Mi occupo di sicurezza informatica da più di 15 anni, sembra ieri ma era il 2004 quando nella nostra cittadina organizzammo l’SPD Security and Privacy Day, una giornata dedicata interamente a far conoscere l’importanza di temi quali sicurezza e protezione dei dati e, come allora, l’approccio verso queste tematiche non è poi molto cambiato.

Intendiamoci, non voglio dire che non sia cambiato proprio nulla, anzi! C’è stata sicuramente una maggiore sensibilizzazione e consapevolezza da parte di tutti riguardo la salvaguardia della privacy ma alcuni aspetti sono rimasti sostanzialmente invariati. Ecco perché in questa mia breve riflessione voglio concentrarmi su alcuni miti da sfatare che riguardano la cybersecurity.

1.Esiste il prodotto che risolverà tutti i problemi!

Quando mi ritrovo a parlare di cyber security tutti, in generale, vorrebbero che bastasse un prodotto che in autonomia riduca i rischi, contrasti le minacce e li faccia sentire sicuri. Questo non è possibile. E non lo è soprattutto perché quando si parla di sicurezza informatica e di sistemi di sicurezza è doveroso pensare non soltanto ai mezzi ma anche a tutti quei sistemi e procedure che possono ridurre le vulnerabilità. La sicurezza completa la si ottiene solo se si adottano gli strumenti ma anche e soprattutto i servizi e le procedure corretti, non si può parlare di sicurezza senza tener conto del fattore umano!

2. Le grandi aziende o enti sono i reali bersagli.

In questi anni abbiamo assistito ad attacchi informatici che avevano come obiettivo grandi aziende o importanti enti, questo però non vuol dire che le persone “comuni” o le PMI siano esenti, anzi. I media naturalmente portano alle luci della ribalta i casi più eclatanti (ad esempio regione Lazio in Italia) ma la realtà è che ogni soggetto connesso alla rete può subire tentativi di attacco ed è potenzialmente esposto a rischi.

3.I software o i servizi recenti sono sicuramente più sicuri.

Anche in questo caso possiamo dire che sicuramente le software house e i provider di servizi ogni giorno lavorano per rendere più sicuri i propri prodotti, ma senza una vera cultura alla sicurezza degli utenti le nuove funzionalità potrebbero avere l’effetto opposto ed aumentare la probabile superficie di attacco, un esempio: spesso gli utenti utilizzano password deboli, se queste venissero utilizzate per i più moderni servizi cloud l’esposizione alla minaccia aumenterebbe vertiginosamente.

4.La sicurezza costa.

Sicuramente i sistemi di sicurezza, il monitoraggio e la formazione hanno un prezzo, ma questi investimenti sono infinitamente più bassi di quanto non costi un fermo produttivo o semplicemente la perdita dei propri dati. Un’attenta analisi dei rischi è il solo modo per determinare quali costi bisognerebbe affrontare al verificarsi di evento negativo ma tenendo anche conto del fattore tempo (nelle PMI possono volerci fino a 9 mesi solo per identificare un attacco ed un ulteriore altro mese per la regolare ripresa di tutte le attività) gli investimenti in cybersecurity sono presto giustificati.

5.Serve un team interno per fare tutto questo.

Escluse le grandi organizzazioni chi può realmente permettersi un team composto da figure altamente specializzate in networking e in cybersecurity che controlli sistemi 24h su 24h, si occupi di identificare i rischi e pianificare le azioni tecniche, procedurali e formative? La sicurezza può essere organizzata anche in outsourcing per cogliere il massimo delle competenze, definire i giusti ambiti di responsabilità ed essere accessibile.