La Cybersecurity non è (solo) una questione di tecnologia.
A volte siamo indotti a prendere decisioni errate perché la nostra sfera emotiva prende il sopravvento su quella razionale.
Se il rischio di un attacco informatico (o cyber attack) è esponenzialmente aumentato, come possiamo aumentare il nostro livello di protezione?
Maturando, innanzitutto, la consapevolezza che la sicurezza non è soltanto un fatto tecnologico, quindi di infrastrutture e sistemi in grado di fronteggiare le minacce. Ma la sicurezza è anche una dimensione sociale, fatta di cultura aziendale e di competenze utili a sviluppare una corretta percezione del rischio, al fine di aumentare in ogni individuo la sensazione di essere protetto, a casa come al lavoro.
Da una ricerca sulla percezione del rischio per l’82% delle imprese la principale causa di vulnerabilità deriva da distrazione e scarsa consapevolezza dei dipendenti, infatti l’80% delle imprese ha prontamente avviato piani di formazione sul tema (fonte Osservatorio Information Security & Privacy, della School of management del Politecnico di Milano).
Gli attacchi informatici in numeri
La conoscenza e consapevolezza dei fattori che ci rendono vulnerabili può ridurre di molto la superfice di attacco e di conseguenza metterci in una situazione di maggior protezione. I dati che illustrano l’andamento recente dei cyberattacchi sono in ogni caso inequivocabili e confermano la rilevanza e la portata del fenomeno. Stando all’ultima edizione del Rapporto Clusit, nel corso del 2019 sono stati registrati e analizzati 1.670 incidenti gravi (ovvero con impatti significativi in termini di perdite economiche, danni alla reputazione e perdita di dati sensibili), rispetto ai 1.552 del 2018 e i 1.127 del 2017.
Da dove partire per proteggersi dagli attacchi informatici?
Scorrendo la storia recente degli attacchi informatici, è interessante analizzare alcune delle vulnerabilità che hanno fatto più notizia per capire come la polarizzazione degli attacchi imponga investimenti in soluzioni di security altrettanto diversificati.
Ecco una classifica delle origini dei Data Breach:
- Il 52% dei data breach deriva da attacchi di pirateria informatica
- Il 33% dei data breach include attacchi cosiddetti social
- Il 28% dei data breach coinvolge un malware
- Il 21% dei data breach deriva da errori (umani o di sistema)
- Il 15% dei data breach deriva da un utilizzo improprio da parte di utenti autorizzati
(fonte: Verizon, 2019 Data Breach Investigations Report)
Studi ci dicono inoltre che un singolo attacco su larga scala può provocare danni per circa 120 miliardi di dollari e che i cyber attacchi sono costati nel complesso qualcosa come tre trilioni di dollari (il 3% del Pil globale), cifra che potrebbe anche raddoppiare entro il 2021.
Il modello elaborato dal NIST contro i cyber attack
La gestione del rischio informatico e delle infrastrutture critiche è quindi una priorità per tutte le aziende, di qualsiasi settore e dimensione e il modello elaborato dal NIST (National Institute of Standards and Technology) è universalmente riconosciuto dagli esperti come una guida a cui fare riferimento per adottare standard e procedure di cybersecurity.
Sono cinque le funzioni di questo modello in continuo aggiornamento:
- Identificare
- Proteggere
- Rilevare
- Rispondere
- Recuperare
scopo finale è quello di abilitare un approccio “risk-based” in ogni organizzazione, fornendo una tassonomia comune per definire le azioni necessarie per raggiungere il proprio obiettivo di cybersecurity.
La tecnologia ci rende più efficienti e produttivi e permette di aumentare la scalabilità di risorse e sistemi, ma contemporaneamente ci rende inconsapevolmente più vulnerabili.
Per questo non è possibile delegare la protezione dei dati esclusivamente alla tecnologia e solo a determinate figure ma è necessario creare dei percorsi di formazione e sensibilizzazione verso i dipendenti utili a mitigare gli errori derivanti dal fattore umano.
La cybersecurity, è anche una sfida culturale, organizzativa e sociale, che mette sempre e comunque al centro le persone
