Cybersecurity

3 lezioni che le aziende possono imparare dopo le intrusioni nei server dei democratici USA

Si vis pacem para bellum dicevano gli antichi. Vale anche nel campo della cybersecurity

Dopo le intrusioni informatiche ai danni del Comitato nazionale democratico, dello staff di Hillary Clinton e del comitato congressuale ad opera di due distinti gruppi di hacker russi noti come Cozy Bear e Fancy Bear, Paul Ferrillo, avvocato esperto di cybersecurity ha offerto la sua ricetta per essere preparati di fronte alla certezza che prima o poi accadrà anche a noi. La riportiamo quasi per intero.

risk_assessment

1. Essere preparati in tempi di pace perchè i guai sono dietro l’angolo

Che vuol dire prepararsi in tempo di pace? Gli antichi lo spaevano già: Si vis pacem para bellum. Se vuoi la pace sii pronto per la guerra. Insomma Significa essere preparati e pianificare in anticipo gli effetti di una situazione di crisi. Significa essere proattivi e non reattivi. Se la tua organizzazione ha delle informazioni di valore prima o poi sarà oggetto di un attacco cibernetico. Fin qui è lapalissiano.

Perciò le domande da farti sono:

– Come ti stai preparando per questa evenienza?
– Come stai proteggendo i tuoi dati?
– Hai già preparato un piano di risposta agli incidenti?
– Hai un progetto che ti consente di continuare nel tuo business?
– Hai un piano di comunicazione per gestire la crisi?

Domande semplici ma importanti. Bisogna essere preparati perché i guai sono sempre dietro l’angolo.

2. Fare un‘analisi dei rischi associati alla sicurezza informatica

Di questo passaggio sono pieni i manuali di sicurezza informatica, ma è bene ripercorrerli.

Il processo di analisi di questa valutazione è semplice. Chiediti:

a) Quali sono le minacce che mi possono danneggiare? Quali sono le mie vulnerabilità? I miei impiegati? La forza vendita? degli attori statali? Vecchi computer e software non aggiornato? Sono gli hacker avversari o gli hacker da impiegare?
b) Cosa sto facendo per proteggermi da questa vulnerabilità? Ho spiegato ai miei impiegati che non si clicca su dei link sconosciuti? Sto aggiornando i miei software? Sto attento a distribuire i privilegi secondo la logica del livello più basso? Il mio hardware è recente e rispetta i requisiti basilari della sicurezza? Quanto è probabile che io possa essere attaccato? E quanto mi farebbe male un attacco?

A queste domande bisogna fare seguire una bella discussione dentro l’azienda o l’organizzazione nella quale si riveste una posizione decisionale. Poi si procede a definire un punteggio a ognuno dei rischi, delle vulnerabilità e del potenziale impatto di un attacco per poter focalizzare i propri sforzi nella aree più delicate. L’impostazione di sicurezza usata ci aiuterà a capire se siamo in grado di identificare con immediatezza questi rischi. La maggior parte delle aziende semplicemente non si occupa abbastanza di cybersecurity. Il tempo che gli si dedica però è il tempo che abbiamo prima che ci sia un attacco. Dopo è già tardi.

3. Valutare vulnerabilità e stimare il danno

Alla fine si chiamano i rinforzi, cioè i consulenti per la sicurezza che devono fare una valutazione delle vulnerabilità, cioè una valutazione dei rischi informatici attuali e potenziali, mentre un cyber ninja (sul tuo libro paga) mette a dura prova i sistemi aziendali e quando trova dei rischi ti avverte affinché tu possa dargli priorità immediata. Qualsiasi cosa puoi fare per minimizzare i rischi è positiva. Di certo, la formazione contro gli attacchi più frequenti e anche più semplici ma insidiosi possono ridurre drasticamente i rischi. Ascolta, impara, i guai sono dietro l’angolo. Importante è anche fare una valutazione del danno. Ti dirà quante sono le probabilità che i tuoi sistemi possano essere bucati e se non lo hanno fatto ancora, la velocità della tua reazione farà la differenza.

Poi ripetere, ripartendo dal primo punto, perché come dice Fiorillo “è bene esercitarsi sempre, magari prima che la polizia o un giornalista investigativo vengano a bussarti alla porta.”

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Dai banchi di scuola al pitch. I finalisti del progetto “A Scuola di Startup” a DigithON 2017

Il progetto realizzato da AuLab ha coinvolto per il terzo anno consecutivo studenti delle scuole secondarie superiori. Il team vincitore sarà premiato dal Gruppo Giovani Imprenditori di Confindustria Bari e Bat. Abbiamo intervistato Davide Neve, CEO di AuLab

Imparare a guidare con la realtà virtuale e aumentata. Il progetto di Guida e Vai

Salvatore Ambrosino, cofondatore e direttore commerciale di Guida e Vai, ha ideato un nuovo sistema di insegnamento per preparare all’esame di teoria le nuove generazioni. I ragazzi potranno simulare con smartphone e visore le situazioni che potrebbero incontrare su strada

Hephaestus Venture, il fondo che porta le startup italiane in Brasile

Il fondo ha la missione di supportare le startup nei processi di internazionalizzazione verso il Brasile, un mercato emergente e in forte crescita, se si pensa che il 57.4% dei finanziamenti in America Latina si concentra in questo Paese.

Cyber-Diplomacy | Che cos’è e qual è il ruolo dell’Italia (nel G7)

Le relazioni internazionali sono chiamate ad avere un ruolo specializzato al Cyber Spazio e devono agire al suo interno per supportare il complesso di accordi e regole di carattere internazionale oggi ancora incompleto in proposito