Nell’aprile del 2015 la tv francese TV5 Monde andò in onda con un servizio sulla cybersecurity e, poco dopo, si verificò un attacco informatico. Ironia della sorte, si potrebbe pensare, ma in realtà è una conseguenza del tutto razionale: durante la trasmissione le telecamere inquadravano un foglio con tanto di password e di nome dell’account.
Questo è solo uno degli attacchi cyber che si sono verificati nel tempo e in qualsiasi angolo del mondo in cui ci sia una connessione internet – anche senza credenziali da mostrare in diretta tv. Basti pensare agli eventi tra il 2020 e il 2023 in Italia: qualcuno ricorderà il furto di dati degli artisti alla SIAE, il blocco del sistema informatico di Trenitalia dalla Russia fino all’attacco alla Regione Lazio durante la campagna vaccinale.
Cosa accomuna tutti gli esempi che abbiamo citato? Un sistema di scelte e di sicurezza informatica fallace.
Di certo, gli attacchi informatici sono destinati a propagarsi con più frequenza, perché ogni giorno la tecnologia cresce, insieme alla quantità di dati e informazioni che diamo in pasto a Internet. Di conseguenza crescono la vulnerabilità e le minacce come truffatori che vogliono guadagnare denaro.
Per questo, anche le aziende devono crescere e andare – forse alla velocità della luce sarebbe troppo – quantomeno al passo delle tecnologie, riprogettando le attività e i processi per attività più sicure.
Questa premessa era doverosa per ciò che spiegheremo in questo articolo: basi della cybersecurity, i rischi più diffusi in azienda e spunti per applicare la sicurezza informatica in azienda.
Cybersecurity o sicurezza informatica: cos’è e perché è importante?
L’insieme delle tecnologie e dei processi che lavorano in sinergia per proteggere i sistemi digitali dagli attacchi è la definizione di ciò che chiamiamo sicurezza informatica o cybersecurity.
Se cerchiamo il suo significato sui vocabolari, puoi trovare molte altre definizioni, simili tra loro. Ad esempio, la Treccani definisce la sicurezza informatica:
“ramo dell’informatica che si occupa di tutelare i sistemi di elaborazione, siano essi reti complesse o singoli computer, dalla possibile violazione, sottrazione o modifica non autorizzata di dati riservati in essi contenuti”
L’obiettivo principale è quindi la protezione e la tutela dello spazio informatico con mezzi e tecnologie (come la crittografia dati, antivirus, monitoraggio accessi, filtri spam e firewall).
La protezione dei sistemi informatici va ben oltre le tecnologie e dei dati in sé, perché protegge ciò che spesso è sottovalutato: il valore delle aziende e della società stessa.
In fin dei conti, consegneresti mai i tuoi dati a un’azienda inaffidabile, che potrebbe causarti dei danni?
I 3 principi della sicurezza informatica
Confidenzialità, Integrità e accesso sono i principi alla base della sicurezza informatica – se ami gli acronimi, puoi chiamarli anche CIA.
Ecco cosa significano nel dettaglio:
-
- Confidenzialità: i dati informatici devono essere riservati e accessibili solo al personale autorizzato
- Integrità: i dati devono rimanere inalterati
- Accesso: i dati informatici devono essere disponibili quando necessari al personale autorizzato
Ritroviamo gli stessi principi nella sicurezza delle informazioni, che – lo ricordiamo – sono due aspetti ben distinti della sicurezza: la sicurezza delle informazioni si occupa di proteggere i dati aziendali, fisici e digitali; la cybersecurity protegge la sicurezza dei sistemi informatici.
Quali sono i rischi informatici più diffusi in azienda?
Partiamo da che cos’è il rischio: la probabilità che una minaccia può sfruttare la vulnerabilità di una risorsa, per causare danni all’organizzazione. In altre parole, se c’è un elemento in azienda che può essere violato, il rischio di ricevere dei danni c’è.
Tra i rischi informatici più probabili per un’azienda troviamo i blocchi al sistema, danni reputazionali, furto di informazioni e password, documenti o persino controlli di interi dispositivi.
I mezzi più diffusi per raggiungere questi scopi sono gli attacchi esterni, come gli ormai noti malware, ransomware, phishing.
Può sembrare un paradosso, ma il mezzo più pericoloso per la cybersecurity rimangono le persone e la cultura aziendale: si stima che il 67% degli attacchi informatici accade per errore umano, perché troppo spesso le persone all’interno dell’azienda attuano procedure sbagliate o insufficienti.
Le persone causano incidenti informatici in azienda per almeno quattro motivi:
- si sottostimano i rischi, perché le persone sono inesperte o non sono a conoscenza di procedure di sicurezza e regole (pensa agli stagisti di turno che vengono catapultati in un ambiente di cui non conoscono nulla)
- se ci sono delle regole, magari possono essere poco chiare o non condivise con il personale
- mancanza di aggiornamenti per la formazione, se hai fatto dei corsi in azienda sulla sicurezza informatica, le persone potrebbero aver dimenticato alcuni processi
- alcune persone all’interno dell’azienda possono recar danno volontariamente e con consapevolezza
Approfondiamo l’ultimo punto sul danno volontario dei dipendenti, perché è molto interessante capire cosa può succedere all’interno. I dipendenti possono cedere a ricatti di hacker in cambio di denaro o creare un danno per vendetta, mossi dalla rabbia e dalla frustrazione.
Per dare un’idea più precisa, il 90% degli incidenti informatici avvengono per mano di dipendenti interni, che hanno come motivazione principale la vendetta. Forse ricorderai il caso di Assange che aveva rubato una serie di documenti prima di andar via da WikiLeaks: questo è un esempio reale delle conseguenze e dei danni che una sola persona può fare all’interno di un’azienda.
A questo punto, possiamo affermare che il rischio maggiore per la cybersecurity aziendale è più che altro legato alla scarsa cultura. Non è da biasimare o incolpare, tuttavia uno stimolo a poter migliorare e fare di più.
Come si applica la sicurezza informatica in azienda?
Se per i privati è abbastanza facile tenere sotto controllo la sicurezza informatica con cambi password frequenti, attenzione a fornire informazioni online e all’apertura delle mail, per le aziende è determinante un piano d’azione strutturato.
E per piano strutturato, non basta affidarsi ad un’assicurazione, ma
- creare cultura sulla sicurezza informatica: istruire le persone in azienda sulle minacce, come evitarle, cosa fare in caso di emergenza e dopo. Perché, che ci piaccia o no, dopo un attacco informatico, nulla sarà come prima
- mettere in sicurezza i dispositivi, la rete, server e sistemi in cloud
- monitorare i sistemi regolarmente
- stilare un programma dedicato alla cybersecurity
Affinché ogni azione sia utile, è ideale stilare un programma in linea con gli obiettivi e la struttura, che parte dall’analisi del rischio.
Nella fase di analisi del rischio si valutano tre elementi:
- asset, cioè la risorsa e cosa vuoi proteggere (es. computer)
- vulnerabilità, che è la caratteristica degli asset, della risorsa e che rappresenta la debolezza dell’azienda (es. il mancato aggiornamento software)
- minacce, eventi accidentali potenziali, i dipendenti che possono danneggiare la sicurezza (es. accesso ad un sito dannoso che sfrutta la vulnerabilità, aprire la mail di phishing…)
L’analisi serve quindi a capire ciò che va protetto e come abbassare l’impatto di eventuali danni in azienda. Sottolineiamo anche che è impossibile proteggersi da tutto e per questo si sceglie cosa difendere in base alla probabilità, tralasciando gli scenari rischiosi che potrebbero avverarsi difficilmente.
In fondo, cosa sceglieresti tra un piano di azione in caso di meteoriti o un piano per l’attacco da un computer non protetto?
Conclusione
Se davvero esiste una conclusione nell’ambito della sicurezza informatica, visto che gli eventi e le tecnologie viaggiano ad una velocità estrema, l’aspetto più importante oggi e domani nelle aziende è la cultura alla cybersecurity.
Pensiamo all’introduzione della tecnologia e di oggetti smart in azienda con l’industria 4.0, in cui potrebbero accadere danni fisici disastrosi a causa di un robot hackerato, che non risponde più ai comandi di lavoro sulla linea.
Tenersi aggiornati e affidarsi agli esperti di cybersecurity rende le aziende più resilienti e stabili sotto tutti gli aspetti dell’organizzazione.