Ormai sia gli specialisti del settore che il pubblico più generalista sono quasi abituati a numeri di data leaks e data breach da record. Come dimenticare il data breach di Yahoo – rivelato nel 2017 – che nel 2013 coinvolse 3 milioni di account? Così come i casi di Adult Friend Finder, che nel 2016 causò l’esposizione dei dati di 412 milioni di utenti, e di Equifax, che nel 2017 portò alla violazione di oltre 160 account. Ultimo in ordine temporale, ma non di volumi, è quello di Linkedin che nel giugno 2021 coinvolse 700 milioni account, il 92% degli utenti totali del social network, appena due mesi dopo che 500 milioni di profili erano stati messi in vendita su un popolare forum di hacker.
Le fughe e violazioni di dati sono in costante aumento e interessano un numero sempre più importante di account e informazioni, tanto che è ormai difficile tenere traccia di tutte le notizie a riguardo. E, fatto forse ancora più allarmante, spesso i cyber criminali utilizzano tecniche poco sofisticate per portare a termine i propri attacchi, dimostrando così l’estrema vulnerabilità di numerose aziende nell’ambito della sicurezza informatica.
Anche se in certi casi questa fragilità è in parte dovuta allo scarso interesse delle aziende verso il tema della cybersecurity, e quindi ad una loro negligenza, non è il caso di generalizzare. Negli ultimi anni, infatti, la sicurezza informatica sta acquisendo un ruolo sempre più centrale per le organizzazioni, passando da essere una tematica considerata di nicchia a ordine del giorno nei Consigli di Amministrazione. Molto più frequentemente, le insidie derivano da un approccio sbagliato alla security. Sono diversi, infatti, gli ambiti in cui vengono attuate strategie di cybersicurezza inadeguate, spesso a causa di preconcetti, fretta di risolvere la questione o mancanza di fiducia verso partner e consulenti. In particolare, sono quattro gli ambiti in cui è possibile commettere degli errori capaci di indebolire il proprio approccio alla sicurezza.
Concentrare il proprio programma di security sul vecchio concetto di perimetro aziendale, è un errore che commettono ancora diverse organizzazioni, senza accorgersi che, al giorno d’oggi, questo è più ampio e meno definito che nell’era pre-cloud.
Con l’avvento della nuvola, è infatti venuto meno il concetto di confine aziendale da difendere, ed è quindi più corretto immaginare i dati che si vogliono proteggere posizionati in contenitori logici, differenti tra loro ma interconnessi. La superfice d'attacco è aumentata, perché è cambiata la modalità di distribuzione dei servizi da parte delle aziende. Non solo il multi-cloud o modalità ibride, ma anche l'introduzione di nuovi paradigmi e metodologie come il serverless computing e devops hanno contribuito a rendere inefficaci le strategie di security utilizzate in passato. In fase di assessment, sia per noi provider di servizi di security che per le aziende clienti è dunque diventato fondamentale interrogarsi sul reale perimetro dei dati aziendali. Sottovalutare i rischi della supply chain o non affrontare il tema della share responsability quando si valuta il cloud nelle sue declinazioni - IaaS, PaaS, SaaS - sono esempi di errori comuni. Identificare il threat model corretto richiede pensiero, brainstorming, collaborazione e comunicazione con i giusti interlocutori.
In caso di mancato rilevamento di un possibile attacco, spesso la debolezza o la falla vengono ricercate nella soluzione di security adottata.
In realtà, nella maggior parte dei casi, il fallimento è da individuare nella strategia che si è scelto di implementare. Infatti, prima ancora della tecnologia proposta è opportuno individuare l’approccio alla sicurezza più corretto per la propria organizzazione.
Anche se la tecnologia svolge un ruolo fondamentale nei servizi di Managed Detection and Response (MDR), strumenti come Endpoint Detection and Response (EDR), Sonde Network, Security Information and Event Management (SIEM) e deception technology hanno il compito di completare una strategia di cybersecurity ben ponderata, ma non la determinano. In altre parole, prima è necessario studiare l’approccio alla sicurezza più appropriato per l’organizzazione e solo in seguito possono essere selezionate le tecnologie che lo valorizzano al massimo.
Il terzo ambito da considerare è quello degli utenti. Sono definiti l’anello debole della catena, capaci di eludere il controllo del miglior Security Manager, e quindi il vettore perfetto per fare penetrare un ramsomware all’interno di un’organizzazione. Per questo motivo vengono sottoposti a innumerevoli simulazioni di phishing e a corsi di formazione obbligatori sotto forma di video pillole. In realtà, aumentare la sicurezza informatica in azienda dipende fortemente dalla creazione di una solida cultura della cybersecurity.
Le organizzazioni dovrebbero fornire gli strumenti culturali necessari per rendere le proprie persone i primi sostenitori del programma di cybersecurity, e per farlo non è sufficiente organizzare dei corsi, ma è importante far comprendere la ragione di certe procedure e processi.
Fornire informazioni sul programma di sicurezza adottato dall’azienda e rendere le attività di security awareness adeguate alla propria audience e coinvolgenti, andando ad affrontare anche il tema della cyber hygene in ambito non strettamente aziendale, sono elementi che possono contribuire al raggiungimento di questo obiettivo. È vero che il lavoro da remoto rende gli utenti più vulnerabili, ampliando le potenziali superfici di attacco e portando complessità nei rapporti con il reparto IT, la cui distanza fisica può comportare difficoltà di comunicazione nel caso di dubbio su un possibile attacco.
D’altra parte, una maggiore consapevolezza e strumenti più intuitivi e user-friendly, che consentano di consultare con facilità un tecnico preparato nel caso di un sospetto di attacco, contribuiscono a trasformare gli utenti nei primi alleati dell’azienda in ambito di sicurezza informatica.
Infine, la scelta di un servizio MDR adatto alle proprie esigenze e, soprattutto, alla propria dimensione aziendale, anche a costo di dover richiedere adattamenti e personalizzazioni, è determinante per il successo di una strategia di cybersecurity. Nell’ultimo periodo, i provider di questo tipo di servizi – soprattutto se basati su tecnologie EDR e XDR – sono cresciuti a dismisura, e questo per le organizzazioni è sicuramente un bene, perché ha stimolato un ampliamento dell’offerta e una maggiore competitività anche dal punto di vista economico. D’altro canto, i servizi di questa tipologia, soprattutto se proposti da vendor che operano sul mercato globale, sono diventati prodotti da scaffale poco inclini a raccogliere le esigenze della piccola e media impresa italiana.
È quindi necessario valutare con attenzione quanto e cosa sia compreso nel servizio offerto e se questo effettivamente risponda alle nostre aspettative, ma soprattutto se il provider proponga anche un’assistenza personalizzata e servizi su misura, in grado di rispondere a criticità ed esigenze nuove, magari non previste durante l’iniziale fase di contratto.
Le tecniche del cybercrime evolvono continuamente, esponendo costantemente le aziende a nuove minacce. Lavorare al fianco delle organizzazioni e, con onestà, renderle consapevoli di rischi e priorità, è cruciale per incrementare la loro postura di cybersecurity aziendale e per instaurare un ciclo continuativo di miglioramento della sicurezza e di ottimizzazione degli investimenti. Con questo obiettivo, in Deda Cloud trasformiamo le migliori tecnologie in soluzioni con al centro le persone, disegnando le strategie di sicurezza intorno alle caratteristiche peculiari e alle esigenze dei nostri clienti.