Supply chain, essere umano e corporate governance sono le tre aree di rischio per la sicurezza informatica nelle aziende. Occorrono misure concrete e urgenti.
L'emergenza sanitaria ha cambiato in maniera importante e repentina le dinamiche di rischio delle aziende. Complice il lavoro in
smart working, che tuttora molti dipendenti fanno ancora, i cyber criminali hanno
evoluto le tecniche d'attacco per sfruttare
distrazioni, preoccupazioni e altri punti di debolezza. Contestualmente, lo sgretolamento del perimetro di sicurezza aziendale ha mutato le tecniche d'attacco. Ora il bersaglio principale sono i dipendenti.
In questo scenario gli esperti di cyber security hanno definito
tre aree di rischio per la cyber security su cui concentrarsi nel 2020: supply chain, essere umano e corporate governance.
Supply chain
Symantec ha calcolato che nel 2019 gli attacchi della
supply chain sono aumentati del 78%. Il ritmo è tutt'altro che calato nel 2020. Per questo motivo la sicurezza informatica della catena di fornitura è continuamente sotto osservazione.
Le realtà più in difficoltà sono quelle senza team di cyber security dedicati. Spesso hanno difficoltà a valutare le pratiche di sicurezza della propria supply chain. Il rischio maggiore è l'
esposizione di dati sensibili, incluse le informazioni finanziarie, personali e strategiche, comprese le proprietà intellettuali.
Con la restrizione agli spostamenti imposta dal COVID-19 gran parte delle informazioni è transitata online, alzando il livello di rischio e mettendo in luce le carenze della supply chain. Alcune aziende hanno reagito chiedendo ai fornitori dei report dettagliati sulle strategie di gestione del rischio. Ove esistenti, i team di gestione della security hanno monitorato i rischi informatici dei fornitori implementando controlli di sicurezza, disponendo criteri e procedure aggiuntivi rispetto al passato.
Questo passaggio tuttavia non è semplice, soprattutto per le grandi aziende che collaborano con molte piccole imprese, poco strutturate in tema di cyber security e più esposte agli attacchi informatici. In questi casi individuare i problemi e imporre il rispetto delle best practice di sicurezza informatica è molto complesso.
L'essere umano
Tutti gli esperti di sicurezza informatica stanno mettendo in risalto la necessità di fare
formazione ai dipendenti sulle minacce informatiche. Purtroppo, la maggior parte degli attacchi è diffusa tramite
phishing, e molti abboccano tratti in inganno dalle tecniche di social engineering.
È necessario assicurarsi che i dipendenti all'interno dell'azienda non abbassino la guardia. È più facile a dirsi che a farsi, per questo occorrono supporti tecnologicamente adeguati, come le soluzioni di prevenzione basate sul
machine learning e sul monitoraggio comportamentale.
L'attacco a Twitter ha dimostrato come anche persone con una buona cultura informatica e con strumenti efficaci (l'autenticazione a due fattori) possano essere raggirate. Occorrono corsi, simulazioni e lezioni pratiche continue per innescare meccanismi efficaci di autodifesa sufficienti a impedire di cliccare su email ingannevoli o link malevoli.
Non vale solo per gli impiegati, ma anche in tutto il
settore sanitario, particolarmente martoriato durante la fase acuta della pandemia.
Inoltre, la formazione da sola non basta. La stanchezza, la fretta e il sovraccarico di lavoro possono portare a commettere errori. È quindi doveroso instaurare meccanismi che sgravino di responsabilità gli utenti. Per esempio,
sistemi biometrici al posto di quelli basati su password, turni di riposo garantiti e carichi di lavoro adeguati.
Un ambiente di lavoro equilibrato durante i periodi di crisi aiuta a contrastare le minacce informatiche e in ultimo a tenere al sicuro le aziende.
Corporate governance
Quello che è accaduto fra marzo e giugno ha messo in evidenza i limiti di gestione delle aziende in tema di cyber security. In molti casi è risultato palese che una mancanza di coordinamento fra i responsabili IT e i consigli di amministrazione
ha agevolato il lavoro dei cyber criminali.
Chi è responsabile della cyber security deve avere uno
stretto rapporto con la dirigenza aziendale, deve comunicare costantemente e presentare piani chiari e giustificati di investimento. Amministratori e dirigenti devono prendere coscienza del fatto che
la cyber security non è un costo per l'azienda, ma un investimento. E che in mancanza di investimenti il business è a rischio.
Consiglio di Amministrazione e responsabili della cyber security devono lavorare di concerto per accertarsi che l'azienda sia in grado di restare operativa indipendentemente dagli incidenti ambientali, sanitari o di sicurezza informatica. Quanto accaduto a fine febbraio ha fatto capire che cosa comporta non disporre di un piano di rischio ben fatto. Dovrebbe essere da insegnamento per non ripetere lo stesso errore.
Ora che tutti i piani di gestione del rischio sono da rifare, è bene tenere conto di tutte le evenienze e di predisporre piani chiari di risposta a qualsiasi incidente, al fine di assicurare la produttività aziendale.