Amit Yoran, Presidente di RSA, la Divisione di Sicurezza di EMC (NYSE:EMC), e William Robertson, Assistant Professor, College of Computer and Information Science della Northeastern University, hanno collaborato alla stesura di un white paper con l’obiettivo di sensibilizzare le organizzazioni a puntare al successo delle politiche di sicurezza aziendali, valorizzando al meglio le best practice esistenti per affrontare le sfide richieste dal mercato.
Le indicazioni contenute nel white paper, principalmente rivolte ai professionisti che si occupano di sicurezza, vogliono contribuire a migliorare l’approccio strategico e tattico rispetto ad esigenze di sicurezza aziendale sempre più complesse evidenziate dalle stesse aziende, in uno scenario sempre più critico.
E’ un dato di fatto che il numero di cyber attacchi e frodi sia in costante aumento, a fronte di organizzazioni non sufficientemente preparate ad affrontarli; gli impatti di queste violazioni sul business sono importanti.
· Secondo ‘The Global State of Information Security® Survey 2015’1, il numero di incidenti correlati alla sicurezza delle informazioni è cresciuto del 48%, a livello globale, arrivando a 42,8 milioni di segnalazioni, l’equivalente di 117.339 attacchi al giorno.
· Secondo lo stesso studio, gli incidenti rilevati sono aumentati del 66% su base annua dal 2009.
· A livello globale, la perdita finanziaria media dovuta ad incidenti di sicurezza informatica è stimata in 2,7 milioni dollari, in aumento del 34% rispetto al 2013.
· Quest’anno, le perdite di tipo ‘grave’ sono state più frequenti e il numero di aziende che ha denunciato danni finanziari superiori a 20 milioni di dollari è quasi raddoppiato.
A ciò si aggiungono ulteriori considerazioni:
· Vi è una mancanza di ‘situational awareness’, ovvero l’assenza di una chiara visione del panorama delle minacce informatiche, che viene affrontata con risposte di tipo reattivo ed estemporaneo, non finalizzate alla prevenzione;
· Di conseguenza, il budget destinato all’acquisto di tecnologie di prevenzione è sproporzionato rispetto a quello per soluzioni in grado di rilevare e rispondere alle intrusioni;
· Esiste un “gap di competenze”, ovvero la mancanza di professionisti della sicurezza che siano in grado di comprendere realmente i processi di business dell’azienda in cui operano, e dunque di mettere in campo corretti interventi per raccogliere e analizzare intelligentemente i dati.
· Mancano competenze e conoscenze circa i possibili servizi di sicurezza che si possono gestire in cloud, con l’obiettivo di aumentare le risorse in-house.
Il white paper si chiude con alcune raccomandazioni e consigli che possono essere di supporto ai professionisti che lavorano sul campo per migliorare la pianificazione strategica e le risposte tattiche; l’attenzione si deve focalizzare non tanto sugli attacchi che vengono rilevati e con quale grado di successo vengono fermati, ma sui dati potenzialmente persi e sulle cause che hanno permesso tale perdita.
Siate preparati – Controllo e prontezza devono essere intrinsechi a qualsiasi piano di sicurezza informatica; il solo controllo degli accessi non è sufficiente a difendersi dagli attacchi, che sono frequenti e sferrati con strumenti sempre nuovi alla ricerca di punti deboli.
Definire le priorità – Non tutte le informazioni hanno lo stesso valore; è importante distinguere quelle mission-critical da quelle business-critical;.
Adattarsi all’infrastruttura IT – I professionisti della sicurezza devono essere in grado di comprendere che elementi come cloud, mobility, BYOD ecc rappresentano per loro una sfida nella programmazione di piani e programmi di sicurezza; saperne massimizzare i vantaggi, consci delle specifiche problematiche di sicurezza che presentano.
Eliminare i punti ciechi – non lasciare “dark place” nell’infrastruttura, in cui criminali potrebbero nascondersi; fare leva sulle tecnologie esistenti per avere visibilità di ogni aspetto del business, della rete, dei device e del comportamento dei singoli utenti
Assecondare il ‘lavoro social’ – di fronte all’utilizzo di device personali all’interno delle aziende, ormai di uso comune e a volte persino incoraggiato, è necessario mettere a punto policy, procedure e programmi coerenti di formazione e training affinché tutti i dipendenti siano al corrente dei protocolli di sicurezza in essere.
In sintesi, la fiducia nella tecnologia è ben riposta; tuttavia, un’analisi umana insufficiente, inadeguata o addirittura assente può rendere inefficace la tecnologia, pertanto le aziende devono continuare a testare e rafforzare i processi di sicurezza interni.
