Cos’è la sicurezza informatica ed è possibile metterla in atto? Si deve premettere che una sicurezza informatica aziendale totale, cioè garantita al 100%, è un’utopia. È comunque sempre bene ricordare che non esiste protezione senza una “politica della security”.
Con questo si intende un disegno strategico tale da definire, organizzare la riservatezza e integrità informatica e gestire tutti gli aspetti a essa collegati, da quelli tecnici a quelli di management e di business, incluse la confidenzialità e disponibilità dei dati.
Ciò significa che non è pensabile, per un’impresa che voglia proteggere i propri asset, guardare alla sicurezza informatica come un’attività “one time”.
La definizione di sicurezza informatica
Il termine sicurezza informatica, cyber security o sicurezza digitale si riferisce a tutte le procedure messe in atto per proteggere informazioni (sostanzialmente dati come account, file, immagini, ecc.) con azioni e pratiche di difesa di computer, dispositivi mobili, server, rete, dati e sistemi elettronici da attacchi e danni informatici.
È necessario impostare un insieme di attività che tenga conto, per esempio, di azioni quali l’identificazione delle aree critiche, la gestione dei rischi, dei sistemi e della rete, delle vulnerabilità e degli incidenti, il controllo degli accessi, la gestione della privacy e della compliance, la valutazione dei danni eccetera.
La definizione di sicurezza informatica, prima di tutto, deve far rima con disponibilità e integrità dei dati e riservatezza, oltre che delle informazioni, degli accessi.
Ecco quali sono le tre caratteristiche della sicurezza informatica
Qui di seguito sono dunque esplicitate le tre caratteristiche della sicurezza informatica. Si tratta di quegli aspetti su cui focalizzare l’attenzione per garantirsi di avere una corretta e adeguata gestione della security.
- Disponibilità dei dati, ossia salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati. Da un punto di vista di gestione della sicurezza significa ridurre a livelli accettabili i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.).
- Integrità dei dati, intesa come garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici.
- Riservatezza informatica cioè gestione della sicurezza in modo tale da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata e ovviamente data privacy.
Guida pratica per IT Manager all’Operational Risk Framework, clicca qui e scarica il White Paper
Il panorama e il significato di sicurezza informatica in Italia
Secondo l’Osservatorio Cybersecurity & Data Protection 2022 nel 2021 si è avuto un vero e proprio boom di mercato. Quest’ultimo ha infatti raggiunto nel 2021 i 1,55 miliardi di euro (+13% rispetto all’anno precedente).
Del resto le aziende hanno vissuto un aumento considerevole degli attacchi informatici (+15% nel primo semestre 2021 rispetto allo stesso periodo del 2020 secondo il rapporto Clusit 2021).
La crescita del mercato si contrappone a quanto accaduto l’anno precedente. Secondo i dati dell’Osservatorio Cybersecurity & Data Protection 2021 il Covid ha rallentato l’incremento di spesa in cybersecurity ma non l’ha fermato. Il mercato si è assestato su 1,37 miliardi di euro, in crescita del 4% rispetto al 2020.
Sicuramente, gli investimenti sono stati legati soprattutto alle conseguenze delle misure per l’anticontagio della pandemia, il 23% del totale è stato destinato all’endpoint security e il 14% alla data security, ossia a soluzioni per la protezione dei dati e dei singoli utenti.
1,3 miliardi euro era, invece, il valore del mercato della sicurezza informatica in Italia nel 2019, anno in cui è stato messo a segno un +11% rispetto ai dodici mesi precedenti. Sono dati dell’Osservatorio Information Security & Privacy 2020 del Politecnico di Milano che indicano che una crescita trainata in parte come conseguenza dell’aumento della consapevolezza indotta dalla regolamentazione, GDPR in primis.
Più nello specifico, la maggior parte della spesa si era concentrata in soluzioni tradizionali come la protezione della rete fisica e logica (36%), la sicurezza degli endpoint (20%) e la sicurezza applicativa (19%).
Dal canto suo Clusit, Associazione Italiana per la Sicurezza Informatica, lancia l’allarme evidenziando, nel Rapporto Clusit 2020, che ha potuto analizzare in Italia 1.670 attacchi gravi andati a buon fine, contro 1.552 nel 2018 (+7%) e 1.127 nel 2017. E che dal 2014 al 2019 la crescita è stata del 91,2%.
Sicurezza dei dati informatici: i 6 passi per proteggere il patrimonio di informazioni
I dati sono uno dei beni più preziosi per ogni business: analizzati e gestiti in modo efficace, infatti, possono avere un impatto positivo su molti aspetti operativi, dal marketing alle vendite. Ecco perché mettere in atto puntuali strategie di protezione dei dati e sicurezza informatica (ossia adottare politiche, metodologie e strumenti per mettere al sicuro l’infrastruttura aziendale) è fondamentale per il successo di ogni organizzazione.
Affidarsi al parere degli esperti in sicurezza informatica può pertanto essere utile per capire con chiarezza da dove iniziare.
Ma allora quale attività è fondamentale per la sicurezza informatica? Di seguito i (primi) sei passi fondamentali da compiere, soprattutto alla luce delle nuove direttive.
- Sapere quali sono i dati da proteggere (e dove sono)
Capire di quali dati dispone la propria organizzazione, dove si trovano e chi ne è responsabile. Questo è fondamentale per la costruzione di una buona strategia di data protection. - Formare i dipendenti
La privacy e la sicurezza dei dati sono una parte fondamentale del nuovo GDPR. Quindi è imprescindibile che il personale sia pienamente consapevole dell’importanza della salvaguardia del processo del trattamento dei dati personali. Statisticamente, infatti, gli esperti rilevano che i problemi di sicurezza IT più comuni e rovinosi sono proprio dovuti a errori umani. La perdita di una chiavetta USB o di un portatile contenente informazioni sensibili danneggia la reputazione dell’organizzazione o può portare a sanzioni. Anche una inadeguata gestione delle password può comportare dei rischi per l’azienda. - Creare un elenco dei dipendenti che hanno accesso ai dati sensibili
Proprio perché l’errore umano è foriero di problemi di sicurezza dei dati, mantenere un controllo serrato su chi può accedere a quali informazioni è importante. Occorre ridurre al minimo i privilegi e concedere l’accesso solo ai dati di cui ogni risorsa ha bisogno. Inoltre, l’inserimento di watermark (il marchio digitale che identifica l’autore di un file video, audio o di un’immagine, mediante un’invisibile trama di bit contenente le informazioni sul copyright, NdR) nei file può aiutare a prevenire il furto di dati da parte del personale e permette di identificare la fonte in caso di violazione. Questa pratica prevede l’aggiunta al database di record di rilevamento unici (i seed) che offrono la possibilità di monitorare il modo in cui i dati vengono utilizzati. Permettono inoltre di tracciare il loro percorso, anche nel caso in cui vengano spostati al di fuori del controllo diretto dell’organizzazione. - Effettuare un’analisi dei rischi
Gli esperti consigliano di effettuare regolari valutazioni del rischio per individuare eventuali potenziali pericoli per i dati dell’organizzazione. Con questa prassi dovrebbero essere esaminati tutti i tipi di minaccia identificabili (sia digitali che fisici): dalla violazione dei dati online, alle interruzioni di corrente. In questo modo è possibile identificare eventuali punti deboli nel sistema di sicurezza aziendale, stabilire le priorità e formulare quindi un preciso piano d’azione per evitare danni, riducendo così il rischio di dover poi far fronte a una violazione ben più costosa. - Installare il software di protezione affidabili ed eseguire scansioni regolari
Una delle misure più importanti per la protezione dei dati e la sicurezza informatica è anche una delle più semplici. Con un buon sistema di prevenzione attiva e scansioni regolari è infatti possibile ridurre al minimo la minaccia di una perdita di dati. Investire in un buon software antivirus e antimalware aiuterà a non far cadere le informazioni sensibili nelle mani sbagliate. - Eseguire regolarmente il backup dei dati più importanti e sensibili
Effettuare un backup regolare è una pratica spesso trascurata. Poter contare su una continuità di accesso alle informazioni rappresenta una dimensione fondamentale della sicurezza informatica. Se si considera quanto tempo e quali sforzi son necessari per recuperare i dati, è chiaro che una strategia di backup è una mossa vincente.
Il ruolo dei sistemi di identity and access management per la protezione
La protezione delle informazioni e la sicurezza informatica delle applicazioni aziendali sui dispositivi mobili è solo garantita da un sofisticato sistema di controllo delle identità. È il parere degli esperti di TechTarget che, in particolare, fanno riferimento ai sistemi di identity and access management (IAM).
I sistemi IAM cercano da sempre di rispondere a quesiti fondamentali per la sicurezza IT aziendale: “Chi ha accesso a cosa e perché?” “Come rafforzare le policy di accesso?”.
Gli esperti concordano nel dire che ogni azienda dovrebbe essere in grado di rispondere a queste domande in modo rapido e corretto.
Purtroppo, nella realtà non è ancora così. Solitamente, infatti, implementare un sistema IAM maturo risulta troppo complesso e costoso. D’altro canto, però, i costi derivanti da un attacco rischiano di essere ancora più gravosi.
I sistemi IAM impediscono agli hacker di accedere a privilegi, applicazioni e dati sensibili degli utenti una volta compromesse delle credenziali.
I sistemi IAM e l’organizzazione interna
L’identity and access management aiuta inoltre a soddisfare i requisiti di conformità relative a separazione dei ruoli. E lo fanno applicando policy di accesso per account e dati sensibili, e facendo sì che gli utenti non dispongano di privilegi eccessivi.
Secondo gli esperti i sistemi IAM possono ridurre i costi di helpdesk (con modalità self-service di reimpostazione delle password e aggiornamento dei profili). E migliorano la produttività dei dipendenti (consentendo un log-in veloce, ad esempio utilizzando il single sign-on).
Il sistema di identity and access management fornisce informazioni su come gli utenti usano le applicazioni (chi ha effettuato il log-in, quando, quali dati ha usato). Queste possono essere utilizzate non solo per motivi di sicurezza informatica, ma anche per comprendere i modelli tipici di interazione. È possibile analizzare come lavorano i dipendenti e come si comportano i clienti in merito ad acquisti. E anche in relazione a come si interagisce con sito o app. Conoscere e comprendere questi aspetti rappresenta la chiave per semplificare, migliorare e ottimizzare le esperienze d’uso di dipendenti e clienti.
Lavoro nella sicurezza informatica
Tra le competenze più richieste in questo momento vi sono quelle che appartengono al profilo di esperto di sicurezza informatica. Il lavoro nella sicurezza informatica è in crescita, ma cosa si deve sapere fare per potersi candidare per una posizione in questo ambito?
Le competenze di chi lavora nella cyber security devono garantirgli la possibilità di calcolare i rischi di attacco, prevenire le minacce e mitigare i rischi. Servono in generale skill di security engineer, data security administrator, network security architect.
Secondo le rilevazioni del portale Reteinformaticalavoro tra le richieste di professioni informatiche in Italia quella dell’esperto in security è in crescita. D’altra parte, Capgemini sottolineava che nel 2020 la richiesta di talenti in cybersecurity arriveva dal 72% di società. Tale domanda rispetto all’offerta faceva emergere un divario di competenze pari al 25%.
CISO e DPO: chi sono i responsabili della sicurezza informatica aziendale
Sono tante le figure che operano in questo settore, in particolare il CISO è il responsabile della sicurezza informatica di un’azienda. Nelle aziende può essere impiegato l’ICT security manager che gestisce la politica di sicurezza, così come hacker etici (white hat contrapposti ai black hat) ossia coloro che scoprono le falle nei sistemi informatici per contrastare i criminali che se ne approfitterebbero.
Vi è poi un’altra figura fondamentale: il Data protection officer – DPO, obbligatorio nelle aziende si occupa di proteggere i dati secondo quanto stabilito dal Regolamento per la protezione dei dati europeo – GDPR. Ecco qui di seguito quanto sono diffuse alcune di queste competenze.
Competenze: quali sono e quanto sono diffuse le figure professionali al lavoro sulla sicurezza informatica
In base a quanto rilevato dall’Osservatorio Information Security & Privacy a proposito dei ruoli legati alla security più diffusi nelle organizzazioni durante il 2018 si è avuto il boom del Data Protection Officer. Ben il 65% delle aziende monitorate dal Politecnico di Milano hanno formalizzato al proprio interno questa posizione.
D’altra parte, non si è avuta la stessa velocità di diffusione del Chief Information Security Officer CISO che era già presente nel 47% dei casi.
Continua a essere assente nel 37%, dove le questioni sicurezza sono affidate al CIO o alla figura che cura sicurezza fisica e logica.
Data privacy e sicurezza informatica
La digital transformation ha fatto crescere esponenzialmente la quantità di informazioni digitali a disposizione delle aziende. Tra queste tantissime sono di tipo personale e, in particolare, sensibili.
Data privacy e cyber security del patrimonio informativo sono gli obiettivi del GDPR. Il regolamento europeo è quindi un documento fondamentale per le aziende. Include indicazioni su misure organizzative, processi e tecnologie finalizzate a ridurre i rischi di compromissione dei dati critici aziendali.
Chi viola quanto stabilito dal GDPR è soggetto a pesanti sanzioni. Queste possono ammontare siano a 20 milioni di euro o al 4% delle entrate. E quanti sono stati penalizzati da un eventuale data breach ha diritto al risarcimento dei danni.
