Come affrontare in modo olistico la Cyber Security

Governo IT, Impresa & Organizzazione, Strategia ICT, Tattica ICT, , , , , , , , , , ,

Cyber_security_holistic_approach

L’autorevole rapporto 2016 del Clusit (Italia), che raggruppa centinaia di esperti e un gran numero di soggetti pubblici e privati, riassume in modo molto chiaro come il 2016 è considerato l’anno con il maggior numero di minaccie di sicurezza informatica.
Malware +116%, phishing attraverso il social engineering addirittura +1166%, oltre il 70% degli attacchi complessivi è finalizzato ad estorcere denaro; le strutture che hanno subito un maggior bersagliamento fanno parte del settore socio sanitario con un +102% seguito dalla GDO +70% e dal settore bancario/finanziario con +64%.

Questo trend di statistiche mostra come la tematica non è affatto una moda del momento ma piuttosto una delle più reali e concrete minaccie per le aziende ed il mondo d’affari, in costante e vertiginoso aumento. Si tratta del comune “rovescio della medaglia”, legato alla pervasiva digitalizzazione delle aziende che inevitabilmente accompagna ai numerosi vantaggi una maggiore esposizione ai rischi di tipo cibernetico.

Da quando il tema della Cyber Security – terminologia che ha meglio ridefinito gli ambiti del concetto di sicurezza informatica in riferimento alla protezione degli beni aziendali digitali, quale risposta ai rischi di utilizzo inappropriato e criminale – è diventato comune, molti operatori del settore ICT hanno iniziato ad interessarsi da vicino allo specifico argomento con l’obiettivo di essere in grado di rispondere in prima persona a questo tipo di richieste da parte dei potenziali clienti

L’approccio olistico di analisi di i3ct, che ne contraddistingue la strategia e la capacità di differenziarsi dai competitors, ha portato anche in questo ambito a gestire la tematica sia con una visione dall’alto (top-down) che dal basso (bottom-up).
Sebbene sia poco credibile gestire la sicurezza solo dall’alto, attraverso delle direttive ed un piano di difesa aziendale ad alto livello, in quanto le minaccie reali arrivano dal basso attraverso sofisticate tecniche e tecnologie di exploit di sistemi ed apparati per l’appropriazione di dati sensibili; è tuttavia nel contempo difficile pensare che conoscere il modo con cui gli hacker agiscono, possa permettere da solo di ottenere un’efficace piano di difesa poiché esso limita ad individuare la vera vulnerabilità e l’effetto ma non ne scopre l’origine e la reale causa.

Per questi motivi i3ct ha ottenuto in questo ambito due importanti certificazioni: la Cyber Security Professional in ambito di Ethical Hacking per conoscere approfonditamente cosa si trova “sotto il cofano” della cyber criminalità e come agire in modo etico per ottenere i responsi che permettono agli hacker di sferrare gli attacchi in modo mirato, unita alla ISO 27001 Lead Auditor che si appoggia alla governance IT applicata al contesto di sicurezza per definire un piano strategico che a grandi linee da un lato definisca gli asset a maggior impatto legato al rischio di minacce cyber e dall’altro determini quali azioni compiere per mitigare efficacemente il rischio.

Il rapporto del 2016 di KPMG © per la Svizzera ha raccolto dati in sintonia con key players, legati ad un campione di aziende elvetiche intervistate.
Circa l’80% delle aziende non ha un piano di gestione delle minaccie strutturato per quanto concerne il monitoraggio tecnico di attività sospette, un’appropriata classificazione dei dati ed un efficace sistema di comunicazione per il coordinamento interdisciplinare.
Ben il 75% degli intervistati inoltre sostiene che il focus per gestire al meglio le minaccie cyber va posto nell’approccio coordinato di persone, processi e tecnologie.

Il prossimo 28 marzo, all’hotel Dante di Lugano, grazie alla nomina di Andrea Cherubini a membro di comitato di itSMF Suisse e responsabile per l’area italofona, e dalla sempre attiva e proficua collaborazione con Ated, avrà luogo il primo evento legato alle tematiche di IT governance e Service Management con un approccio pratico e valido supporto del governo IT al tema della sicurezza informatica.

L’evento, il primo di una serie di eventi legati alla tematica in Ticino, sarà gratuito per attirare e costruire un gruppo di lavoro locale.

 

Referenze:
I dialoghi, Cyber Security Training & Consulting
http://idialoghi.com/news/rapporto-clusit-2017/?utm_source=dlvr.it&utm_medium=twitter
Clusit: Associazione Italiana per la Sicurezza Informatica
https://clusit.it/rapporto-clusit/
KPMG © Rapporto per la svizzera in tema di Cyber Security


Cherubini Andrea, i3CT
ICT Consultant
http://icnhub.com/andrea-cherubini/