Open Cloud Academy #18 – Tutto sulla cyber security, con Alvise Biffi.

Cyber Security e PMI: presente e futuro della sicurezza informatica.

Ne parliamo con Alvise Biffi, Amministratore Delegato di Secure Network, società specializzata in cyber security, e Presidente di Piccola Industria di Confindustria Lombardia e Coordinatore Steering Committee Cyber Security Assolombarda.

Sicurezza informatica: una panoramica generale

Quando si parla di security, l’inglese aiuta come linguistica visto che si distingue tra Security e Safety, cosa che invece in italiano è tradotta sempre con la stessa parola: sicurezza.

La parte di Security racchiude tre pilastri fondamentali:

  • Riservatezza delle informazioni, che è quello che viene di solito associato immediatamente al termine security.
  • Integrità dei dati e delle informazioni.
  • Disponibilità di poter avere questi dati e queste informazioni quando mi servono, per inquadrare anche la complessità della security oltre che della Cyber security.

É evidente che già due di questi pilastri sono in contrasto tra di loro, perché il primo è riservatezza e l’ultimo è disponibilità.

Più deve essere riservato meno può essere disponibile, più è disponibile meno può essere riservato.

Chi si occupa di security e di Cyber security in particolare, deve sempre bilanciare molto bene i parametri per garantire la giusta riservatezza, con la disponibilità.

Siamo nell’era dell’industria 4.0 e l’economia 4.0 sono basate sui big data. Sono nuovi modelli di business basati sull’opportunità di raccogliere enormi moli di dati e saperli elaborare più in fretta degli altri, così da trovare dei nuovi modelli strategici che ci aiutino ad essere più competitivi.

Di conseguenza, da un lato devo tutelare la riservatezza di questi dati, ma devo essere anche capace di poter attingere alle informazioni che elaboro da questi dati prima di tutti gli altri.

 

Rischi & Modalità

I dati sul mercato italiano, tramite gli studi della Banca d’Italia e dell’Osservatorio del Clusit, l’associazione sulla cyber security indicano che i settori più colpiti statisticamente sono quello energetico, il settore della grande distribuzione e il settore della sanità.

All’interno di queste macro categorie vediamo che, contrariamente al comune sentire, non c’è una differenziazione sostanziale tra piccole e grandi aziende.

Il tema della Cyber security negli ultimi anni poi si è spostato molto su ambiti estorsivi.

Oggi è uno degli introiti principali della criminalità organizzata che ha l’obiettivo di monetizzare gli attacchi informatici. 

Questo è un sistema trasversale veicolato principalmente attraverso il Phishing:  mail truffaldine che ti inducono a cliccare un link, o a scaricare un allegato, o a dare delle informazioni utili ad avere un accesso con delle credenziali ai propri account aziendali. 

Capita sistematicamente a tutti di ricevere almeno un tentativo di Phishing. Purtroppo, essendo sempre più sofisticati, si vede il miglioramento anche in queste tecniche. 

Facendo un esempio in termini di linea di produzione, se questa un volta connessa viene bloccata da un malware, non sempre un ripristino è facile e possibile. Dato che le linee di produzione sono linee di macchinari complesse e concatenate tra di loro, a volte alcune componenti di queste linee di produzione hanno dei vincoli di software o di hardware che non consentono gli aggiornamenti alle ultime versioni.

 

GDPR & Cyber Security

GDPR, General Data Protection Regulation, è un primo passo verso una normativa più estesa di Security by Design, che vada a settare già dalla produzione tutta una serie di parametri. E’ sicuramente una normativa che anche da un punto di vista di impostazione fa un passo avanti, perché non parla più di misure minime standard per tutti,  ma parla di misure adeguate contemperate al rischio specifico dell’attività.

A livello operativo impone un processo più oneroso per l’azienda, perché è necessario fare un’analisi dei rischi e una mappa delle minacce. Bisogna capire quali possono essere gli impatti del concretizzarsi di queste diverse minacce sull’attività imprenditoriale, e strutturare dei processi di sicurezza adeguati a quelli che sono i rischi, andando poi eventualmente anche a sanare un eventuale rischio residuale, che con tutto il tema delle polizze sulla Cyber security si sta scoprendo e aprendo proprio in questi anni.

Da un punto di vista di impostazione e di cultura del come affrontare il tema è un grande passo in avanti, e c’è stato un fortissimo impatto per le imprese. 

 

Mini guida per le PMI in 2 punti

Quali sono quindi i due consigli fondamentali alla luce di tutto quello che ci siamo detti? 

  1. Mappa del rischio dell’impatto: per sapere come risolvere un problema è capire se ho il problema, e in che misura è presente. Capire qual è il proprio livello di rischio, la propria esposizione è importante.
  2. Formazione del personale: se le persone non sanno, difficilmente possono rendersi utili all’azienda.

 

Se sei interessato a scoprire dei dettagli aggiuntivi sull’argomento ti consiglio il Podcast Open Cloud Academy #20 – Strumenti evoluti di email securityScoprirai assieme a Marco Viscardi come gestire correttamente la tua sicurezza via email!

Cerca tra i podcast:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *