Cosa pensano i Ceo quando si parla di sicurezza


aprile 6, 2018 Facebook Twitter LinkedIn Google+ Sicurezza informatica


I Ceo hanno il compito di guidare tutte le operazioni e la pianificazione strategica delle loro aziende. Hanno grandi responsabilità e non possono essere competenti su qualsiasi argomento, soprattutto quelli tecnologici.

Quindi, possono essere perdonati se credono che le persone brillanti e capaci che mettono a capo della sicurezza IT stiano prendendo le giuste contromisure contro le minacce.

Negli anni hanno imparato una serie di miti sulla sicurezza IT che rasentano dogmi inavvicinabili, ma falsi. E quando si crede alle cose sbagliate, è difficile fare le cose giuste in modo efficiente. Ecco i miti comuni dei ceo relativamente alla sicurezza.

I miti dei Ceo per la sicurezza
Gli aggressori non possono essere fermati. La maggior parte delle difese sono così deboli e mal consigliate che hacker e malware possono irrompervi a loro piacimento. Le difese del computer sono così cattive e porose che ai ceo è stato detto che è impossibile fermare gli hacker e il malware.

La cosa migliore che possono fare è “presumere una violazione”,  lavorare al rilevamento precoce e rallentare gli aggressori una volta che sono nell’ambiente. Se è vero che un gruppo di hacker dedicato, finanziato dagli stati nazionali, non può essere facilmente fermato, la maggior parte degli hacker e dei malware può essere fermata facendo meglio una manciata di cose che l’azienda sta probabilmente già facendo, ma non nelle giuste quantità e nei posti giusti. Una strategia di sicurezza It più mirata e un paio di difese chiave potrebbero ridurre in modo significativo la maggior parte del rischio di intrusione di hacker o malware nell’ambiente.

Gli hacker sono smart. Il mondo pensa che gli hacker siano tutti geniali e brillanti e quindi molto difficili da fermare. Questo ideale romantico è promosso nei film di Hollywood, che spesso mostrano l’hacker che prende in consegna i computer di tutto il mondo facilmente indovinando le password in qualsiasi sistema. Gli hacker cinematografici superano tutti in fatto di astuzia e possono lanciare missili nucleari e cancellare le identità digitali delle persone con pochi tasti.

La realtà è che la maggior parte degli hacker hanno un’intelligenza media e sono più simili ad idraulici ed elettricisti che ad Einstein. Gli hacker sanno solo come compiere un particolare mestiere usando particolari strumenti, ma invece di idraulica ed elettricità si occupano di informatica. Questo non vuol dire che non ci siano hacker brillanti, ma sono pochi e lontani tra loro, proprio come in ogni altra professione. Purtroppo, il mito che tutti gli hacker siano brillanti rafforza il mito che non possono essere sconfitti.

La sicurezza IT sa dove intervenire. La realtà è che pochi team di sicurezza IT dispongono di dati reali per eseguire il backup di quelli che ritengono essere i problemi reali. Se il ceo dovesse chiedere quali sono le principali minacce alla propria organizzazione in ordine di importanza, probabilmente rimarrebbe sconcertato nel vedere che nessuno conosce davvero la risposta. Anche se qualcuno ha dato la risposta giusta, non avrebbe i dati per eseguire il backup. Il team della sicurezza It è invece pieno di persone che non sono nemmeno d’accordo su quali siano i problemi maggiori. Se il team non sa quali sono i problemi più gravi, come si possono combattere le minacce più gravi nel modo più efficiente?

La conformità alla sicurezza vuol dire maggiore sicurezza. I Ceo devono assicurarsi che le loro aziende soddisfino tutti i requisiti di conformità legale e normativa, vedi GDPR. Oggi, la maggior parte delle aziende è soggetta a requisiti di sicurezza IT multipli, a volte in disaccordo. Tutti i ceo sanno che se rispettano gli obblighi di conformità stanno facendo ciò che un tribunale interpreterebbe come sicuro. Purtroppo, ciò che è richiesto dalla conformità spesso non è lo stesso che essere sicuri, e a volte può essere in contrasto con la sicurezza reale.

Ad esempio, oggi sappiamo che i requisiti della policy in materia di password, che prevede l’utilizzo di password lunghe e complesse che devono essere cambiate frequentemente nel corso dell’anno, stanno causando maggiori rischi per la sicurezza rispetto all’utilizzo di password non complesse che non cambiano mai. È nella maggior parte delle raccomandazioni “ufficiali” di password inviate negli ultimi anni, incluse le pubblicazioni del Nist. La maggior parte dei responsabili della sicurezza IT e dei Ceo non ne sono a conoscenza. Anche se ne sono a conoscenza, non possono seguire le nuove e migliori linee guida per le password. Perché? Perché nessuno degli attuali requisiti normativi è stato aggiornato per seguire le nuove linee guida in materia di password. La conformità non è sempre uguale alla sicurezza. A volte, è il contrario.

La patch è sotto controllo. La maggior parte dei Ceo pensa di avere patch sotto controllo. Per controllo si intende che la conformità delle patch del software è aggiornata al 100% o quasi. La maggior parte dei reparti di sicurezza It probabilmente dice al ceo che le patch sono “quasi perfette”, probabilmente nel 90% dei casi, ma il diavolo è nei dettagli.

La maggior parte delle aziende hanno centinaia di migliaia di programmi che hanno bisogno di patch. La maggior parte di loro non ha mai bisogno di patch, non perché non hanno bug, ma perché gli aggressori non li attaccano. I bug non vengono trovati e non hanno bisogno di essere corretti. Nella maggior parte delle organizzazioni, la maggior parte dei rischi di hacking è rappresentata da 10-20 programmi non coordinati. Di questi programmi, la percentuale di accuratezza delle patch è probabilmente molto alta per la maggior parte dei programmi, con forse uno o due programmi che non vengono patchati alla stessa velocità degli altri. Sfortunatamente, sono proprio quei programmi non patch che presentano la maggior parte dei rischi nella maggior parte delle organizzazioni, ma se si riportano solo i numeri, potrebbe sembrare che la patch sia abbastanza buona.

La formazione dei dipendenti in materia di sicurezza è adeguata. Una delle due principali minacce per la maggior parte delle aziende è l’ingegneria sociale, sia in arrivo via e-mail o browser web, o forse anche una telefonata. Considerando solo gli attacchi che hanno causato il maggior numero di danni, l’ingegneria sociale è probabilmente coinvolta nel 99% dei casi. Tuttavia, la maggior parte delle aziende dedica meno di 30 minuti l’anno alla formazione in social engineering. Il mondo della difesa della sicurezza informatica ha identificato uno dei due problemi principali nella maggior parte delle organizzazioni (l’altro è il software non patch) eppure quasi nessuna organizzazione agisce in questo modo. Invece, i dipendenti non sono adeguatamente formati per impedire che l’ingegneria sociale abbia successo, e le aziende continuano ad essere ostacolate con successo, non importa che altro facciano, non importa quanto denaro o altre risorse apportino.

Cosa pensano i Ceo quando si parla di sicurezza