Cyber Security, Dine: sicurezza è responsabilità di tutti


aprile 11, 2018 Facebook Twitter LinkedIn Google+ Sicurezza informatica


Cyber Security, Dine: sicurezza è responsabilità di tutti
Intervista al Managing Principal Investigative Response Verizon RISK Team

Roma, 10 apr. (askanews) – In occasione della pubblicazione del Data Breach Investigations Report 2018 (Dbir) di Verizon, secondo cui gli attacchi ransomware rimangono tra le più temibili minacce informatiche per le organizzazioni a livello mondiale, Askanews ha intervistato Laurance Dine, Managing Principal Investigative Response Verizon RISK Team.

– I ransomware sono aumentati in modo esponenziale rispetto al 2017: +100%. Le tecniche di prevenzione non sono abbastanza efficaci? Oppure c’è ancora così tanto da fare a livello culturale?

“I ransomware – ha detto Dine – sono una tecnica estremamente proficua ber i cybercriminali, e, secondo i dati rilevati da Verizon, hanno iniziato a colpire gli asset più strategici delle aziende, non soltanto i PC, con un impatto, quindi, più forte. E non si limitano a questo. Infatti, le tecniche di attacco evolvono costantemente, e, finché ci saranno dati e/o denaro accessibile, in modo facile e veloce, questi saranno sempre nel mirino. E’ essenziale quindi che le aziende possano contare su una strategia di sicurezza esaustiva, dinamica e basata su dati inerenti alle reali attività di un determinato settore. Le aziende non possono più permettersi di attendere che le minacce informatiche si concretizzino, oppure di affidarsi a strategie di sicurezza create per rispondere a minacce che oggi non sono più attuali. Inoltre, la formazione costante per i dipendenti è fondamentale”.

– Ad oggi siamo sempre più sensibili in materia di minacce informatiche e, soprattutto, furti di dati (pensiamo al grande cambiamento introdotto dal GDPR, a tutela dei consumatori), ma non basta. Pensate che sia necessario insegnare cybersecurity e best practice fin dall’età scolare, come si tende oggi a fare con STEM e coding?

“Sono moltissime le aziende che pensano che il Gdpr sia unicamente un progetto di tipo legale, il che richiede molto tempo per avanzare, proprio per via dei passaggi legali. Se visto però unicamente in quest’ottica, le considerazioni più importanti dal punto di vista della sicurezza IT non vengono valutate, e molto spesso questo aspetto viene visto come una mera aggiunta alla fine di una procedura legale, e, a causa di questo, non viene applicato. E questo è un grave errore, perché il Gdpr richiede una tutela dei dati che parte dalla fase di progettazione ed è automatica, e che diventi quindi un incarico assolutamente normale. Coinvolgere, ad esempio, un consulente esperto in PCI DSS dall’inizio, significa applicare una strategia più metodica, strutturata con i seguenti step: progettazione degli obiettivi, definizione del progetto e degli obiettivi, analisi dei gap e valutazione dei rischi, soluzione e verifica finale. Uno degli obiettivi principali del Gdpr è limitare il rischio che i dati siano compromessi, e migliorarne invece la tutela, sia durante la processazione che durante l’archiviazione. Verizon chiama questa procedura un progetto di sicurezza IT”. Riguardo le best practice It, “fondamentalmente – secondo Dine -, crediamo che la sicurezza, intesa come conoscenza di questo concetto e delle minacce esterne, e una strategia di sicurezza, dovrebbe essere alla base della nostra quotidianità, nell’era digitale. Dovrebbe essere assolutamente inserita nelle scuole, gli studenti dovrebbero imparare a tutelare il proprio brand e le loro informazioni su internet, oltre che in azienda. Infatti, gli stessi concetti che si imparano per tutelare i nostri dati, sono applicabili all’ambiente di lavoro, e vice versa. Inoltre, non si può dimenticare che il settore istruzione è in possesso di una miniera di dati molto interessanti per i cybercriminali – stiamo parlando di ricerche, dati personali e studi protetti dalla proprietà intellettuale. Tra i punti principali su cui riflettere: 1) Gli attacchi DoS sono molto diffusi in questo settore, dunque potrebbero essere utili una strategia di difesa specifica e un piano di gestione per queste minacce nel momento in cui si scatenano. 2) Sia gli attacchi di phishing che gli errori vari iniziano dai dipendenti. Assicuratevi quindi che il vostro staff partecipi a sessioni regolari di lezioni sulla sicurezza, per diminuire l’efficacia di eventuali attacchi, e svolgete periodicamente audit sul vostro livello di sicurezza per essere preparati anche alle minacce nuove. 3) Gli attacchi relativi alle applicazioni web continuano a prendere di mira il settore istruzione, quindi è importante assicurarsi di utilizzare le versioni più aggiornate dei software in circolazione”.

– Che cosa possono fare gli utenti finali, dipendenti o clienti, a seconda del settore, per essere più sicuri in termini di cybersecurity?

“La sicurezza è una responsabilità di ognuno di noi. Il personale, i dipendenti, clienti, fornitori o consumatori a casa, tutti noi dovremmo essere al corrente delle potenziali minacce dei cybercriminali. Dobbiamo sapere dove si trovano le nostre informazioni digitali, chi ha necessità di accedervi e metterle in sicurezza. La formazione e la cultura informatiche, così come la consapevolezza all’interno delle organizzazioni e delle scuole possono essere molto utili, spiegando le tecniche utilizzate e il valore dei dati per chi li detiene. Tuttavia, questa consapevolezza va sviluppata in modo costante, i cybercriminali, infatti, non stanno a guardare e non si fermano, quindi non dovrebbero permetterselo nemmeno le strategie di sicurezza utilizzate dalle aziende per difendersi, e l’istruzione così fondamentale per promuoverne la conoscenza”.

 

http://www.askanews.it/economia/2018/04/10/cyber-security-dine-sicurezza-%C3%A8-responsabilit%C3%A0-di-tutti-pn_20180410_00291/