Ci apprestiamo a chiudere l’anno 2020 che ha visto le organizzazioni costrette ad operare in condizioni di emergenza determinata dal manifestarsi dello scenario pandemico.
L’esperienza maturata e l’attenzione agli errori passati dovranno generare nel 2021 proposte per superare alcuni vecchi comportamenti in tema di gestione della sicurezza informatica.
Il cambiamento richiede importanti sfide culturali, alcune delle quali andremo di seguito ad analizzare.
Gestione di un problema VERSUS Rinvio dell’intervento fino alla crisi
Troppo spesso le organizzazioni rinviano la gestione di problematiche manifeste fino all’inevitabile aggravarsi del fatto rilevato che può comportare, ad esempio, un attacco cyber o un disservizio al cliente.
Esempi classici di mancate azioni riguardano il rifiuto a spegnere un server per una corretta applicazione di patch, piuttosto che la scelta di continuare a lavorare utilizzando hardware e software obsoleti per risparmiare budget.
Questo atteggiamento operativo e culturale comporta una operatività malata con conseguenze negative per l’immagine dell’organizzazione.
È necessario, quindi, che i rischi derivanti dal rinvio degli interventi e le possibili conseguenze siano condivisi con il Top Management in modo tale da supportarlo nel processo decisionale.
Sicurezza come supporto al Business VERSUS Sicurezza come limite al Business
Da sempre la sicurezza è vista come il principale freno all’innovazione e alle attività di business. Tale visione deve cambiare.
La sicurezza oggi gioca un ruolo fondamentale nel business; essa è la chiave del vantaggio competitivo, conquistando la fiducia dei clienti e proteggendo il nome dell’azienda.
Il Chief Information Security Officer (CISO) di oggi non deve solo essere esperto di tecnologia ma deve sostenere l’Head of Business per una sicurezza allineata e di supporto alle necessità del mercato.
La sicurezza non deve rappresentare solo una difesa dell’organizzazione da attacchi ed imprevisti ma deve essere sempre più un elemento facilitatore di decisioni che bilanciano la necessità di protezione ed una efficiente gestione delle attività.
A sua volta, il responsabile del business deve rispondere anche del livello di sicurezza dei servizi offerti sul mercato.
Investimenti VERSUS Contenimento di risorse
La pandemia ha visto molte aziende investire in sistemi IT, ad esempio fornendo computer portali per favorire lo smart working ai dipendenti o potenziando la network per garantire a tutto il personale il lavoro da remoto.
L’aumento degli attacchi informatici, specie durante la pandemia, ha evidenziato che la sicurezza non va mai in vacanza. Sono stati identificate lacune e punti di miglioramento che devono essere affrontati e risolti principalmente aumentando gli investimenti in modo da fronteggiare scenari di attacchi sempre più sofisticati.
Assunzione di rischio VERSUS Ignorare il rischio
Gestire la sicurezza non significa solo adottare le azioni necessarie per l’eliminazione di tutti i rischi.
Il processo di governance prevede l’identificazione dei rischi e la loro analisi con relativa misurazione. Nel caso non sia possibile implementare le azioni necessarie alla loro cancellazione o nel caso tal azioni siano possibili solo nel medio o lungo termine allora la soluzione da adottare è una mitigazione ed accettazione del rischio.
Fondamentale, infatti, è la conoscenza del rischio e delle possibili conseguenze da parte del top management. Al management si richiede, quindi, non di ignorare i rischi ma di comprenderli e di assumersi la relativa responsabilità.
L’accettazione del rischio deve ovviamente prevedere una data di scadenza ed un piano di mitigazione e/o eliminazione del rischio entro il termine stabilito.
Awareness continua VERSUS Formazione una tantum
Come ormai è noto con sicurezza informatica si intende una materia molto ampia ed in continua evoluzione. L’ultimo buon proposito sta nel riconoscere che la cybersecurity è in continua evoluzione e per questo necessita che il personale sia continuamente formato e sensibilizzato.
Non solo le aziende devono pianificare budget per investimenti hardware, software, di network o infrastrutturali ma anche di training ed awareness.
Naturalmente tutto il personale riveste un ruolo fondamentale per quanto concerne la sicurezza dell’organizzazione in quanto coinvolto direttamente nell’uso di strumenti informatici e piattaforme che interagiscono fra loro.
Un attacco informatico banale spesso si insinua nella posta elettronica utilizzata da tutto il personale. Per questo motivo, è importante fornire a tutto il personale gli strumenti per affrontare le minacce derivanti dalla loro attività, riconoscerle e se possibile evitarle.
In conclusione, molte saranno le sfide che le organizzazioni dovranno affrontare nel corso del 2021 ma sicuramente investire su dipendenti formati e sensibilizzati sulle vulnerabilità delle organizzazioni sarà il presupposto necessario per la crescita futura delle stesse.
Articolo a cura di Lisa Da Re
L’articolo Sicurezza informatica: buoni propositi e sfide culturali per il 2021 proviene da ICT Security Magazine.
Sono in progressivo aumento le imprese italiane che investono in sicurezza informatica, tuttavia le realtà produttive del nostro Paese utilizzano le risorse quasi esclusivamente per strumenti di prevenzioni di attacchi, mentre sono ancora poche, se non pochissime, le aziende che hanno già attivi dei piani di recupero in caso di data breach.
Per un’azienda di medio-grandi dimensioni è consigliabile iniziare da tre step di base per redigere un programma di sicurezza completo:
- Creazione di un team di sicurezza informatica
Per un’azienda di medio-grandi dimensioni è anzitutto fondamentale, anche alla luce dell’ormai noto GDPR, investire nella creazione di un team dedicato alla sicurezza informatica che può suddividersi in:
- Team Esecutivo
Fa parte di questo team il CIO (Chief Information Office) o CISO (Chief Information Security Office) che, rispondendo direttamente al CEO, è responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
Oltre al CIO fa parte dell’esecutivo anche il DPO (Data Protection Officer). Le due figure del CIO e del DPO non possono assolutamente essere ricoperte dalla stessa persona, per un ovvio conflitto di interessi, in quanto uno dei compiti del DPO è quello di verificare che i trattamenti realizzati nei sistemi informatici (quindi decisi dal CIO) siano rispondenti alle norme.
- Team della sicurezza
In questa categoria decisamente ampia rientrano figure con varie specializzazioni, sono responsabili delle operazioni di sicurezza quotidiane, tra cui l’analisi del rischio, la gestione delle risorse, la valutazione delle minacce e le vulnerabilità, il monitoraggio e controllo della rete. Il team di sicurezza può essere suddiviso in una serie di sottogruppi dedicati alla gestione delle reti, alle operazioni, alle applicazioni e alla sicurezza offensiva.
- Adozione di un framework
L’approccio aziendale alla cybersecurity può basarsi su degli standard ormai consolidati che possono tornare molto utili. In particolare il NIST (National Institute of Standards & Technology) propone un framework che prevede cinque compiti principali: identificare, proteggere, rilevare, rispondere, ripristinare.
Su ispirazione di questo framework è nato nel 2015, in Italia, il Framework Nazionale per la Cybersecurity e la Data Protection, uno strumento di supporto preziosissimo per tutte le realtà che necessitano di strategie e processi volti alla protezione dei dati personali e alla cyber security.
- Inventario dispositivi, software e strumenti
La prima operazione pratica a cui il team di sicurezza dovrà dedicarsi è l’inventario di base sulla sicurezza dell’azienda.
Gli elementi da raccogliere sono:
- Client e server con relative versioni dei software, inclusi smartphone e tablet.
- Dispositivi di rete. Router, switch, firewall etc.
- Internet, domini, certificati SSL, hosting, cloud e condivisione file, social network, server di posta elettronica
- Email aziendali
- Software, licenze e rinnovi
I dati e le informazioni devono essere classificati secondo un criterio che tenga in considerazione la loro criticità (es. dati pubblici, dati solo per uso commerciale, dati riservati, dati segreti).
Servizio di Allerta Pericoli Informatici
In questa pagina trovere le Infografiche di Informatica Legale offerte da “Informatica in Azienda” diretta dal Dott. Emanuel Celano. Selezionate dal link qui sotto l’infografica di vostro interesse.
LISTA DELLE INFOGRAFICHE ( l’informatica legale per immagini ) :
- Come Difendersi dalle Truffe Online
- Copia autentica di Pagine Web e Chat WhatsApp
- Denuncia per Diffamazione su Internet
COME DIFENDERSI DALLE TRUFFE ONLINE
Difendersi dalle truffe online è divenuto un imperativo per tutti. Ecco alcuni consigli offerti da “Informatica in Azienda” diretta dal Dott. Emanuel Celano, per difendersi al meglio. Versione interattiva qui : https://www.analisideirischinformatici.it/sicurezza/infografica/ – pagina con l’articolo completo di tutti gli argomenti trattati [ click qui ]
COPIA AUTENTICA PAGINE WEB E CHAT WHATSAPP
Servizio professionale dedicato a privati ed aziende, offerto da “Informatica in Azienda” diretta dal Dott. Emanuel Celano, per avere una copia autentica di una pagina web o di una chat whatsapp con valore legale valido in tutto il mondo. Versione interattiva qui : https://www.analisideirischinformatici.it/sicurezza/infografica/ – pagina con l’articolo copia autentica pagina web [ click qui ] e pagina per copia autentica chat whataspp anche da remoto
DENUNCIA PER DIFFAMAZIONE SU INTERNET
Cosa fare in caso di Diffamazione su Internet ? Ve lo dice “Informatica in Azienda” diretta dal Dott. Emanuel Celano, grazie al servizio professionale di supporto e raccolta prove informatiche con valore legale, per effettuare una denuncia per diffamazione su siti internet o sui social network. Versione interattiva qui : https://www.analisideirischinformatici.it/sicurezza/infografica/ – pagina con l’articolo Denuncia per diffamazione su Internet [ click qui ]
Potete approfondire qui AnalisiDeiRischiInformatici.it
Servizio di Allerta Pericoli Informatici
L’articolo Infografica Informatica Legale proviene da .
Diventare un Hacker è da sempre il tuo sogno nel cassetto? La Sicurezza Informatica è un tema che da sempre ti affiscina ma non sai da dove iniziare?
Inforge.net è lieta di presentare HACKLOG, la serie TV professionale interamente dedicata all’IT Security e all’Ethical Hacking. Con i nostri video-corsi interamente gratuiti potrai apprendere, facilmente, la via dell’esperto in IT Security.
Inizia il tuo viaggio qui: https://youtu.be/fL3ub7hsnig
I corsi sono TOTALMENTE gratuiti e rispettano le leggi sull’abuso informatico in vigore nello Stato Italiano. Sono disponibili ebook gratuiti e copie cartacee (a pagamento) presso il nostro sito https://www.hacklog.it
# Link Utili #
+ Sito Web: https://www.hacklog.it
+ Facebook: https://www.facebook.com/hacklog.it/
+ Forum: https://www.inforge.net
# Copyright #
Gli argomenti di questo video sono a titolo gratuito, rilasciati su licenza Creative Commons 4.0 Italia. I contenuti audio-visivi sono su licenza proprietaria o riservati.
# SEO
linux ubuntu vpn tor corso programmazione 2017
Video Rating: / 5
L’assenza di misure efficaci di protezione, mettono in guardia gli esperti, rischia di generare nell’immaginario collettivo l’idea che le tecnologie digitali siano più una fonte di rischio che di sviluppo. E se considerare la sicurezza informatica un “bene pubblico” fosse la via maestra per proteggere lo sviluppo sostenibile dell’economia digitale? Se cioè il compito di garantire un livello sufficiente di difesa fosse in capo al settore pubblico, ancor prima che al settore privato, o ancora se la collaborazione tecnologica e la condivisione delle informazioni avessero la meglio sulle diffidenze tra aziende e Paesi? Il nostro futuro nell’era 4.0 non sarebbe forse meno nebuloso di quello che gli hacker ci stanno prospettando? Trovare le risposte a queste interrogativi non è un gioco da ragazzi, anche solo perché per loro natura escludono risposte semplici e immediate. Di certo c’è che quando negli anni ’50 del Novecento Paul Samuelson, economista premio Nobel nel 1970, partorì la prima definizione di “public good” (lett. “bene pubblico”), forse solo il più visionario dei futurologi avrebbe potuto prevedere che a oltre 60 anni di distanza quel paradigma avrebbe animato il dibattito sul futuro. Eppure, non solo così è ma non potrebbe essere altrimenti visto il peso che la sicurezza informatica ha assunto nell’era digitale, in cui alle opportunità di sviluppo sociale ed economico offerte dal cloud, dall’intelligenza artificiale, dall’Internet of Things e da altre innovazioni, fanno da contraltare le opportunità criminali che stanno facendo le fortune degli hacker. Una lotta continua tra bene e male a suon di tecnologia che, secondo alcuni esperti, potrebbe trovare nel concetto di bene pubblico una svolta a vantaggio dei buoni. Il bene pubblico dell’era 4.0 Ne è assolutamente convinto il tandem italiano tutto al femminile formato da Mariarosaria Taddeo, research fellow e deputy director del Digital Ethics Lab dell’Università di Oxford, e Francesca Bosco, project lead cyber-resilience del Centre for Cybersecurity del World Economic Forum (Wef), che ad agosto hanno pubblicato sulle pagine online del Forum economico mondiale un approfondimento dal titolo emblematico: “Dobbiamo trattare la sicurezza informatica come un bene pubblico. Ecco perché”. Continua la lettura su https://www.repubblica.it ( articolo di Andrea Frollà )
L’articolo Il rebus della sicurezza informatica ora va considerata bene pubblico proviene da .