I rischi di cybersecurity derivanti dalla carenza di competenze interne alle aziende

In uno scenario globale che ha visto un drammatico aumento degli attacchi informatici negli ultimi tre anni, la presenza di adeguate competenze interne in materia di Information Security è diventato un fattore determinante per la tutela delle aziende.

Infatti, a fronte anche dei dati esposti nell’ultimo rapporto Clusit, nel primo semestre 2022 è stato registrato un incremento del + 53% del numero di attacchi rispetto allo stesso periodo dell’anno scorso. Oltre al numero, è risultata essere aumentata la Severity, cioè l’impatto stimato degli attacchi. Di frequente si tende a ricercare esternamente all’azienda la fonte di Cyber-attacchi, al contrario rilevanti risultano essere i rischi e le minacce a cui un’azienda è esposta a causa di Insider aziendali che possono danneggiarla, sia intenzionalmente che per negligenza.

Tipici esempi di azioni da parte dei dipendenti che possono danneggiare le aziende, anche involontariamente, sono l’apertura di e-mail di Phishing, la mancata o inadeguata partecipazione alla formazione in materia di Information Security, la perdita di dispositivi aziendali contenenti dati e informazioni, la condivisione di file e di e-mail senza un’adeguata conoscenza delle Policy e delle procedure di Data Classification, navigazione su siti Web dannosi e installazione di Software non autorizzato.

Fortunatamente, le Best Practices di riferimento e le normative di settore forniscono linee guida tecniche e organizzative anche a presidio di tali rischi, tra le quali:

  • Disegno e implementazione di adeguati modelli di valutazione, monitoraggio e controllo dei rischi ICT e di sicurezza – di particolare attualità nel settore Bancario il 40° aggiornamento della Circolare 285 di Banca d’Italia in cui sono stati modificati il Capitolo 4 “Il sistema informativo” ed il Capitolo 5 “La continuità operativa” al fine di attuare le Linee guida EBA sulla gestione dei rischi inerenti alle tecnologie dell’informazione.
  • Implementazione di adeguati processi e strumenti per il monitoraggio dei Client dei dipendenti e delle infrastrutture ICT tramite soluzioni quali SIEM, EDR e XDR – il continuo monitoraggio consente una rapida rilevazione di “exploit” e di attività sospette. Infatti, tramite tecnologie come le Suite EDR, le aziende possono monitorare gli endpoint per rilevare comportamenti sospetti nonché registrare e analizzare ogni singola attività ed evento. Inoltre, la correlazione delle informazioni raccolte consente di eseguire attività di risposta automatiche, come l’isolamento di un endpoint infetto dalla rete quasi in tempo reale.
  • Implementazione di adeguati modelli di “Role-Based Access Control” e di “Segregation of Duties”, finalizzati a restringere al massimo i privilegi di accesso dei singoli dipendenti sui sistemi e ad evitare conflitti tra le attività nei processi operativi. Un modello “Role Based Access Control” (RBAC), rappresenta un presidio di “controllo d’accesso basato sui ruoli’’ (e sulle mansioni effettive dei singoli dipendenti) che concorre al governo della sicurezza delle informazioni e risulta essenziale per il rispetto dei principi di “Least privilege” e “Need to know”. La “Segregation of Duties” (SoD) si basa sul non concentrare su un unico soggetto le responsabilità di un processo o di un’attività critici, per evitare errori o frodi, e consente di comprendere quali siano i processi e le attività potenzialmente in conflitto SoD, identificando anche azioni correttive.
  • Implementazione di Policy e procedure di Data Classification che rendano possibile la realizzazione di un adeguato livello di protezione delle informazioni e dei dati aziendali. La Data Classification ha l’obiettivo di classificare i dati secondo determinate categorie di rischio e criticità e di definire adeguate modalità di trattamento del dato (trasmissione elettronica, spedizione per posta interna/esterna, archiviazione, stampa, copia, ecc.).
  • Sessioni di formazione obbligatorie, con frequenza almeno annuale, in materia di Information Security Awareness dirette a tutto il personale, incluso il management e le figure direzionali. Lo scopo (oltre al rendere l’azienda Compliant a normative come GDPR, Direttiva NIS, Framework NIST ed ISO 27001) è accrescere la responsabilità degli utenti, favorendo un atteggiamento maggiormente attivo nei confronti delle possibili minacce alle quali essi stessi, in quanto parte dell’azienda, sono esposti.
  • Campagne simulate di Phishing attraverso strumenti automatizzati, ad esempio tramite piattaforme ah hoc in cloud, che riflettono le minacce di phishing in corso e future.  La simulazione si avvale dell’inserimento di marchi noti, che sono spesso protagonisti in campagne di Phishing reali, e fondamentale risulta essere la realizzazione di un apprendimento attivo del destinatario.
  • Verifiche periodiche da parte della funzione Internal Audit in ambito ICT e sicurezza rappresentano presidi di monitoraggio essenziali per rendere la sicurezza aziendale conforme alla crescente evoluzione dei rischi ICT e di sicurezza, anche a fronte della maggiore esposizione dovuta alla crescente digitalizzazione dei processi di Business. Ciò implica un ruolo determinante per chi effettua l’Audit interno su tematiche ICT e di sicurezza, al fine di individuare se l’azienda sta adottando un approccio appropriato, efficace ed efficiente, rispetto agli Standard internazionali di riferimento nonché a leggi e regolamenti vigenti.
  • Informative ai dipendenti nel processo di Onboarding contenenti le linee guida di sicurezza delle informazioni definite dall’azienda – secondo la “Society for Human Resource Management (SHRM)” un corretto Onboarding si basa sulle cosiddette ‘’Quattro C’’: Compliance, Clarification, Culture, Connection. La prima di queste (Compliance) riveste un ruolo fondamentale per la sicurezza delle informazioni. Infatti, soltanto tramite un’adeguata comunicazione ed una formale approvazione da parte dei dipendenti delle linee guida per la sicurezza delle informazioni aziendali, è possibile introdurre un efficace deterrente e costruire un’adeguata consapevolezza in merito a tali tematiche, con la finalità di ridurre drasticamente il rischio di violazioni.
  • Definire ruoli e responsabilità in materia di Information Security e Cybersecurity per tutti i dipendenti – per innestare adeguati presidi tecnici e organizzativi in relazione alla sicurezza delle informazioni all’interno dell’organizzazione, molteplici standard internazionali suggeriscono la nomina di un “Chief Information Security Officer (CISO)” (anche in Outsourcing), quale responsabile del governo della sicurezza delle informazioni, e l’implementazione di processi, strumenti e unità organizzative di IT Security Operations. Tuttavia, la crescente incidenza di Cyber attacchi di Phishing, Social Engineering e furto di credenziali, dimostra altresì l’importanza di non considerare la sicurezza come una responsabilità esclusiva di tali figure e unità aziendali e di come sia necessaria una formale responsabilizzazione sul tema per tutti i dipendenti a prescindere da ruoli, mansioni e responsabilità.

A conferma dell’importanza di tali presidi tecnici e organizzativi a protezione delle informazioni aziendali, è essenziale tenere conto dei dati ufficiali emanati dai Player globali che operano in ambito Information Security e Cybersecurity. Infatti, secondo Trend Micro, leader mondiale di soluzioni Enterprise di Cloud Security, il recente incremento del lavoro da remoto ha comportato un maggiore utilizzo delle soluzioni basate su Cloud, che ha causato un aumento di alcune tipologie di attacco informatico, quali: sfruttamento di configurazioni Cloud errate, Social Engineering, sfruttamento di problemi nel controllo degli accessi, Phishing, furto di credenziali ed Escalating Privilege.

Interessanti anche i dati emersi dal report “Cost of Insider Threats Global Report – 2022” di Proofpoint realizzato dal Ponemon Institute che ha rilevato un aumento del 44% in due anni degli Insider Threats (cioè causati da dipendenti o collaboratori negligenti ed insider criminali) in cui la causa principale della maggior parte degli incidenti (il 56%) risiede nei dipendenti o collaboratori negligenti mentre soltanto il (26%) sarebbe originato da Insider criminali. Solitamente gli incidenti causati da Insider negligenti sono frutto dell’inosservanza di Policy di sicurezza, mancanza di protezione dei dispositivi, assenza di patch o aggiornamenti. Parallelamente, rispetto al biennio precedente, anche il furto di credenziali ad opera di Cyber criminali risulta essere raddoppiato.

Dedalo GRC Advisory, Società di consulenza specializzata nell’ambito dell’IT & Security Governance, Risk and Compliance, opera da più di vent’anni al fianco dei propri clienti per supportarli nella strutturazione e nel governo e nell’implementazione dei principali presidi di sicurezza delle informazioni.

Per ricevere ulteriori informazioni clicca qui

di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor

di Giulia Pagnotta Consultant – IT & Security Governance, Risk Management, Compliance @ Dedalo GRC Advisory

COVID-19: un piano di “Reboot”

La pandemia da COVID-19 ha coinvolto il nostro paese a partire dal mese di febbraio, provocando uno Shock combinato sull’offerta e sulla domanda di beni e servizi senza precedenti in tempi di pace.

Al blocco di molte attività economiche disposto dal governo, considerato necessario per ridurre l’impatto del virus sulla popolazione, si è associato un crollo della domanda nella maggioranza dei mercati.

I dati emanati da Confindustria parlano di prospettive economiche compromesse, stimando una caduta del PIL nel secondo trimestre, rispetto a fine 2019, di circa il 10%. Inoltre, la ripartenza sarà comunque frenata dalla debolezza della domanda di beni e di servizi:

Figura 1: dati ufficiali Confindustria

In tale contesto, le aziende di tutto il mondo stanno affrontando parallelamente una moltitudine di sfide:

  • gestire più efficacemente il proprio “Cash Flow”,
  • adeguarsi ai continui cambiamenti normativi e fiscali imposti dai governi,
  • modificare celermente i propri processi operativi e la propria tecnologia per promuovere lo “Smart-Working”,
  • rivisitare i propri obiettivi strategici e i relativi Budget per allinearli all’attuale contesto.

Sulla scorta di ciò, risulta plausibile stimare l’impatto organizzativo della ripartenza su alcune delle principali funzioni aziendali, che si trovano in questo periodo a ridisegnare le attività e gli obiettivi con la finalità di dare un contributo fattivo alla propria realtà aziendale per contrastare l’attuale crisi.

Dedalo GRC advisory intende pertanto fornire un contributo pratico e immediato, condividendo una sintetica infografica riportante alcune tematiche da attenzionare all’interno delle principali funzioni aziendali maggiormente impattate dai cambiamenti in corso:

I suggerimenti evidenziati prendono vita da esperienze pluriennali maturate su molteplici realtà operanti in diverse Industry, nonché dal senso di responsabilità sociale che guida le nostre iniziative in questo particolare momento di necessità per l’economia del nostro Paese.

La pandemia da COIVD-19 ha cercato di dividerci, ora più che mai per “Ripartire con successo” è necessario rammentare quanto ognuno di noi può fare la differenza, anche attraverso la condivisione del proprio “Know-How” con le aziende e gli imprenditori che ne hanno maggiore necessità … in fondo, anche il tessuto economico è un organismo vivente nel quale ogni cellula fa la sua parte.


di Daniele Binda Senior Manager – IT & Security Governance, Risk Management, Compliance and Finance @ Dedalo GRC Advisor

Comunicato Banca D’Italia dilazione termini e altre disposizioni

La Banca d’Italia, in data 20 marzo u.s,. ha pubblicato sul proprio sito istituzionale la comunicazione: “Proroga dei termini e altre misure temporanee per mitigare l’impatto del COVID-19 sul sistema bancario e finanziario italiano”.

L’Autorità ha ritenuto opportuno adottare “misure miranti ad agevolare lo svolgimento delle attività delle banche e degli intermediari non bancari vigilati” al fine di agevolare lo svolgimento delle attività da parte delle banche e degli altri intermediari vigilati dalla Banca d’Italia.

In particolare il Comunicato prevede la dilazione dei termini in relazione agli adempimenti espressamente individuati nel testo che troverete in allegato e che risulta essere, a seconda degli adempimenti considerati,  di 60 e 150 giorni. Tali dilazioni si applicano anche alle banche significative, in relazione alle materie di competenza della Banca d’Italia.

La comunicazione richiamata contiene, inoltre, considerazioni inerenti alle ulteriori valutazioni in corso, relative agli obblighi segnaletici (Segnalazioni di Vigilanza e Centrale dei rischi) ed al calendario delle visite ispettive.

La Banca d’Italia ha peraltro evidenziato la necessità fondamentale di considerare ed affrontare il rischio di pandemia nei piani di emergenza. Le banche meno significative e gli altri intermediari vigilati sono invitati a rivedere i piani di continuità operativa e a considerare quali azioni possono essere intraprese in modo di minimizzare i potenziali effetti avversi della diffusione del COVID-19.