05/07/2016 di Redazione

Aziende nel caveau per una sicurezza a prova di banca

Proteggersi dagli attacchi informatici è sempre più importante, ma non sempre le imprese adottano tutte le contromisure disponibili per difendersi dai cybercriminali. Enrico Orlandi, Ceo di Hwg, ci spiega cosa possono fare i responsabili It per alzare il

immagine.jpg

Sicurezza, questo è il problema. Solo nel 2015 sono state oltre 315 milioni le vittime del cybercrimine, per un “fatturato” nero di oltre tre miliardi di euro. Le frodi bancarie aumentano ogni anno del 150 per cento e causano una perdita di circa 500 milioni di euro soltanto nel Vecchio Continente. “Siamo certi che per la sicurezza dei dati delle imprese e delle banche oggi venga fatto tutto il possibile?”, si è chiesto Enrico Orlandi, Ceo di Hwg, società di consulenza e servizi in ambito It. I punti all’ordine del giorno, secondo Orlandi, sono due. Il primo ha a che fare con l’awareness, che deve coinvolgere non solo i responsabili It, ma anche quelli delle diverse unità business che ricoprono le funzioni più critiche all’interno delle organizzazioni. “Quali sono le domande che devono porsi questi responsabili?”, si è domandato Orlandi, che ha stilato una cinquina di interrogativi importanti per la sicurezza.

 

Enrico Orlandi, Ceo di Hwg

 

1) Hai effettuato di recente un'analisi e una revisione indipendente del livello di sicurezza dei sistemi e applicazioni It di cui sei responsabile?

2) Hai la certezza di avere un adeguato livello di protezione degli accessi alle applicazioni It più critiche dell'azienda?

3) È stato sviluppato un sistema per la gestione della sicurezza delle informazioni che vengono trattate?

4) Quanto tempo è passato dall'ultima volta che hai effettuato un processo completo di revisione e ottimizzazione dell'infrastruttura di rete?

5) Il livello di sicurezza dei sistemi è monitorato? È in linea con le best practice di settore?

Il secondo punto è relativo invece a come un’azienda debba affrontare il problema della cybersecurity. Come una banca? Sono davvero così diverse dal punto di vista della sicurezza? L'approccio è lo stesso e possiamo indicare un vademecum per un percorso comune costituito da tre punti fondamentali:

1) effettuare un security assessment o risk assessment sui sistemi It, con l’obiettivo di analizzare il livello di rischio dei sistemi informatici in termini di sicurezza e come tale deve essere inserito in un processo di It Security Risk Management. Uno dei modi più efficaci per ottenere questo risultato è svolgere l'attività seguendo alcuni standard o modelli (framework) internazionali, che hanno già raggiunto una notevole maturità e sono utilizzati in numerose e differenti realtà per complessità e tipologia;

2) implementare le misure per la riduzione dei rischi (remediation plan) focalizzato sui punti di debolezza individuati;

3) attivare un sistema di monitoraggio continuo incentrato sulla sicurezza con particolari caratteristiche, che deve essere caratterizzato da alcune caratteristiche particolari che lo rendano efficace durante tutto il ciclo di vita della minaccia o dell'attacco: dall'identificazione, alla protezione e al ripristino, fino alla prevenzione. Il team incaricato di svolgere questa attività deve quindi avere competenze adeguate, disporre di un’organizzazione a più livelli in grado di fornire un servizio continuativo e infine poter contare su strumenti avanzati di monitoraggio che diano informazioni su più aree.

 

ARTICOLI CORRELATI