Le notizie di violazioni di account, banche dati, con il conseguente furto di dati sensibili sono all’ordine del giorno. Social network, retailer, personaggi pubblici e organizzazioni politiche, banche e istituzioni – il caso più recente ha visto coinvolto il comitato elettorale del Partito Democratico Statunitense – sembra non esserci distinzione tra le vittime.
La diffusione, la frequenza e la pervasività degli attacchi, tuttavia, non deve lasciare spazio all’idea che non vi sia nulla da fare, accettando di conseguenza la vulnerabilità come inevitabile.
Secondo Enrico Orlandi, CEO di HWG, società di consulenza e servizi in ambito di IT che lavora con numerose organizzazioni finanziarie e istituti di credito nazionali e internazionali, c’è comunque un importante problema di “awareness”, di consapevolezza, che deve coinvolgere non solo i responsabili IT, ma anche quelli delle diverse unità business che risiedono alle funzioni più critiche all’interno delle organizzazioni.
“È importante che all’interno delle organizzazioni – spiega Orlandi – vi siano ruoli e persone definiti, preposti a seguire tutto quanto ha a che vedere con la sicurezza. E soprattutto bisogna che il loro ruolo si esplichi anche al di fuori dell’IT, stabilendo policy, guideline, regulation, alle quali attenersi a prescindere dal fatto che il proprio ruolo abbia o meno a che fare con l’It. La sicurezza deve essere una responsabilità in capo a tutti e a ciascuno”.
HWG nasce dal mondo delle reti e delle infrastrutture, ha sede a Verona e da un paio di anni ha aperto una filiale a Singapore per poter meglio operare come security operation center 24 x 7 con i suoi clienti italiani e internazionali, con attività che coprono l’arco delle 24 ore. Ha una struttura di 20 persone, cui affianca una nutrita rete di collaboratori, in particolare a Singapore.
Lavora sia con clienti che coprono sia il mondo bancario, sia quello dell’industria.
Proprio tramite il proprio Security Operaiton Center, la società offre servizi di diagnostica proattiva, rilevazione degli incidenti, analisi e mitigazione, servizi di assessment e di manutenzione dell’integrità dei sistemi.
Alla luce delle esperienze acquisite, Orlandi ha definito cinque domande alle quali ogni responsabile dovrebbe saper rispondere, per comprendere quanto a rischio sia l’infrastruttura di cui si occupa:
- Hai effettuato di recente un’analisi ed una revisione indipendente del livello di sicurezza IT dei sistemi e applicazioni IT di cui sei responsabile?
- Hai la certezza di avere un adeguato livello di protezione degli accessi relativamente alle applicazioni IT più critiche dell’azienda?
- È stato sviluppato all’interno della tua azienda un sistema per la gestione della sicurezza delle informazioni che vengono trattate?
- Quanto tempo è passato dall’ultima volta che hai effettuato un processo completo di revisione e ottimizzazione dell’infrastruttura di rete?
- Il livello di sicurezza dei sistemi è monitorato? E’ in linea con le best practice di settore ?
“Sono le domande tipiche con le quali iniziamo la fase di assessment di sicurezza nel mondo bancario. Ma siamo sicuri che la banca e un’impresa siano così diverse dal punto di vista della sicurezza? A mio avviso no, l’approccio è, o dovrebbe essere, esattamente lo stesso. E seguire tre regole fondamentali”.
- La prima: effettuare un Security Assessment o Risk Assessment sui sistemi IT
- La seconda: implementare le misure per la riduzione dei rischi o “remediation plan” focalizzato sui punti di debolezza individuati
- La terza: attivare un sistema di monitoraggio continuo incentrato sulla sicurezza