Evangelizzare i decisori aziendali partendo dal peggior scenario
Quando si tratta di sicurezza informatica, tra le aziende italiane si incontra ancora un po' di resistenza. Si perpetua così il classico security paradox: mentre a un hacker non costa nulla lanciare un attacco, risolverne le conseguenze costa parecchio. Eppure l'equazione è abbastanza semplice: meno si spende in soluzioni per la protezione, più costerà un eventuale – ma non sempre possibile! – recupero. Spesso, il motivo per cui comunemente si pensa che gli attacchi non siano poi così frequenti è solo perché chi subisce un attacco, preferisce nasconderlo.
Assumere un CISO
Capita che anche in aziende molto grandi, pochi conoscano e sappiano cosa si occupa un Chief Security Officer. La sicurezza dei sistemi informatici è, infatti, spesso affidata al CIO, all'IT Manager o ai tecnici, che però hanno moltissime altre cose a cui badare: sistemi per la gestione dei contenuti, per l'elaborazione dei dati, programmazione, e così via. Ecco che spesso la sicurezza informatica, che non produce risultati ma protezione, finisce nel dimenticatoio. In realtà si tratta di un tema talmente complesso che richiede studio e aggiornamento costanti e quindi una figura totalmente dedicata. Non dimentichiamo che le vie degli hacker… sono infinite, osserva Collacciani.
Coinvolgere hacker etici per test di penetrazione
Una volta implementate le soluzioni di sicurezza è importante collaborare con esperti, ad esempio con i famosi white hat, che svolgano il preciso compito di metterle alla prova. Questa metodologia di test è spesso usata anche per provare la sicurezza fisica degli ambienti: perché non dovrebbe essere utile anche per quella virtuale? Attenzione: anche i provider di sicurezza che si è scelto probabilmente offrono servizi di penetration testing ma il consiglio è quello di rivolgersi a un'entità terza. In Italia, esistono alcune aziende specializzate: basta digitare "ethical hacking" in Google e affidarsi poi al passaparola per verificarne la serietà.
Attuare un piano di risposta agli incidenti
In tutte le aziende sarebbe molto utile che venga reso disponibile - a portata di mano - un libro rosso, un documento condiviso che contenga le linee guida da seguire in caso di attacco: sia in termini di comunicazione con l'esterno, sia in termini di azioni da svolgere all'interno. Anche se un attacco informatico mira ai dati o al sito, ciò che viene colpito è in realtà tutto il sistema: la comunicazione, il marketing, il legal. Tutti debbano essere preparati.
Il modo più semplice per rubare informazioni riservate è dall'interno
Spesso le aziende spendono migliaia di euro per proteggersi da attacchi provenienti dall'esterno, dimenticando che questi possono arrivare anche dall'interno. Per proteggersi, il consiglio è quello di installare software intelligenti in grado di monitorare chi accede a cosa nei sistemi informatici aziendali e segnalare tentativi di accesso sospetti. Non solo matematica, è necessario essere molto attenti anche nella fase di selezione dei candidati, soprattutto per posizioni nel dipartimento IT.
La sicurezza totale e per sempre non è possibile.
In generale, vale una sola regola: la sicurezza completa da qualsiasi tipologia di attacco informatico o violazione non esiste. Collacciani suggerisce quindi di diffidare da chi vuole convincere del contrario. Le metodologie e le tecniche di attacco sono in continua evoluzione e così devono esserlo anche i sistemi di protezione.