Come difendere l’azienda dagli attacchi informatici? I suggerimenti di Akamai. In Italia spesa per sicurezza ferma a 1-2% del budget IT

Come evidenziato dall’ultimo Rapporto sulla Sicurezza di Akamai, riferito al primo trimestre dell’anno in corso, all’inizio del 2015 si sono registrati nuovi record nel numero di attacchi DDoS, più che raddoppiati rispetto all’inizio del 2014 e in crescita del 35% rispetto all’ultimo trimestre dello scorso anno. Gli attacchi rivolti a livello di applicazioni web sono cresciuti del 60% nello stesso periodo. Per quelle organizzazioni per le quali il successo aziendale dipende dalla presenza sulle piattaforme digitali un attacco rappresenta un problema significativo in quanto può avere impatto sulla disponibilità e sulle prestazioni del sito o dell’applicazione. “Di fronte a queste premesse – si legge in una nota diffusa dalla compagnia – la corsa all’approvvigionamento di soluzioni per la protezione dovrebbe essere la norma. E invece no. Quando si tratta di sicurezza informatica, prevale un atteggiamento di indifferenza. Per affrontare in modo efficace la minaccia dei cyber attacchi, le aziende devono dedicare maggiore attenzione alla protezione delle loro infrastrutture e degli asset digitali. I cyber criminali sono sempre più organizzati e aggressivi, quindi sebbene la difesa dei dati e dell’azienda non sia un compito affatto facile, ci sono alcune strategie fondamentali che bisognerebbe mettere in atto”. Secondo Luca Collacciani, Senior Director Web Performance EMEA di Akamai, sono almeno otto le iniziative fondamentali da intraprendere all’interno delle struture: Evangelizzare i decisori aziendali, partendo dal peggior scenario possibile: “Quando si tratta di sicurezza informatica, tra le aziende italiane si incontra ancora un po’ di resistenza. Si perpetua così il classico security paradox: mentre a un hacker non costa nulla lanciare un attacco, risolverne le conseguenze costa parecchio. Eppure l’equazione è abbastanza semplice: meno si spende in soluzioni per la protezione, più costerà un eventuale, e non sempre possibile, recupero. Spesso, il motivo per cui comunemente si pensa che gli attacchi non siano poi così frequenti è solo perché chi subisce un attacco, preferisce nasconderlo”. Assumere un Chief Information Security Officer (CISO): “Capita che anche in aziende molto grandi, pochi conoscano e sappiano cosa si occupa un Chief Security Officer. La sicurezza dei sistemi informatici è, infatti, spesso affidata al CIO, all’IT Manager o ai tecnici, che però hanno moltissime altre cose a cui badare: sistemi per la gestione dei contenuti, per l’elaborazione dei dati, programmazione, e così via. Ecco che spesso la sicurezza informatica, che non produce risultati ma protezione, finisce nel dimenticatoio. In realtà si tratta di un tema talmente complesso che richiede studio e aggiornamento costanti e quindi una figura totalmente dedicata”. Se meno del 10% del budget IT è dedicato alla sicurezza informatica esiste un problema: “In media, le aziende Fortune 500 spendono oggi circa il 10% del loro budget IT in soluzioni per la sicurezza. In Italia, la media si attesta all’1 o 2%. Questo significa non solo che il management non considera gli attacchi una minaccia reale ma che l’azienda ha probabilmente più buchi di un formaggio svizzero”. Coinvolgere hacker etici per effettuare test di penetrazione: “Una volta implementate le soluzioni di sicurezza è importante collaborare con esperti, ad esempio con i famosi white hat, che svolgano il preciso compito di metterle alla prova. Questa metodologia di test è spesso usata anche per provare la sicurezza fisica degli ambienti: perché non dovrebbe essere utile anche per quella virtuale? Attenzione: anche i provider di sicurezza che si è scelto probabilmente offrono servizi di penetration testing ma il consiglio è quello di rivolgersi a un’entità terza. In Italia, esistono alcune aziende specializzate: basta digitare ethical hacking in un motore di ricerca e affidarsi poi al passaparola per verificarne la serietà”. Attuare un piano di risposta agli incidenti e coinvolgere tutti i vendor di soluzioni per la sicurezza menzionati nel piano: “In tutte le aziende sarebbe molto utile che venga reso disponibile un libro rosso, un documento condiviso che contenga le linee guida da seguire in caso di attacco: sia in termini di comunicazione con l’esterno, sia in termini di azioni da svolgere all’interno. Anche se un attacco informatico mira ai dati o al sito, ciò che viene colpito è in realtà tutto il sistema: la comunicazione, il marketing, il legal. E dunque facile capire perché tutti debbano essere preparati”. Affidarsi a un consulente di fiducia da contattare in caso di violazione: “In caso di attacco, sarete probabilmente nel panico più totale quindi avrete bisogno di qualcuno che sia presente e disponibile a guidarvi, di qualcuno che si sia trovato in queste situazioni prima di voi e che dunque sappia come muoversi. Fate un passo indietro e affidatevi ad altri esperti”. Ricordare che il modo più semplice per rubare informazioni riservate è dall’interno: “Spesso le aziende spendono migliaia di euro per proteggersi da attacchi provenienti dall’esterno, dimenticando che questi possono arrivare anche dall’interno. Per proteggersi, il consiglio è quello di installare software intelligenti in grado di monitorare chi accede a cosa nei sistemi informatici aziendali e segnalare tentativi di accesso sospetti. Non solo matematica, è necessario essere molto attenti anche nella fase di selezione dei candidati, soprattutto per posizioni nel dipartimento IT”. Non credere alle false promesse, la sicurezza totale e “per sempre” non è possibile: “In generale, vale una sola regola: la sicurezza completa da qualsiasi tipologia di attacco informatico o violazione non esiste. Diffidate sempre di chi vi convince del contrario. Le metodologie e le tecniche di attacco sono in continua evoluzione e così devono esserlo anche i sistemi di protezione”. 29 luglio 2015