XQuesto sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, scorrendo questa pagina, cliccando su un link o proseguendo la navigazione in altra maniera, acconsenti all’uso dei cookie. Accetto

Il blog ufficiale Darnet

Information Security: nuovi trends

Il 2016 sta vedendo il crescere di nuove minacce sempre più sfruttate dalla criminalità organizzata digitale. Scopriamo alcune delle più interessanti e valutiamo alcuni interventi di base per non farsi trovare impreparati.

Internet of Things

Il problema de "internet delle cose" è garantire che quel comodo dispositivo funzioni solo per noi che l'abbiamo acquistato. Macchine del caffè, frigoriferi, auto, dispositivi indossabili e medicali, televisioni sono tutti connessi ad internet, raccolgono dati su di noi e sulle nostre abitudini e pertanto sono obbiettivi molto succulenti per la criminalità.

Carte di Credito

I nuovi sistemi di pagamento, come le carte di credito EMV oppure i vari Google Wallet o Apple Pay, stanno riducendo sensibilmente i rischi di truffa nel punto vendita, tuttavia stanno spingendo i cyber criminali a rubare e clonare sempre di più grossi volumi di carte di credito da e-commerce e servizi online che li raccolgono.

Estorsione

L'estorsione digitale è un modo di utilizzare i dati come arma. Un esempio frequente è questo: cyber criminali si impossessano di dati sanitari delle vittime e poi costringerle a pagare pena la pubblica diffusione di quelle informazioni, in particolare per patologie sensibili (HIV) che possono causare gravi danni alla vita sociale delle vittime. Questi tipi di attacchi sono stati robotizzati per permettere un gran numero di estorsioni ma estremamente personalizzate.

Criminal-As-A-Service

Perché compiere un reato se qualcuno di più motivato può farlo al mio posto (prendendosi i rischi)? E' più conveniente fornire sofisticati strumenti a baby cyber criminali piuttosto che esporsi in prima persona. Perciò è possibile affittare tanto strumenti quanto mercenari, per compiere furti di profili pubblici o far compiere intere operazioni criminali.

Cloud

Gli attacchi alle piattaforme cloud aziendali si sono fatti più insistenti, in particolare quelli di ingegneria sociale: l'obbiettivo primario dei cyber criminali è ottenere con l'inganno le credenziali di accesso reali dagli stessi utenti per operare in completa trasparenza.

Piccoli bersagli

La convinzione comune che solo le grandi aziende siano vittime di attacco è ampiamente smentita dai fatti. Colpire le piccole organizzazioni è più facile, e permette di ottenere informazioni altrettanto preziose, che, combinate tra loro, valgono più di una singola grande fonte.

 

Che fare?

Le attività possibili sono diverse, e vanno profondamente calate nella realtà aziendale. E' fondamentale utilizzare un approccio olistico, ovvero che sia multidisciplinare, che analizzi il comportamento dei sistemi (persone e macchine) e che tenga conto del feedback che i sistemi complessi danno. Ne propongo tre che a mio avviso sono buoni punti di partenza:

  1. Adottare modelli di governance che prevedano un'analisi dei rischi informatici e soprattutto una gestione degli stessi, sia in ottica di continuità dei servizi che in ottica di gestione finanziaria del danno economico che il rischio informatico può causare.
  2. Gli attacchi sociali (ormai quasi la metà) non possono essere fermati da un dispositivo o da un software, per quanto evoluto. Serve formazione di base a tutto il personale aziendale.
  3. Progettare i processi produttivi fin dall'inizio con un'ottica alla sicurezza (security by design) e alla privacy (privacy by design). Presto questo tipo di approccio sarà legalizzato con l'adozione di misure dedicate sempre più stringenti (v. il GDPR).

Qualunque cosa si faccia, però, parte sempre dalla coscienza che i dati aziendali hanno un valore oggettivo e sono costantemente minacciati.
Prima si prenderà coscienza di questo, prima si riuscirà a tutelare il nostro business.

 

Quest'articolo e le sue riflessioni sono state ispirate da quest'articolo sul Corriere e quest'altro su CSO.

12 Maggio 2016

Darnet UK ltd
sede legale:
152 City Road
EC1V 2NX London (UK)

tel +44(0)20 36 08 64 50
mail: info@darnetltd.co.uk
twitter: @DarnetInfo

Company Number: 08497464

Darnet Servizi srls
sede legale:
via Vittorio Cadel 9
33100 Udine (UD)
sede operativa:
via Galileo Galilei 9
33010 Tavagnacco (UD)

tel +39(0)432 18 45 760
mail: info@darnet.it

CF/PI: 02816690305

Commento inviato

Il nostro staff valuterà il commento e lo renderà pubblico il prima possibile
© Made in Web Industry