Come e perché difendere l'azienda dagli attacchi informatici

In un mondo iperconnesso come quello di oggi, gli utenti si aspettano che i siti internet rispondano immediatamente, a prescindere da che dispositivo viene utilizzato. Se si è dipendenti di un'azienda, poi, si vuole accedere con i propri dispositivi in modo veloce alle applicazioni aziendali. Per molte organizzazioni, dunque, il successo aziendale dipende fortemente dalla propria presenza digitale. Sfortunatamente, i malintenzionati del web conoscono bene questo nuovo trend e sono diventati abili nell'usare il DDoS per bloccare l'accesso a questo importante canale aziendale.
Come evidenziato dall'ultimo il Rapporto sulla Sicurezza di Akamai (Q1 2015), all'inizio del 2015 si sono registrati nuovi record nel numero di attacchi DDoS, più che raddoppiati rispetto all'inizio del 2014 e in crescita del 35% rispetto all'ultimo trimestre dello scorso anno. Gli attacchi rivolti a livello di applicazioni web sono cresciuti del 60% nello stesso periodo. Per quelle organizzazioni per le quali il successo aziendale dipende dai loro siti, un attacco rappresenta un problema significativo in quanto può avere impatto sulla disponibilità e sulle prestazioni del sito o dell'applicazione più di ogni alta cosa.

Di fronte a queste premesse, la corsa all'approvvigionamento di soluzioni per la protezione dovrebbe essere la norma. E invece no. Quando si tratta di sicurezza informatica, prevale un atteggiamento di indifferenza.
Per affrontare in modo efficace la minaccia dei cyber attacchi, le aziende devono dedicare maggiore attenzione alla protezione delle loro infrastrutture e degli asset digitali. I cyber criminali sono sempre più organizzati e aggressivi, quindi sebbene la difesa dei dati e dell'azienda non sia un compito affatto facile, ci sono alcune strategie fondamentali che bisognerebbe mettere in atto.

Luca Collacciani, Senior Director Web Performance EMEA di Akamai, elenca quelle fondamentali:
1. Evangelizzate i vostri decisori aziendali, partendo dal peggior scenario possibile
Quando si tratta di sicurezza informatica, tra le aziende italiane si incontra ancora un po' di resistenza. Si perpetua così il classico security paradox: mentre a un hacker non costa nulla lanciare un attacco, risolverne le conseguenze costa parecchio. Eppure l'equazione è abbastanza semplice: meno si spende in soluzioni per la protezione, più costerà un eventuale - ma non sempre possibile! - recupero. Spesso, il motivo per cui comunemente si pensa che gli attacchi non siano poi così frequenti è solo perché chi subisce un attacco, preferisce nasconderlo.

2. Assumete un Chief Information Security Officer (CISO)
Capita che anche in aziende molto grandi, pochi conoscano e sappiano cosa si occupa un Chief Security Officer. La sicurezza dei sistemi informatici è, infatti, spesso affidata al CIO, all'IT Manager o ai tecnici, che però hanno moltissime altre cose a cui badare: sistemi per la gestione dei contenuti, per l'elaborazione dei dati, programmazione, e così via. Ecco che spesso la sicurezza informatica, che non produce risultati ma protezione, finisce nel dimenticatoio. In realtà si tratta di un tema talmente complesso che richiede studio e aggiornamento costanti e quindi una figura totalmente dedicata. Non dimentichiamo che le vie degli hacker… sono infinite!
3. Se meno del 10% del budget IT è dedicato alla sicurezza informatica… avete un problema.
In media, le aziende Fortune 500 spendono oggi circa il 10% del loro budget IT in soluzioni per la sicurezza. In Italia, la media si attesta all'1 o 2%... questo significa non solo che il management non considera gli attacchi una minaccia reale ma che l'azienda ha probabilmente più buchi di un formaggio svizzero.

4. Coinvolgete hacker etici per effettuare test di penetrazione
Una volta implementate le soluzioni di sicurezza è importante collaborare con esperti, ad esempio con i famosi white hat, che svolgano il preciso compito di metterle alla prova. Questa metodologia di test è spesso usata anche per provare la sicurezza fisica degli ambienti: perché non dovrebbe essere utile anche per quella virtuale? Attenzione: anche i provider di sicurezza che si è scelto probabilmente offrono servizi di penetration testing ma il consiglio è quello di rivolgersi a un'entità terza. In Italia, esistono alcune aziende specializzate: basta digitare "ethical hacking" in Google e affidarsi poi al passaparola per verificarne la serietà.
5. Attuate un piano di risposta agli incidenti e coinvolgete tutti i vendor di soluzioni per la sicurezza menzionati nel piano
In tutte le aziende sarebbe molto utile che venga reso disponibile - a portata di mano - un libro rosso, un documento condiviso che contenga le linee guida da seguire in caso di attacco: sia in termini di comunicazione con l'esterno, sia in termini di azioni da svolgere all'interno. Anche se un attacco informatico mira ai dati o al sito, ciò che viene colpito è in realtà tutto il sistema: la comunicazione, il marketing, il legal. E dunque facile capire perché tutti debbano essere preparati.

6. Affidatevi a un consulente di fiducia da contattare in caso di violazione
In caso di attacco, sarete probabilmente nel panico più totale quindi avrete bisogno di qualcuno che sia presente e disponibile a guidarvi, di qualcuno che si sia trovato in queste situazioni prima di voi e che dunque sappia come muoversi. Fate un passo indietro e affidatevi ad altri esperti.
7. Ricordate che il modo più semplice per rubare informazioni riservate è dall'interno
Spesso le aziende spendono migliaia di euro per proteggersi da attacchi provenienti dall'esterno, dimenticando che questi possono arrivare anche dall'interno. Per proteggersi, il consiglio è quello di installare software intelligenti in grado di monitorare chi accede a cosa nei sistemi informatici aziendali e segnalare tentativi di accesso sospetti. Non solo matematica, è necessario essere molto attenti anche nella fase di selezione dei candidati, soprattutto per posizioni nel dipartimento IT.

8. Non credete alle false promesse: la sicurezza totale e "per sempre" non è possibile.
In generale, vale una sola regola: la sicurezza completa da qualsiasi tipologia di attacco informatico o violazione non esiste. Diffidate sempre di chi vi convince del contrario. Le metodologie e le tecniche di attacco sono in continua evoluzione e così devono esserlo anche i sistemi di protezione.