Passa ai contenuti principali

Cybersicurezza: Dall'Ingegneria Sociale alla Resilienza Quotidiana – parte 3 Organizzazione, Ruoli e Tecnologie nelle aziende

Immagine

 


Abbiamo parlato della vita onlife e delle sue trappole  che dobbiamo imparare ad evitare, e abbiamo illustrato il quadro normativo globale che, seppur con lentezza, ha introdotto disposizioni per contrastare l’azione dell’hacker, ponendo l’attenzione sul rapporto umano-umano con la vittima.

Il dato è un bene da proteggere: informazioni, servizi, hardware, software, oltre a garantire l’organizzazione ed i profitti delle aziende, comportano responsabilità verso la platea dei proprietari.

Il dato racconta chi siamo, le nostre scelte, le nostre abitudini, le nostre esigenze, le nostre abilitazioni professionali.

Il trattamento, la custodia, l’utilizzo, la diffusione devono avere una finalità specifica: questo significa consapevolezza e assenso per il proprietario, responsabilità e protezione per l’organizzazione che li gestisce.

GDPR e NIS2 sono le direttive che, più che mai, impartiscono alle aziende delle precise responsabilità.  Più complessa è l'organizzazione, maggiori gli accorgimenti cui adempiere per garantire la liceità del trattamento e delle azioni. Occorre prevedere e definire procedure organizzative e tecniche contro azioni illecite. Nasce così una politica di sicurezza che regola autorizzazioni, identifica rischi e prevede contromisure tecniche, fisiche e procedurali, incluso il fattore umano.

Identificati i beni e il loro valore, classificati i soggetti per ruolo e affidabilità, l'azienda decide le regole di autorizzazione, prevede le azioni di resilienza a partire dalla valutazione dei rischi. Gli obiettivi di sicurezza sono chiari: riservatezza (evitare uso indebito di informazioni sensibili), integrità (prevenire alterazioni/manipolazioni), disponibilità (evitare perdite di accesso).

L’errore più grosso che si puo’ compiere è pensare che l’attacco hacker inizia solo nel momento in cui si riceve o si riscontra il primo segnale evidente. La sicurezza si garantisce con mezzi fisici (chiavi elettroniche), logici (password/PIN), biometrici (impronte, riconoscimento facciale). Combinazioni di queste attenzioni irrobustiscono la sicurezza, proporzionalmente al valore del dato. Questa è la base della resilienza risk-based richiesta da ACN e NIS2.

Riveste particolare importanza in questo contesto la redazione di apposite procedure operative che, in ambito aziendale, regolano l'uso quotidiano di dispositivi e applicativi, impartiscono delle chiare indicazioni sulla protezione delle infrastrutture informatiche e dei sistemi informativi e sulle modalità comportamentali che i propri dipendenti, non informatici, devono adempiere per garantire la chiusura del cerchio, anche dal basso.

Per esempio:

-         stabilire che ogni attore dell’azienda abbia livelli di accesso e azione sui dati differente a seconda del ruolo che svolge in azienda. Ad esempio, un addetto amministrativo puo’ autorizzare un pagamento, un commerciale non deve eseguire analoga funzione.

-         Istituire precise responsabilità dell'utente rispetto alla custodia delle password, dei dispositivi, alla segnalazione di anomalie o sospette frodi.

-         Regolamentare ad ogni utente l’utilizzo di credenziali personali e non cedibili, stabilire un tempo limite finalizzato al cambio della password e delle regole precise di costruzione della stessa. Favorire o meno l’utilizzo di supporti/periferiche esterne ai dispositivi aziendali.

-         Regolamentare l’utilizzo della mail aziendale e evidenziare le e-mail ricevute dall’esterno. Stabilire dei tempi di validità degli account aziendali abbinati alla permanenza del rapporto di lavoro

-         Istituire una squadra dedicata a ricevere le segnalazioni di possibili tentativi di frode o phishing, facilmente contattabile ed in grado di dare risposte certe rispetto all’esito delle verifiche.

-         Istituire in ambito IT il controllo e la gestione dei software.

-         Istituire il concetto e la cultura della responsabilità condivisa, cuore della cultura NIS2.

Un incidente significativo non è solo un attacco riuscito, ma qualsiasi evento che comprometta riservatezza, integrità o disponibilità dei sistemi.

In ambito NIS2 (D.lgs. 138/2024) si impone pertanto la strutturazione di un Incident Response Plan (IRP) strutturato in 5 fasi: preparazione, rilevamento, contenimento, eradicazione/ripristino, lezioni apprese.

Si definiscono ruoli, es. Referente CSIRT (Computer Security Incident Response Team), obbligatorio entro dic.2025, contatti di emergenza e criteri di gravità nella fase di preparazione. Il rilevamento si basa su sistemi di monitoraggio e correlazione dei log in tempo reale (SIEM) e sulle segnalazioni degli utenti, a conferma della responsabilità condivisa nella gestione della sicurezza.

In fase di contenimento si isola il segmento di rete coinvolto, anche grazie a una corretta segmentazione preventiva dell’infrastruttura; segue la fase di eradicazione, con l’applicazione delle patch e il ripristino da backup testati.

Infine, la fase delle “lezioni apprese” consente di aggiornare il risk assessment e migliorare continuamente processi e controlli.

La Timeline di notifiche al CSIRT in Italia è rigida:

  • 24 ore: Allarme preliminare
  • 72 ore: Report dettagliato con impatti
  • 1 mese: Analisi root cause + misure correttive

Obbligatori sono i test annuali: esercitazioni per il management, simulazioni phishing per utenti, red team per IT. Perché un IRP non testato è carta straccia.

Mentre l'IT anticipa le minacce, i colleghi produttivi navigano tra e-mail, riunioni, piattaforme, diventando perfetti bersagli dei phishing che possono superare ogni firewall aziendale.

Serve l’applicazione di una continua Security Awareness. I dati sono l'oro grezzo che diventa informazione, saggezza, strategia ma devono essere adeguatamente protetti da una conoscenza diffusa e condivisa.

Cultura della Cybersecurity è responsabilità comune.

Ogni dipendente deve essere proattivo in tal senso, seguire le indicazioni aziendali sfruttando il bagaglio di conoscenza e consapevolezza acquisiti.

La leadership deve comunicare che la cybersecurity è una priorità strategica, attivando le campagne di awareness nelle 3 fasi: analisi multidisciplinare (IT, HR, Comunicazione, Legale), progettazione di moduli per ogni ruolo, implementazione con metriche di efficacia.

La maturità del modello aziendale puo’ essere misurata attraverso il modello SANS (Security Awareness Maturity Model). Questo modello ha una scala da uno a cinque e ciascun gradino descrive quanto l’azienda passa da una formazione occasionale e reattiva a un programma continuo, misurabile e strategico. A salti si passa da nessun programma(L1) alla dimostrazione attraverso KPI dei livelli di protezione raggiunti(L5).

Un’azienda deve essere per esempio in grado di misurare: il tasso di click su mail di phishing (da mantenere sotto il 5%), l’aumento di segnalazioni spontanee di incidenti e un punteggio superiore all’80% nei test postformazione. Le campagne di phishing simulato, svolte con cadenza almeno annuale, misurano il comportamento reale degli utenti, che diventano così la prima linea di difesa.

Oltre a firewall e sistemi SIEM (Security Information and Event Management), stanno emergendo tecnologie come la blockchain: un database distribuito peertopeer e immutabile, nato con Bitcoin ma applicabile anche alla gestione di log, documenti e supply chain. La blockchain non sostituisce strumenti come IDS (Intrusion Detection System) o MFA (MultiFactor Authentication), ma li integra, offrendo log non manipolabili e una tracciabilità completa delle operazioni.

Un esempio di applicazione della blockchain sono gli smart contract, che favoriscono la stipula di contratti digitali, automatizzando i processi relativi alla firma e agli eventi. In un prestito si possono attivare le trattenute automatiche alla scadenza, senza interventi intermedi. Per la pubblica amministrazione possono gestire le catene dei fornitori, per le aziende certificare documenti digitali e, in ambito IoT, contribuire a proteggere reti domestiche e industriali.

La decentralizzazione, e in alcuni casi meccanismi come il proofofwork, rende la blockchain più resiliente agli attacchi: maggiore è il numero di nodi, maggiore è il livello di sicurezza complessivo. La tecnologia non risolve tutti i problemi, ma può elevare larchitettura di sicurezza, combinando immutabilità e automazione sopra le basi tradizionali di firewall e segmentazione di rete.

La compliance a NIS2 non è quindi un evento puntuale, ma un processo di trasformazione continua che integra tecnologie, procedure e cultura organizzativa.

In questo percorso abbiamo analizzato come la cybersicurezza non è solo una questione tecnica ma una continua evoluzione. Siamo passati dalla storia, visionato l’evoluzione normativa, per atterrare sull’esigenza di una scelta di quotidianità. Intrecci che mirano alla protezione dei dati, che parlano di noi, per garantire, oggi più che mai, continuità e certezza nei servizi.

Nessuna tecnologia puo’ garantirci nulla senza la consapevolezza dei rischi a cui ci espone la nostra vita onlife. La vera differenza la fanno: cultura, formazione continua e responsabilità condivisa. Occorre trasformare norme e best practice in abitudini concrete, così che ogni clic, ogni procedura e ogni decisione diventino un pezzo di difesa, per noi stessi, per la nostra organizzazione e per la comunità in cui viviamo. Occorre alimentare la capacità di resilienza dell’essere umano.

Nel prossimo ciclo di articoli parleremo di Leadership e Project Management: non solo di ruoli aziendali, ma di come si guidano le persone in un contesto di lavoro sempre più digitale. Di quanto questo modo di “fare guida” sia diverso dal passato. Metteremo al centro il leader come architetto di contesto e il project manager come regista del lavoro. Occorre importare la velocità di questo tempo e l’esigenza di sicurezza in organizzazioni pensate bene. I progetti hanno un senso, le responsabilità sono condivise e il tempo delle persone è al centro.

Grazie per essere arrivato fin qui.

Buone festività Natalizie e Buon Anno Nuovo.

Labels:

Post popolari in questo blog

Dial-up: una tecnologia di ieri che chiude un’era

Il dial-up è stata una delle prime tecnologie utilizzate per connettersi a Internet tramite la linea telefonica tradizionale.   Per stabilire la connessione, il computer utilizzava un modem che convertiva i segnali digitali in suoni analogici trasmessi sulla linea telefonica. Un modem dall’altra parte riconvertiva i segnali per permettere l’accesso a Internet.  Il tipico suono di sincronizzazione — quel famoso bip-partito e sibilo — è rimasto nella memoria di chi ha vissuto i primi anni della rete . La velocità di queste connessioni era estremamente limitata, con valori massimi attorno ai 56 Kbps e, per tutta la durata della navigazione, la linea telefonica risultava occupata, impedendo telefonate simultanee.  Era il mondo “a banda stretta” che ha accompagnato i pionieri di Internet dagli anni ’90 fino all’avvento delle connessioni a banda larga.  Per la mia generazione, a metà tra l'X e il Millenial , il dial-up è l'adolescenza .  Epoca in cui non esisteva pe...
Continua a leggere

Dentro la fibra ottica: struttura, funzionamento e vantaggi per le telecomunicazioni moderne – Parte 2

  Nella prima parte  abbiamo parlato della struttura della fibra ottica, il principio fisico della riflessione totale interna e dell’indice di rifrazione, i vantaggi rispetto al rame e le diverse “finestre” di lunghezza d’onda usate per le telecomunicazioni. Abbiamo accennato all'importanza che l'Italia ha avuto nel campo sperimentale. La fibra ottica è un portante passivo, è il momento di riconoscere in esso quelli che sono gli effetti che possono provocarne il malfunzionamento. Nell'articolo precedente abbiamo parlato di 0,2db/km  per le fibre moderne, questo parametro è denominato attenuazione.  L' Attenuazione è il primo degli effetti lineari della fibra . Può dipendere dalla lunghezza della tratta, da fenomeni che si presentano lungo tratta, es giunzioni di pezzatura che si effettuano per raggiungere due sedi terminali ( considerare che una bobina di cavo o minicavo in fibra ottica è lunga 3 o 6 km) , connessioni meccaniche, per raggiungere o raccordare le var...
Continua a leggere

Cybersicurezza: Dall'Ingegneria Sociale alla Resilienza Quotidiana - parte 1 Storia e Best Practice

Il filosofo Luciano Floridi, racconta che il nuovo modo di vivere dell’essere umano è Onlife . “[…] Onlife è quanto accade e si fa mentre la vita scorre, restando collegati a dispositivi interattivi […]” .  Il concetto di vicinanza alle altre persone non è più basato sulla presenza fisica, ma sull’interazione continua dei rapporti in presenza mentre si dialoga, connessi, con altri, attraverso i dispositivi digitali. I dispositivi connessi e in continua transizione ci proiettano sempre più alla velocità ed alla remotizzazione delle esigenze . L’uso del digitale è una alternativa quasi contrapponibile alla vita reale. Il rischio più profondo ed attuale per l’essere umano comune è quello di perdere l’attenzione alle cose, alla riflessione, alla memoria, alla sicurezza. È pertanto dominante in questo contesto il tema della cybersicurezza in cui, istituzioni e organizzazioni in primis, occorre tenere elevata l’attenzione con l’obiettivo di sfuggire agli attacchi hacker perpetrati da ess...
Continua a leggere