top of page

(3 parte) Misure Organizzative e Tecniche in ottica Smartworking


L’Azienda Proofpoint ha condotto un’indagine su 138 aziende italiane con lo scopo di analizzare quali sono le attuali minacce derivanti dalla adozione dello smartworking.

Informazioni interessanti!


La ricerca ha analizzato tre elementi chiave (frequenza degli attacchi, preparazione dei dipendenti, sfide per l’implementazione), giungendo alla conclusione che «la necessità di proteggere le persone da minacce imminenti non è mai stata così elevata», si legge nel report.


Nella realtà tra gli attacchi più importanti solo una tipologia è rivolta alla struttura tecnologica ed è quella Ddos, quindi rivolta ad impedire la fruizione di alcuni servizi online. Ben più pericolose rispetto alla protezione degli asset aziendali sono invece le altre tipologie di attacco riscontrate, che mirano più specificamente a sottrarre informazioni o condurre truffe:


Come evidenziato in maniera inequivocabile la principale attenzione degli hacker è rivolta al soggetto umano che prende decisioni utilizzando gli strumenti informatici in dotazione. Proprio per questo motivo un investimento importante dovrebbe essere fatto sugli Human Firewall tramite lo svolgimento di percorsi di formazione strutturati per dotare le persone di strumenti adatti per ogni esigenza in cui si potranno trovare di fronte ogni volta che svolgeranno il proprio lavoro.

Per dare qualche numero per rinforzare la tesi i CISO (Chief Information Security Officer), oggetto della ricerca della Proofpoint, ha evidenziato come maggiore rischi:


· danni alla reputazione del brand (87%),

· perdita di dati (80%)

· interruzione dell'operatività dell'azienda (74%)


Si tratta di danni di potenzialità enormi per cui l’attenzione dovrà essere massima per non incorrere in perdite sostanziali di tipo anche economico.

Potrà sembrare strano ma la stragrande maggioranza degli attacchi passa per l'email. In molti casi la persona deve fare qualcosa per innescare un attacco (cliccare un link o aprire un allegato). È diventato fondamentale che le persone siano consapevoli di questi tranelli. E che l'azienda sappia calcolare questo rischio.

Le dimensioni tramite cui sarà possibile valutare un intervento specifico parte dall’individuazione delle principali aree di esposizione alle minacce valutando tre parametri principali:

· Il primo è l'attack index, ossia quanto una persona è soggetta ad attacchi e a quale livello di sofisticazione.

· Il secondo è la vulnerabilità della persona in termini di awareness e quanto usa dispositivi “rischiosi”.

· Il terzo è l'indice di privilegio: se ha o meno accesso a sistemi e informazioni critiche.

(fonte Proofpoint)

Dall’incrocio di queste 3 variabili si potranno individuare i Very Attacked People (VAP), cioè i soggetti che dovranno essere i primi, ovviamente non gli unici, ad iniziare un percorso formativo intensivo. Non potremo più considerare la formazione come un incontro annuale ma un vero e proprio progetto per colmare tutti i gap che i dipendenti hanno in ambito security.

A consolidamento di quanto detto si riportano anche ulteriori dati circa la capacità di un’impresa di identificare e contenere una minaccia.

· Il tempo medio per identificare una violazione di dati è di 229 giorni

· Il tempo medio per contenere la violazione è di 80 giorni

…… stiamo parlando di più di 10 mesi dal momento in cui l’attaccante violato i sistemi IT al momento in cui la violazione stessa è stata chiusa.

Si sottolinea che per ogni violazione identificata e risolta con il minor tempo possibile ci saranno sempre meno costi a cui far fronte. Infatti, per ogni violazione riscontrata in un periodo di tempo inferiore ai 100 giorni si possono ridurre i costi anche del 50%.


In sostanza affidare la propria Security a soggetti competenti e dedicati per predisporre Security Plan ed implementare tecnologie innovative potrà portare ad una maggiore efficienza nel contrastare le minacce ed una diminuzione consistente dei tempi di ritorno degli investimenti in Security.


Scrivi a info@cartesiostudio.com per approfondimenti, scambi di idee o se ritieni di avere necessità di supporto per definire la ICT Strategy della tua impresa.

Post recenti

Mostra tutti

Comments


bottom of page