La cyber security sta diventando una delle priorità per tutte le aziende e organizzazioni, ed è per questo che ogni realtà non può più fare a meno di dotarsi di strumenti adeguati, uniti a una solida formazione in materia, per prevenire, contrastare e proteggersi dalle minacce informatiche in costante aumento.
Cosa si intende con cyber security: una definizione
La sicurezza informatica si riferisce al complesso di tecnologie, prassi e policy tese a prevenire o mitigare gli attacchi informatici. Il suo obiettivo principale è salvaguardare i sistemi informatici, le applicazioni, i dispositivi, i dati, le risorse finanziarie, le proprietà intellettuali e le persone da minacce quali ransomware, malware, phishing e furti di dati.
Gli attacchi sono generalmente rivolti ad accedere, modificare o distruggere informazioni sensibili, estorcere denaro agli utenti o interrompere i normali processi aziendali. Le conseguenze per le organizzazioni colpite comprendono perdite finanziarie dirette, furti o manomissioni di dati, interruzioni di servizio e danni reputazionali.
In ambito aziendale, la cyber security è un elemento fondamentale della strategia di gestione del rischio di un’organizzazione.
Gli ambiti della cyber security
La sicurezza informatica è cruciale per proteggere la privacy degli individui, l’integrità delle informazioni e il funzionamento continuo delle infrastrutture critiche per il business e comprende varie misure e strategie. Tra le più rilevanti:
- Protezione delle reti: salvaguardare le reti da accessi non autorizzati e minacce esterne attraverso firewall, crittografia e protocolli di sicurezza.
- Sicurezza delle applicazioni: garantire che le applicazioni siano progettate e aggiornate per resistere ad attacchi o tentativi di manipolazione.
- Sicurezza delle informazioni: proteggere sia i dati in transito sia quelli archiviati tramite crittografia e altre tecniche.
- Gestione degli accessi: controllare chi ha accesso ai dati e ai sistemi aziendali, implementando meccanismi di autenticazione e autorizzazione.
- Risposta agli incidenti: rispondere efficacemente a incidenti di sicurezza per minimizzare il danno e ripristinare rapidamente la normale operatività.
- Formazione e consapevolezza: Educare gli utenti e il personale sui rischi della sicurezza e sulle migliori pratiche da seguire per prevenire gli attacchi.
Quali sono i tre principi della sicurezza informatica
Ma quali sono i fattori chiave da tenere in considerazione quando si pianifica una strategia di cyber security che possa definirsi realmente efficace? Gli esperti della materia hanno identificato tre caratteristiche (note anche come “triade CIA”):
Confidenzialità o riservatezza (confidentiality)
La confidenzialità delle informazioni non si limita alla capacità di mantenere la segretezza dei dati. È, infatti, essenziale che i dati siano accessibili solo a chi ne ha il diritto e completamente inaccessibili a chi questo diritto non lo possiede. Gestire la riservatezza significa, quindi, avere il pieno controllo su chi può accedere ai dati, su quali strumenti può utilizzare per farlo e in quali momenti e/o periodi specifici può farlo.
Integrità (integrity)
Il secondo aspetto chiave della sicurezza informatica è l’integrità delle informazioni. Le misure per preservarla mirano a prevenire alterazioni o cancellazioni non autorizzate dei dati. Garantire la sicurezza delle informazioni significa stabilire regole precise per definire chi può modificare i dati. Questo aspetto contempla anche le caratteristiche dell’autenticità e non ripudiabilità: una modifica non autorizzata compromette l’autenticità, mentre un dato integro è non ripudiabile, con le implicazioni che questo comporta ad esempio a livello legale, come nel caso della firma digitale di un contratto.
Disponibilità (availability)
La disponibilità nelle informazioni regola come e quando i dati sono accessibili agli utenti autorizzati. Due aspetti chiave dell’availability sono il ripristino di emergenza (recovery) e la continuità operativa. Questi fattori determinano le risposte del sistema a eventi che causano perdita di dati o di funzionalità.
La fotografia della cyber security in Italia
L’Italia è particolarmente soggetta dal fenomeno del cybercrime: secondo l’ultimo Rapporto sulla Sicurezza ICT in Italia di Clusit nei primi sei mesi del 2024 si sono registrati 1.637 attacchi di particolare gravità, con un incremento del 23% rispetto al semestre precedente. In media, si sono verificati nel mondo 9 eventi importanti al giorno e in Italia il 7,6% degli incidenti complessivamente rilevati.
Lo stesso studio evidenzia un’accelerazione nel numero degli incidenti informatici a livello globale: la media mensile ora è di 273, più del doppio rispetto al 2019, quando era di 139 episodi. Facendo un rapido calcolo, questo significa che si verificano circa 9 attacchi significativi al giorno, rispetto ai 4,5 di cinque anni fa. A crescere è anche la portata delle conseguenze di questi eventi: l’81% degli incidenti è stato definito “critico” o “grave”, rispetto al 47% identificato come tale nel 2019. Questa escalation dimostra che la minaccia informatica è diventata sistemica, con profonde implicazioni che superano il settore ICT, impattando ogni aspetto della società, dell’economia e della geopolitica.
Complessivamente, nel primo semestre 2024, gli incidenti noti di particolare gravità che hanno coinvolto vittime italiane sono stati 124.
La sanità è il settore più colpito a livello globale. Nel Belpaese, a essere bersagliato è, invece, soprattutto il manifatturiero, ma il comparto che ha subito il maggior incremento di attacchi è la sanità (+83% rispetto al primo semestre 2023).
Sicurezza cyber, l’escalation degli incidenti informatici
Basta sfogliare Rapporto Clusit 2024 per scoprire che ci troviamo di fronte a un’allarmante escalation degli incidenti informatici su scala globale. Secondo l’analisi, infatti, sono stati registrati 1.637 attacchi di particolare gravità, in aumento del 23% rispetto al semestre precedente. In termini pratici, significa che avvengono circa 9 attacchi significativi al giorno (contro i 4,5 di cinque anni fa). In ogni caso, l’incremento non è solo quantitativo ma anche qualitativo: l’81% degli incidenti è stato classificato come “critico” o “grave”, rispetto al 47% del 2019.
Cyber security: la situazione in Italia
Restringendo il focus sull’Italia, il Paese ha registrato 124 incidenti di particolare gravità in questo periodo, rappresentando il 7,6% del totale degli attacchi rilevati a livello mondiale. Sebbene questo dato mostri una leggera diminuzione rispetto al semestre precedente (dove l’Italia rappresentava il 9,6% del totale), il numero di incidenti rimane significativamente alto, soprattutto considerando le dimensioni relative della nazione.
Sicurezza e tecniche di attacco
Il cybercrime si conferma la principale causa di minacce all’integrità dei dati – 88% del totale degli attacchi, in crescita del 5% rispetto al 2023. Un aumento legato in gran parte alla diffusione di modelli di Ransomware e Malware As a Service, che hanno permesso anche ai criminali meno esperti di avere accesso a strumenti avanzati per dispiegare attacchi sofisticati si larga scala.
Il malware rimane lo strumento preferito dai criminali digitali (impiegato nel 34% degli attacchi nel mondo e addirittura nel 51% di quelli registrati in Italia), anche se crescono le campagne DDoS (Distributed Denial of Services), che in Italia rappresentano il 27% delle cause di incidenti, a dimostrazione del fatto che le tecniche diventano sempre più sofisticate e richiedono alle aziende di mettere a terra approcci di difesa più evoluti e, soprattutto, proattivi.
Seguono gli attacchi basati sullo sfruttamento di vulnerabilità non sanate, (14% dei casi) e quelli legati a phishing e Social Engineering (7%).
Domini della cyber security
I principali ambiti della sicurezza informatica comprendono attualmente almeno questi elementi.
Sicurezza AI
Le misure tese a prevenire o mitigare gli attacchi che prendono di mira le applicazioni di Intelligenza Artificiale o che utilizzano l’AI in modo improprio (es. prompt per distorcere l’output o per compromettere le applicazioni AI).
Sicurezza di rete
Si focalizza sulla prevenzione degli accessi da parte di soggetti non autorizzati ai network aziendali.
Sicurezza degli endpoint
È un approccio che mira a proteggere la rete aziendale durante l’accesso tramite dispositivi remoti, wireless e mobile, come smartphone, laptop e tablet ma anche device IoT.
Sicurezza delle applicazioni
Si tratta dell’insieme di tecnologie e buone prassi utili a prevenire accessi indebiti e non autorizzati a software e piattaforme aziendali e ai loro dati.
Sicurezza del Cloud
È l’approccio utilizzato per tutelare l’integrità e la continuità dei servizi Cloud, dei dati, delle applicazioni, dei server virtuali e delle infrastrutture ospitate “nella nuvola”.
Sicurezza delle informazioni e dei dati
Detto anche InfoSec (Information Security), questo approccio è volto a tutelare l’integrità di dati digitali, file, record e documenti dall’accesso, la modifica o l’utilizzo improprio e non autorizzato.
Sicurezza mobile
Comprende pratiche e tool per gestire centralmente e proteggere adeguatamente da accessi non autorizzati i dispositivi mobile – come smartphone, tablet, notebook, device IoT.
Le principali minacce informatiche
Esiste una varietà davvero ampia di vulnerabilità e metodologie di attacco che possono essere sfruttate e condotte per compromettere la sicurezza di dati e reti aziendali. Ecco alcune delle più comuni.
Malware
Si tratta di software dannoso progettato per infettare, danneggiare o ottenere accesso non autorizzato ai sistemi informatici. Questa categoria include virus, worm, trojan e ransomware (malware da riscatto).
Ransomware
Una particolare tipologia di malware per cui i malintenzionati cifrano i dati della vittima e richiedono un riscatto per decriptarli e renderli nuovamente accessibili.
Phishing
Un tentativo fraudolento per ottenere informazioni sensibili – nome utente, password, estremi di mezzi pagamento – solitamente attraverso messaggi e-mail ingannevoli che sembrano provenienti da fonti affidabili.
Social Engineering
Il phishing rientra nella categoria più ampia degli attacchi della cosiddetta ingegneria sociale. Si tratta di tecniche di human hacking basate sulla manipolazione psicologica che mirano a ridurre la soglia di attenzione delle vittime, indotte a commettere un’imprudenza sotto la minaccia – via SMS, e-mail o telefonata – di una situazione che deve essere risolta con estrema urgenza.
DDoS (Distributed Denial of Service)
Attacchi che mirano a rendere indisponibili un servizio online, un server, un sito web o una rete inondandoli di traffico fasullo, solitamente proveniente da una botnet, in pratica una rete di sistemi distribuiti di cui i criminali informatici riescono ad assumere indebitamente il controllo. Sempre più spesso, gli attacker utilizzano in modo combinato questo tipo di attacchi con tecniche ransomware.
Exploits di vulnerabilità
Sfruttamento di difetti del codice o di punti deboli dei software per ottenere l’accesso non autorizzato a una rete aziendale o per eseguire operazioni dannose.
Man-in-the-Middle
L’intercettazione di comunicazioni tra due parti senza che le stesse ne siano consapevoli permette agli hacker di manipolare e spiare i dati in transito.
Abuso di account e furto di credenziali
Gli attacchi basati sull’identità, per cui gli attacker dirottano degli account di utenti legittimi, abusando dei loro privilegi, rappresentano il punto d’ingresso più diffuso alle reti aziendali e spesso vengono condotti in abbinamento all’uso di malware che permettono di registrare le credenziali di utenti e altri dati sensibili.
Attacchi AI
Ovviamente, la disponibilità di tecnologie di ultima generazione se da un lato migliora la difesa del perimetro aziendale, dall’altro costituisce un arsenale sofisticato in mano ai malintenzionati per condurre attacchi sempre più “subdoli” e difficili da intercettare. È questo il caso dell’AI Generativa, utilizzata sempre più spesso per produrre codice malevolo, ma anche documenti e messaggi di posta elettronica falsi con lo scopo di indurre le vittime a condividere dati più o meno sensibili, privilegi e account, oppure inviare denaro o invitare altri a farlo.
Negli attacchi di Prompt Injection, per esempio, gli attacker utilizzano prompt “tossici” per manipolare i sistemi di AI Generativa in modo da diffondere informazioni false o far trapelare all’esterno dell’azienda dati sensibili.
I tre pilastri della cyber security
Date queste premesse, per garantire il corretto funzionamento di tutti gli strumenti aziendali è necessario che i network a cui sono agganciati e l’ecosistema in cui operano presentino, sotto il profilo della cyber security, tre caratteristiche: robustezza, resilienza e reattività. Vediamole nello specifico.
Robustezza
Per robustezza di un’infrastruttura o di una soluzione informatica si intende la sua capacità di comportarsi in modo ragionevole in situazioni impreviste, non contemplate quindi nell’ordinaria amministrazione. Errori ed eccezioni dovuti a input scorretti, fallimenti di componenti software o hardware interni o esterni al sistema e per l’appunto attacchi informatici non dovrebbero alterare il normale funzionamento delle applicazioni o l’esperienza dell’utente.
Resilienza
Quando si parla di Cybersecurity, la resilienza – detta anche indice di fragilità – rappresenta la capacità di un sistema di adattarsi alle condizioni d’uso e di resistere a danni (procurati o dovuti alla normale usura) in modo da garantire l’erogazione dei servizi.
Reattività
La reattività, come ben esplicita il nome, costituisce la capacità di un sistema informatico di reagire a stimoli esterni o a disservizi riscontrati nell’esecuzione delle operazioni.
La cyber security dei network aziendali: il nuovo perimetro
Robustezza, resilienza e reattività sono dunque concetti abbastanza semplici, e relativamente semplice fino a poco tempo fa era garantirle su sistemi informatici chiusi e contraddistinti da architetture solo in pochissimi casi molto complesse.
Se Internet ha cominciato a scardinare questo stato di cose, l’avvento dei mobile device prima e dell’IOT poi – con la necessità di gestire l’incessante aumento dei volumi di dati attraverso soluzioni Cloud e Hybrid Cloud – hanno letteralmente rivoluzionato questi concetti. Senza contare che, proprio facendo leva sulle vulnerabilità degli oggetti connessi e sulla complessità che gli utenti riscontrano nell’utilizzo dei sistemi, i criminali informatici stanno, come visto, intensificando gli attacchi in maniera esponenziale. In ambito cyber security, non si può dunque più parlare solo di perimetro, ma di superficie.
Una superficie non omogenea e in espansione, in costante contatto con il mondo esterno attraverso pareti osmotiche che consentono alle informazioni di fluire fuori e dentro l’organizzazione, alimentandola con nuove fonti di dati e trasportando a partner e clienti gli output ottenuti dai processi interni (processi che a loro volta possono rivelarsi all’origine di problemi di sicurezza). Non è dunque possibile ipotizzare un sistema chiuso, basato su un sistema difensivo statico, ma bisogna architettare soluzioni dinamiche e stratificate in grado di individuare prima e contrastare poi le minacce interne ed esterne sui diversi punti di contatto.
Come difendersi dal cybercrime: la differenza tra sicurezza passiva e sicurezza attiva
Bisogna a questo punto introdurre i concetti, o meglio gli approcci, di sicurezza passiva e sicurezza attiva. Entrambi hanno lo scopo primario di impedire l’accesso alle informazioni riservate. Se la sicurezza passiva è quella deputata a bloccare o quanto meno a rallentare gli attacchi offrendo barriere tecniche e pratiche ai programmi o agli utenti che rappresentano una minaccia per i framework, la sicurezza attiva è quella in grado di mettere al sicuro dati e informazioni prevedendo meccanismi di autenticazione più o meno sofisticati. I due approcci devono lavorare in modo complementare: se la prima categoria è infatti indicata – e di solito bastevole – per contrastare iniziative opportunistiche, la seconda è indispensabile per affrontare intrusioni mirate.
Cyber security e fattore umano: il ruolo della formazione
Secondo l’IBM X-Force Threat Intelligence Index 2024, gli aggressori stanno investendo sempre di più in tattiche mirate a ottenere le identità degli utenti, con un aumento del 266% dei furti di dati progettati per sottrarre informazioni personali come e-mail, credenziali di Social Media e app di messaggistica, dati bancari o di portafogli di criptovalute. Queste modalità di attacco rappresentano un “ingresso facile” per gli aggressori e sono più difficili da rilevare, comportando costi elevati per le aziende.
Dunque la programmazione e l’esecuzione di programmi di awareness è diventata una necessità per tutte le aziende e non è più rimandabile. A questo si affianca la necessità di sensibilizzare le persone sulla sicurezza informatica è una tematica molto chiara agli operatori del settore e alle istituzioni che promuovono sempre più iniziative di sensibilizzazione in tale ambito (si pensi al mese europeo della sicurezza informatica), ma lo stesso non si può dire per le aziende dove l’awareness sulla sicurezza informatica è ancora ad uno stato embrionale.
In questo contesto, come confermano i dati dell’Osservatorio Cyber Security & Data Protection della School of Management del Politecnico di Milano, continua a crescere l’interesse delle aziende italiane per la cyber sicurezza, che si conferma la principale priorità di investimento nel digitale tra le imprese, sia grandi che PMI. L’81% delle grandi imprese ha definito un piano di sviluppo strutturato in materia, con una strategia di lungo periodo.
Lo sviluppo di una cultura in ambito cyber è l’aspetto che richiede ad oggi maggiore attenzione. La quasi totalità delle grandi organizzazioni prevede già iniziative finalizzate ad accrescere la consapevolezza in materia, con piani di
formazione che coinvolgono una porzione più o meno estesa dei propri dipendenti (77%).
Vulnerabilità e data loss: come proteggere i dati aziendali da un attacco
Risulta evidente che per fronteggiare questa situazione adeguatamente occorrerebbe dotarsi di una struttura di cyber security ad hoc, in grado cioè sia di studiare soluzioni efficaci, sia di accrescere la cultura aziendale necessaria a far fronte alle minacce. Molte grandi imprese l’hanno già fatto, ma non tutte hanno le risorse (umane e finanziarie) per costruire e gestire in house una divisione di questo genere. Ecco perché, anche grazie alla diffusione del Cloud computing, stanno sempre di più prendendo piede i servizi di sicurezza gestiti.
I Managed Security Services negli approcci di sicurezza proattiva
Il panorama della sicurezza informatica ha vissuto un’evoluzione significativa, con attacchi sempre più sofisticati e distruttivi che mettono a dura prova le infrastrutture IT globali. Questo scenario richiede alle aziende di adottare un approccio proattivo alla sicurezza informatica.
L’affinamento delle tecniche degli hacker, che sfruttano strumenti di amministrazione remota per aggirare i tradizionali sistemi di protezione, rende necessaria l’adozione di tool ancora più efficaci e smart di Detection and Response.
In uno scenario così complesso e mutevole, i Managed Security Services (MSS) rappresentano una “scorciatoia” efficace per garantire una protezione adeguata, grazie alla disponibilità di strutture fisiche adeguate come i SOC (Security Operation Center) e team di esperti disponibili 24 ore su 24 che monitorano le attività di rete e rispondono tempestivamente a picchi di traffico insoliti o ad azioni sospette.
I servizi di sicurezza gestita rappresentano una soluzione strategica di outsourcing per la gestione della sicurezza informatica che trova crescenti consensi all’interno delle aziende. La più adottata, ultimamente, per rafforzare le proprie difese contro minacce informatiche complesse. Questa tendenza è particolarmente apprezzata sia dai CIO che dagli amministratori delegati, poiché la logica della Security-as-a-Service e Pay-per-Use risulta vantaggiosa in termini economici e operativi. I MSS offrono una vasta gamma di funzionalità, dalla gestione e monitoraggio dei sistemi di sicurezza alla risposta agli incidenti, fino alla consulenza sulla conformità normativa e alla formazione dei dipendenti, consentendo alle organizzazioni di concentrarsi sulle proprie attività principali.
Il ruolo del CISO – Chief Information Security Officer
Naturalmente non basta dotarsi degli strumenti migliori, bisogna poi anche saperli gestire. Per questo la figura del CISO – Chief Information Security Officer si fa altrettanto indispensabile in una strategia di Cyber security a 360 gradi. Al CISO spetta il controllo sulla corretta esecuzione dei piani di difesa, nonché la responsabilità sui progetti in essere e l’assistenza alle divisioni aziendali sul fronte della data protection.
Sempre secondo i dati dell’Osservatorio del Polimi, le aziende stanno cercando di rendere più robusti i team di cybersecurity, con figure professionali a supporto del
CISO: nell’ultimo anno si evidenzia una crescita del numero sia degli specialisti interni (nel 51% delle aziende), sia dei consulenti esterni coinvolti nel presidio della materia (nel 45%). La sfida, però, coinvolge l’intero sistema Paese. Da un lato, c’è una strutturale mancanza di competenze nell’utilizzo di strumenti tecnologici. Dall’altro, un forte skill gap, che evidenzia una mancanza di circa 300.000 specialisti in ambito cybersecurity a livello europeo.
Sicurezza informatica: chi è, cosa fa e quanto guadagna un Cyber Security Specialist
L’evoluzione della tecnologia e la diffusione di strumenti basati su Intelligenza Artificiale disponibili in modalità “a servizio” – che si parla di un vero e proprio Crime-as-a-Service (CaaS) – facilitano l’esecuzione di attacchi sofisticati anche su larga scala. D’altro canto, invece, le aziende faticano a trovare personale esperto da inserire in organico.
Uno studio recente del World Economic Forum rileva che il divario tra gli operatori di sicurezza informatica richiesti e quelli effettivamente disponibili sul mercato del lavoro entro il 2030 toccherà quota 85 milioni di unità. E questa discrepanza ha un costo: lo studio IBM “Report Cost of a Data Breach 2024” evidenzia che le aziende che lamentano carenza elevata di competenze di security registrano un costo medio per violazione subita di 5.74 milioni di dollari, contro i 3,98 milioni delle organizzazioni con carenze più contenute.
Il Cyber Security Specialist, ovvero l’esperto di cyber security è tra le figure più richieste in questo momento sul mercato delle professioni digitali. A lui spetta il compito di proteggere l’azienda in diversi ambiti: hardware, software, reti, dati, infrastrutture Cloud, garantendo la continuità del business anche a fronte di minacce cyber sempre più sofisticate.
I dati aggiornati di Talent stimano che lo stipendio medio per un esperto di sicurezza informatica in Italia sia di circa 40mila euro l’anno (ovvero 20,51 euro l’ora). Le posizioni “entry level” percepiscono mediamente 27.300 euro l’anno, mentre gli operatori con più esperienza arrivano a guadagnare fino a 50mila euro l’anno.
Il ruolo del Cyber Security Specialist non solo spiana la strada a una carriera promettente e ben remunerata, ma è anche essenziale per garantire la resilienza delle aziende di fronte alle crescenti minacce informatiche. Con l’evoluzione continua delle tecnologie e delle tecniche di attacco, la formazione continua e l’aggiornamento costante delle competenze sono fondamentali per questi professionisti, che costituiscono la prima linea di difesa nel proteggere i dati sensibili e le infrastrutture critiche delle organizzazioni.
