L’Information Security o InfoSec, secondo una definizione di Microsoft, «è un set di procedure e strumenti di sicurezza che offre una protezione ad ampio spettro per le informazioni sensibili di un’azienda, tutelandole dall’uso improprio, dall’accesso non autorizzato e da eventi dannosi o distruttivi». In base a questa accezione estensiva, l’InfoSec sembrerebbe dover includere anche la cybersecurity che identifica di solito tre qualità che i sistemi aziendali devono possedere per contrastare le minacce informatiche: robustezza, resilienza e reattività. Di fatto, i due concetti spesso vengono utilizzati in maniera intercambiabile.
Che cosa si intende per InfoSec
A dimostrazione di questa intercambiabilità, è possibile anche invertire la relazione tra cybersecurity e InfoSec. Per Cisco infatti «l’InfoSec è una parte fondamentale della cybersecurity, ma si riferisce esclusivamente ai processi progettati per la sicurezza dei dati. Cybersecurity è un termine più generale che include l’InfoSec».
Volendo proporre una definizione scientifica, possiamo ricorrere a quella offerta dagli Osservatori del Politecnico di Milano: «Per Information Security si intende l’insieme delle misure e degli strumenti finalizzati a garantire e preservare confidenzialità, integrità e disponibilità delle informazioni. La sicurezza delle informazioni è, dunque, un concetto più ampio che abbraccia la sicurezza del patrimonio informativo nel suo complesso, facendo riferimento alla protezione dei dati in qualsiasi forma, anche non digitale, e includendo anche aspetti organizzativi e di sicurezza fisica».
Cosa significa informazione sicura: i principi fondamentali dell’InfoSec
Alla luce della definizione degli Osservatori, l’InfoSec va considerato un aspetto irrinunciabile per le aziende, i cui pilastri si possono così sintetizzare:
Protezione dei dati
Le aziende devono implementare misure di protezione dei dati, come la crittografia e l’accesso limitato alle informazioni sensibili, oltre a effettuare regolarmente il backup dei dati e a garantire una conservazione adeguata e sicura.
Politiche di sicurezza
Le organizzazioni sono tenute a stabilire politiche e procedure di sicurezza informatica chiare, tali da coprire aspetti come l’uso dei dispositivi aziendali e l’accesso alle risorse informatiche.
Protezione delle reti
Le reti aziendali devono essere protette da attacchi esterni tramite l’utilizzo di firewall, antivirus e sistemi di rilevamento delle intrusioni con cui prevenire gli accessi non autorizzati.
Gestione delle password
È buona norma che le organizzazioni incoraggino l’impiego di password uniche per ogni account e che implementino politiche di cambio periodico delle password.
Aggiornamenti del software
Le aziende devono mantenere costantemente aggiornati i propri software e i propri sistemi operativi, visto che gli aggiornamenti spesso includono correzioni di sicurezza che proteggono da vulnerabilità accertate.
Monitoraggio e risposta agli incidenti
Le imprese dovrebbero implementare sistemi di monitoraggio per rilevare eventuali violazioni o attività sospette rispetto alle quali è importante prevedere un piano di risposta agli incidenti in caso di violazione.
Sicurezza fisica
Oltre alla sicurezza informatica, le aziende devono occuparsi anche di quella fisica, controllando ad esempio l’accesso fisico alle proprie strutture e ai propri dispositivi e adottando misure che includano telecamere di sorveglianza, chiavi di accesso e sistemi di identificazione.
Consapevolezza dei rischi
I dipendenti devono essere consapevoli dei rischi associati alla sicurezza informatica, la cui compromissione può essere causata da phishing e malware. A tal fine è necessaria una formazione periodica sulle best practice in materia di sicurezza.
Phishing: cos’è, come funziona e come proteggersi. Clicca sull’immagine per saperne di più
L’importanza della formazione dei dipendenti sull’InfoSec
Nell’InfoSec il fattore umano resta dirimente. Non a caso un report realizzato da una società specializzata in sicurezza informatica come Proofpoint si intitola proprio The human factor. La tecnologia, con l’ausilio sempre più diffuso dell’Intelligenza Artificiale, è uno degli elementi che concorre a innalzare la pericolosità degli attacchi. L’altro è la psicologia alla base di minacce che ad esempio fanno leva sul livello di attenzione degli utenti che tendono ad abbassare la guardia in determinate circostanza. Basti pensare alla tecnica di Spear Phising in cui i cyber criminali personalizzano le proprie campagne in funzione delle informazioni condivise sugli account social o, semplicemente, ricavate dalla navigazione sul web del bersaglio.
Ecco perché le aziende devono investire nella formazione per aumentare la cybersecurity posture dell’intera organizzazione. La formazione va intesa sia sul versante tecnico, che si traduce nel mettere al corrente i dipendenti sulle più recenti minacce, sia in termini di mindset riguardo ai corretti comportamenti da tenere e a quelli impropri da evitare. Per contrastare ad esempio il classico eMail phishing non occorrono competenze informatiche specifiche, ma serve la capacità di individuare il contenuto malevolo grazie ad alcuni semplici accorgimenti. Senza dimenticare che per implementare un sistema di InfoSec efficace è fondamentale una verifica periodica della vulnerabilità non solo degli apparati IT, ma anche del personale che lavora in azienda.
Gli attacchi informatici più comuni
L’ultimo Rapporto Clusit ha appurato che nel primo semestre 2023 in Italia il 69% degli attacchi è attribuibile al cybercrime. Sebbene la percentuale sia inferiore rispetto al 93,1% registrato nel 2022, il numero assoluto di attacchi non accenna a diminuire, visto che nei primi sei mesi dell’anno scorso sono stati rilevati 91 incidenti.
Malware e ransomware, anche in Italia, rappresentano le tecniche privilegiate dai criminali. Ciò non toglie che ci sia un incremento del DDoS (Distributed Denial of Service), la cui incidenza è passata dal 4% al 30% nel primo semestre del 2023.
Meno numerosi, ma comunque in crescita, gli attacchi di tipo phishing e di ingegneria sociale. Va tenuto presente che, insieme a queste tecniche offensive ampiamente note, ne esistono diverse altre sconosciute e sempre più sofisticate. Motivo per il quale l’InfoSeC presuppone un approccio olistico che comprenda la protezione dei sistemi, l’aggiornamento dei software, la formazione degli utenti e una gestione accurata delle politiche di sicurezza.
I vantaggi di una buona gestione dell’InfoSec per le aziende
Una buona gestione dell’Information Security porta con sé dei benefici oggettivi per le organizzazioni. I principali possono essere così riepilogati.
Protezione dei dati sensibili
Tra i dati sensibili rientrano le informazioni finanziarie, le anagrafiche dei clienti e tutto ciò che riguarda la proprietà intellettuale. Una gestione oculata dell’InfoSec riduce il rischio di furto, perdita o divulgazione non autorizzata di tutto questo patrimonio.
Compliance normativa
Oggi le aziende sono chiamate a soddisfare le normative e i requisiti di conformità inerenti alla protezione dei dati, come il GDPR (General Data Protection Regulation) in Europa o il CCPA (California Consumer Privacy Act) negli Stati Uniti. In assenza della compliance relativa, oltre al rischio di violazioni, le aziende sono soggette a sanzioni e multe assai onerose.
Riduzione dei rischi
Identificare e valutare i rischi legati alla sicurezza delle informazioni consente di adottare misure preventive e di mitigare la probabilità che accadano incidenti con conseguenze perniciose per l’azienda.
Continuità operativa
Qualora avvenga un incidente, solo con appositi piani è possibile garantire il ripristino di emergenza e la Business Continuity. Questi piani permettono infatti alle imprese di affrontare adeguatamente gli incidenti di sicurezza dovuti ad attacchi informatici o catastrofi naturali, minimizzando l’impatto sulle operazioni aziendali.
Fiducia degli stakeholder
Una buona gestione dell’InfoSec è la migliore attestazione che l’azienda è impegnata nella protezione dei dati e della privacy dei propri clienti e partner commerciali. Il che contribuisce a infondere quella fiducia e quella credibilità che ormai sono aspetti imprescindibili per instaurare solidi rapporti con gli stakeholder nel corso del tempo.
Brand Reputation
Direttamente correlato ai temi della fiducia e della credibilità è il miglioramento della reputazione aziendale. Un’attenta gestione dell’InfoSec può addirittura costituire un elemento differenziante rispetto ai competitor, diventando una leva per trattenere clienti e investitori, nonché per attirarne di nuovi.
Risparmio sui costi
Secondo IBM, il costo medio globale di una violazione dei dati nel 2023 è stato pari a 4,45 milioni di dollari, con un aumento del 15% in 3 anni. Di contro, sempre secondo gli analisti di Big Blue, il risparmio medio per le organizzazioni che utilizzano ampiamente l’Intelligenza Artificiale e l’automazione della sicurezza è di 1,76 milioni di dollari rispetto a quelle che non lo fanno.
L’elenco di questi vantaggi fa capire perché implementare un sistema di InfoSec efficace non è soltanto conveniente, ma è necessario per qualunque azienda intenda operare (e crescere) negli attuali contesti di mercato.
