Cybercrime, denunce in aumento del 579%. Il ruolo della certificazione per mitigare il rischio di attacchi informatici.
Iso 27001, l’hanno chiamata così perché bisogna parlarne almeno 27001 volte. Deve essere un mantra. Se i dati sono il nuovo petrolio, ognuno cercherà di conquistarli. Con mezzi leciti e illeciti, un po’ come siamo abituati a vedere nei film sul selvaggio West. Solo che nessuno userà una Colt Walker e gli unici cavalli che vedremo saranno quelli di Trojan.
A proposito di mezzi illeciti, ci risiamo. Hanno colpito anche Campari: «Hello Campari Group! Se state leggendo questo messaggio significa che il vostro network è stato violato e tutti i vostri file e dati sono stati decriptati da Ragnar Locker. Contattateci immediatamente per risolvere il problema. C’è un solo modo per averli indietro: contattateci in live chat e pagate. Non perdete tempo».
Sai quanto costa una scritta del genere? 15 milioni di dollari. Tanto hanno chiesto, come riscatto, per restituire i dati a Campari e per consentirgli di usare di nuovo il suo sistema informatico.
Quali dati sono stati rubati? «file di contabilità, estratti conto bancari, budget e documenti fiscali, proprietà intellettuali, informazioni aziendali proprietarie, dati personali di clienti e dipendenti, accordi e contratti aziendali».
Smartworking aumenta il rischio informatico
L’attacco informatico a Campari è solo l’ultimo di una lunga serie. Negli ultimi mesi sono stati violati i sistemi di Honda, Geox, Luxottica, Enel, Garmin e Swatch.
E sempre in quest’ultimo periodo sono aumentati i reati informatici in genere anche a causa dello smartworking, perché questa modalità di lavoro rende più ampia l’area da aggredire, quindi è più difficile controllare la sicurezza dell’intero perimetro del proprio sistema informatico.
La difesa più potente: il cambiamento
Il nodo non è lo smartworking in sé, ma un argomento su cui sto battendo come un martello pneumatico: il cambiamento. Il mondo non sta cambiando, è già cambiato e continuerà a farlo in maniera sempre più profonda. Stargli dietro è tosta, non c’è che dire. Ma è anche vero che in molti ancora sperano nel ritorno di un vecchio mondo. E per questo non implementano e non innovano. In questo momento così difficile, per avere la speranza di restare sul mercato, bisogna cambiare e cambiare vuol dire migliorare.
Ritorniamo sulla Cybersecurity: non riguarda solo i colossi, per cui le piccole e medie imprese non si devono sentire al sicuro. Anzi, come ha spiegato su Repubblica.it Nunzia Ciardi, direttrice del servizio di Polizia postale «il crimine cyber è un’emergenza assoluta. In due anni le sole denunce arrivate a noi in questo ambito sono aumentate del 579%. Tra gli obiettivi degli attacchi ci sono, oltre ai singoli cittadini, le piccole e medie imprese italiane. Queste ultime hanno meno fondi da investire nella sicurezza informatica e spesso costituiscono il cavallo di Troia per gli attacchi alle grandi imprese».
Cito anche una ricerca dell’Università di Bari, insieme a Exprivia-Italtel sullo stato della sicurezza informatica nel Sud del nostro Paese. La ricerca è stata condotta intervistando un campione di aziende. «Il 34,5% ha dichiarato di aver subito attacchi informatici nel corso del 2019. Il 69% degli intervistati si dice poco o per niente consapevole circa i rischi conseguenti ad un attacco informatico». E meno male che il Global Risks Report 2020 del World Economic Forum, classifica i cyber attacchi come il secondo rischio di maggiore preoccupazione per le imprese nel prossimo decennio.
LEGGI ANCHE: Certificazione ISO27001 e il nuovo petrolio
Perché difendersi?
Difendere il proprio sistema informatico è fondamentale.
1) Per una questione economica: i riscatti che si chiedono per avere indietro i dati rubati sono sempre molto onerosi. E poi ci sono i costi relativi al ripristino del sistema a cui si aggiungono i soldi che si perdono perché diverse attività aziendali, a causa dei server andati, sono costrette a fermarsi in attesa del ripristino. Non si tratta di tempi brevi e il tempo è denaro.
2) Bisogna difendersi anche per una questione d’immagine. Ma voi fareste affari con un’azienda che si dice «poco o per niente consapevole circa i rischi conseguenti ad un attacco informatico»? Io, no. Poi, per carità, subire un attacco informatico non è questione da poco e può capitare a tutti (come dicono le statistiche), ma un conto è subire un attacco da hacker molto preparati, un altro è subirlo perché manca proprio la consapevolezza di ciò che si sta facendo.
Come difendersi?
Con la ISO 27001 sui Sistemi di gestione della sicurezza delle informazioni. È uno standard che usa il modello PDCA, cioè il modello del miglioramento continuo. Inoltre include i requisiti per la valutazione e il trattamento dei rischi per la sicurezza dell’informazione adatti alle esigenze dell’organizzazione.
E fin qui le parole tecniche. Ne aggiungo altre con la speranza che ti aiutino a pensare. I problemi informatici, spesso, nascono dalla mancanza di consapevolezza. È capitato diverse volte che un semplice dipendente. o addirittura un manager. abbia inserito una chiavetta usb infetta all’interno di un computer aziendale. Un’azione banale che però ha aperto la porta ai pirati.
Ecco, una norma come la ISO 27001 funziona come una pennetta usb, solo che non infetta, ma una volta inserita migliora tutti i sistemi di gestione della tua azienda. Come fa dal momento che è una norma specifica? È semplice, agisce sulla mentalità, sull’approccio con cui si fanno le cose. Per cui se entri nell’ottica del miglioramento continuo, questo influirà su tutto, anche nel tuo modo di rispondere al telefono.
Se hai bisogno di informazioni più specifiche, clicca qui. Oppure chiamami, sarò lieto di aiutarti a migliorare il tuo sistema di gestione delle informazioni.
