Diventa Autore per CoreTech | Scopri di più
01/02/22 CoreTech Blog
Le piccole e medie imprese hanno difficoltà quando si tratta di sicurezza informatica. Il divario di sicurezza informatica li colpisce più duramente perché la maggior parte degli esperti di sicurezza preferirebbe scegliere ambienti di lavoro diversi.
I giovani appassionati di sicurezza delle informazioni sono molto richiesti. Tuttavia, invece delle PMI, di solito preferiscono lavorare per aziende di sicurezza specializzate e si concentrano, ad esempio, sui test di penetrazione manuali. Un'altra scelta preferita sono le aziende, in cui tali appassionati possono restringere i propri compiti, accedere a specializzazioni come sicurezza di rete, analisi della superficie di attacco e del panorama delle minacce, valutazione del rischio o progettazione di strutture di sicurezza e/o avere un percorso di carriera più promettente, anche per CISO.
Un altro grosso problema per le PMI è il budget. Un'impresa o un team specializzato di solito può offrire agli esperti di sicurezza stipendi ed extra molto migliori. E non c'è da meravigliarsi se i giovani appassionati sono schizzinosi: sono quelli che stanno vincendo, sono quelli per cui si lotta
Alla fine, molte PMI finiscono con amministratori o team IT generici che assumono il ruolo di sicurezza IT. Anche se riescono a coinvolgere un professionista della sicurezza, quel professionista diventa un tuttofare, spesso bruciandosi e partendo presto, alla ricerca di un percorso di carriera diverso.
Un altro grave problema associato alla posizione della sicurezza informatica per le PMI è la mancanza di consapevolezza della sicurezza informatica e la fede nei miti, soprattutto nel caso di top manager e dirigenti. Questo spesso porta a un rinvio della sicurezza e ad essere trattato come un problema minore con budget incentrati sullo sviluppo e sui profitti diretti. Anche se i proprietari e i top manager delle PMI si rendono conto che esiste un grave rischio per la sicurezza, sono spesso pronti ad accettare tale rischio a causa delle sfide associate alla sua mitigazione, ad esempio la sfida di trovare personale, come descritto sopra.
Proviamo a sfatare alcuni importanti miti sulla sicurezza informatica che possono avere una pessima influenza sulla posizione di sicurezza informatica dell'organizzazione. Una volta che il filo del pensiero è più chiaro, potrebbe essere più facile per le PMI stabilire le migliori pratiche di sicurezza per gestire in modo efficiente il loro stato di sicurezza delle informazioni.
Questo è un mito molto pericoloso che porta a perdere personale. La sicurezza informatica non è qualcosa che puoi semplicemente appoggiare sulle spalle di una persona. Proprio come con la sicurezza fisica, anche se hai le migliori serrature e il miglior sistema di allarme, basta un solo dipendente a caso per dimenticare di chiudere quando esci dal lavoro e l'intero sforzo è inutile. E se una persona viene incolpata in un caso del genere, puoi essere certo che presto troverà un posto migliore in cui lavorare.
Se vuoi che la tua attività prosperi in modo sicuro, tutti all'interno dell'azienda (o anche al di fuori di essa, se la catena di approvvigionamento include l'outsourcing) devono essere consapevoli della sicurezza informatica. E non si tratta solo di una singola formazione iniziale o di inviare regolarmente a tutti e-mail di phishing false per controllare le loro risposte. Si tratta di assicurarsi che tutti si preoccupino veramente, sempre.
Affinché i dipendenti si preoccupino veramente della sicurezza informatica, sono i manager che devono preoccuparsene per primi. Invece di avere aspettative, i manager dovrebbero dare l'esempio e assicurarsi che il rischio informatico sia percepito come importante. E non è difficile, è sufficiente che ogni decisione prenda in considerazione la sicurezza e che ogni discussione importante coinvolga il tema della sicurezza, se appropriato.
Non c'è alcuna possibilità che un'azienda in outsourcing possa essere dettagliata nella gestione della sicurezza come te. Un appaltatore di servizi di sicurezza professionale è una buona e facile via d'uscita per una piccola organizzazione che non può permettersi risorse dedicate alla sicurezza informatica. Un fornitore/appaltatore di terze parti può aiutarti a selezionare il tuo framework di sicurezza informatica come NIST, progettare la tua strategia di sicurezza informatica, assisterti nella gestione del rischio e nell'intelligence sulle minacce, aiutarti a impostare i tuoi controlli di sicurezza e persino a prendere parte alla risposta agli incidenti. Tuttavia, non sono in grado di essere ovunque e guardare tutto in tempo reale e probabilmente avranno un tempo di risposta che sarà significativamente meno favorevole di quello dei tuoi dipendenti.
Se esternalizzi la tua sicurezza, devi comunque assicurarti che tutti in azienda siano consapevoli dell'impatto sulla sicurezza di tutte le loro azioni. Ad esempio, l'esternalizzazione della sicurezza a un appaltatore professionista non impedirà ai tuoi sviluppatori di introdurre vulnerabilità di SQL injection nel tuo software. Sarebbe molto raro se il tuo appaltatore partecipasse attivamente al tuo SDLC e controllasse tutte le tue risorse IT
Non esiste un software in grado di garantire la sicurezza della tua organizzazione. Inoltre, non esiste un unico strumento di sicurezza che copra nemmeno la metà delle potenziali minacce informatiche. Potresti ottenere una soluzione per l'ufficio che ti proteggerà da malware inclusi attacchi ransomware, un firewall per proteggere la tua rete esterna e interna da determinati attacchi di rete ed essere comunque vulnerabile alla completa compromissione del sistema e alla perdita di tutti i dati aziendali a seguito di un singolo SQL injection perché nessuno di questi strumenti ti protegge da tali vulnerabilità anche minimamente.
Non lasciarti influenzare dalle vuote promesse dei fornitori e non aver paura di cercare soluzioni specifiche per minacce alla sicurezza specifiche come uno scanner di vulnerabilità web specializzato per proteggerti dalle minacce relative al web. Cerca i produttori che non hanno paura di raccontarti i fatti invece di usare il linguaggio del grande business per offuscare i tuoi occhi. Cerca produttori specializzati perché hanno i mezzi per proteggerti in modo efficace. E ricorda sempre che l'automazione del software è solo uno strumento ed è il modo in cui usi quegli strumenti che conta davvero.
Un altro errore correlato di molte PMI è il fatto che si concentrano sulla sicurezza dei loro uffici. In passato, questo aveva senso perché la maggior parte delle risorse era conservata in ufficio, spesso inclusi i server. Al giorno d'oggi, le PMI si affidano principalmente a soluzioni cloud e, pertanto, i controlli di sicurezza informatica dovrebbero concentrarsi sulla sicurezza dei dati cloud e sulla presenza sul web perché la maggior parte delle risorse aziendali si basa su tecnologie web (comprese le tecnologie mobili e IoT ).
Forse nel 2000 una soluzione antivirus e uno scanner di rete erano più importanti di uno scanner di vulnerabilità web, ma ora, nel 2020, non è più così. Sebbene le soluzioni antimalware per gli endpoint siano ancora fondamentali per proteggersi da minacce come il ransomware, la protezione del Web è altrettanto importante e solo gli scanner di vulnerabilità Web possono farlo.
Questo è un altro mito molto pericoloso che porta a grossi problemi. I manager delle PMI spesso pensano che se l'azienda non lavora nello spazio pubblico, è al sicuro dagli attacchi. Tuttavia, questo non potrebbe essere più lontano dalla verità.
Ad esempio, se si progetta un'applicazione B2B utilizzata da un numero limitato di aziende e che richiede l'autenticazione per l'accesso, è soggetta a rischi per la sicurezza informatica tanto quanto un sito web pubblico. Un attacco informatico può essere condotto non solo da un dipendente dell'azienda del cliente. Se, ad esempio, il modulo di accesso presenta una vulnerabilità SQL injection, un utente malintenzionato esterno può accedere all'applicazione progettata per essere utilizzata solo da clienti specifici, non dal pubblico in generale.
Inoltre, tieni presente che molte violazioni dei dati si verificano a causa di negligenza dell'interno o intenti dolosi: ad esempio, uno dei tipi più comuni di violazioni dei dati sono i database non protetti che sono stati il risultato della disattenzione di un dipendente (il database non è mai stato concepito per essere pubblicamente disponibile).
Sebbene disporre di risorse pubbliche aumenti le sfide della sicurezza informatica, non averne una non significa automaticamente che tu abbia una buona protezione dei dati. Per essere sicuro, dovresti proteggere le tue risorse interne e le risorse autenticate così come le tue risorse esterne.
La criminalità informatica non è sempre il risultato di qualcosa da guadagnare. Altrettanto spesso è il risultato di un'opportunità. Alcuni criminali informatici si concentrano su preziose proprietà intellettuali o dati sensibili (e faranno quasi di tutto per rubarli) mentre altri sparano alla cieca e sperano di cogliere qualcuno alla sprovvista. Stai in guardia?
Quando si esaminano le più grandi violazioni dei dati negli ultimi anni, pochissime di esse sono state in realtà il risultato di un attacco mirato. In alcuni casi, come Equifax, si è trattato effettivamente di un attacco mirato di, presumibilmente, forze speciali cinesi. Tuttavia, il grande successo del 2019, la violazione di Capital One, è stato causato da un hacker frustrato ed emotivamente instabile che cercava popolarità nei circoli dei black hat. La maggior parte delle altre violazioni, tuttavia, era semplicemente il risultato di una scansione di indirizzi pubblici e di una risorsa vulnerabile.
