Garantire la sicurezza informatica della tua azienda.
Perché la Cybersecurity è una priorità per tutte le aziende?
Quando parliamo di Cybersecurity, o più in generale della Sicurezza delle informazioni, siamo di fronte ad un tema che dovrebbe interessare tutte le aziende dato che i cyberattack rappresentano una problematica che per natura, gravità e dimensione travalicano costantemente i confini dell’ICT e della stessa Cybersecurity, ed hanno impatti profondi, duraturi e sistemici su ogni aspetto della società, della politica, dell’economia e della geopolitica. Di seguito alcuni dati:
- L’Italia nel 2021 è il quarto Paese al mondo e il primo in Europa più colpito da malware (Fonte: Trend Micro Research, settembre 2021).
- Ogni grave violazione di dati costa in media all'azienda impattata 2,9 milioni di euro in Italia (Fonte: ilsole24ore 2020).
- Il 53% degli attacchi informatici ha causato danni per oltre 500.000 dollari (Fonte: CISCO 2020).
Focus sul panorama italiano (fonte rapporto Clusit 2022):
- Circa 57.000 eventi di sicurezza rilevati (+157% anno su anno).
- Di questi, quasi 16.000 si sono evoluti in incidenti di sicurezza (+225).
- 130 eventi critici (+280%): si tratta di eventi in grado di provocare una vera emergenza per l’azienda.
Gli ambiti da monitorare
Ambito tecnologico
Tutte le aziende dovrebbe tutelarsi e proteggersi adeguatamente dalle minacce provenienti dal web che sono sempre più frequenti e numerose. Di seguito le tecniche di attacco informatico più diffusi nel 2021:
- Malware & Ransomware (41%).
- Unknown (21%).
- Attacchi sferrati per mezzo di vulnerabilità note (16%).
- Phishing & Social Engineering (10%).
Gestione e formazione delle risorse
In un contesto aziendale una violazione di sicurezza può essere agevolata o causata dall’errore umano con azioni non intenzionali o mancanza di azione da parte di dipendenti e utenti. Di seguito degli esempi:
- Errori basati sulle competenze.
- Errori basati sulle decisioni.
- Errori di sicurezza fisica.
- Consegna errata.
- Problemi di Password.
- i tipi di attacco (12%).
Relazioni con soggetti terzi
Gli attacchi veicolati tramite l’abuso della Supply Chain, ovvero tramite la compromissione di terze parti, consente ai criminali informatici di colpire i contatti (clienti, fornitori, partner) dell’obiettivo, ampliando notevolmente il numero delle vittime e passando più facilmente inosservati. È possibile mitigare questi rischi attraverso:
- La valutazione preventiva dei fornitori.
- La verifica periodica dei servizi erogati dai fornitori.
- Definire SLA e requisiti minimi sulle misure di sicurezza delle informazioni nei contratti con le terze parti.
Controllo degli accessi fisici
In un'organizzazione, gli incidenti di sicurezza relativi agli accessi fisici, possono causare danni non indifferenti. Infatti, tutte le organizzazioni dovrebbero stabilire le persone autorizzate ad accedere alle aree riservate (es. archivi, CED etc.) in cui le informazioni critiche sono custodite e trattate. Di seguito alcuni esempi di possibili incidenti di sicurezza fisica:
- Furto di informazioni critiche aziendali.
- Manomissione di asset fisici che possono compromettere la continuità operativa.
- Calamità naturali (es. incendi, allagamenti etc.) che possono danneggiare gli asset aziendali.
Approccio Maxwell
Un approccio modulare in 4 azioni
Cybersecurity Assessment
L’attività di Cybersecurity Assessment ha l’obiettivo valutare il grado di protezione del patrimonio aziendale.
Supporto all’implementazione del Sistema di Gestione di Sicurezza delle Informazioni (SGSI)
Supporto al raggiungimento della Compliance rispetto allo Standard ISO/IEC 2700x (serie) dalle fasi iniziali fino all’eventuale conseguimento della certificazione.
Miglioramento continuo e aggiornamento dell'SGSI
Supporto alla valutazione periodica ed al continuo miglioramento di un SGSI già implementato, mediante il monitoraggio delle performance attraverso Audit e processi dedicati.
Formazione in ambito Cybersecurity
L'elemento più debole è la risorsa umana e per mitigare questo rischio Maxwell ha definito corsi specifici di formazione o awareness del personale sulle principali tematiche e trend nell'ambito della Cybersecurity e Information Security.
Per approfondire le tematiche legate alla Cybersecurity
Compila il form per ricevere riscontro dai nostri Consulenti.
Oppure visita la divisione G.R.C. Xcellence per approfondire le nostre competenze sulle tematiche.