News & PR

Le sfide della Cybersecurity per i fondi pensione e gli enti del welfare

Scritto da Kirey Group | 27-mag-2021 13.28.03

L’oculata gestione degli attacchi cyber è un driver imprescindibile per il sano sviluppo di un’azienda che, anche in caso di emergenza, deve ripristinare il servizio a fronte di un danno e garantire la disponibilità dei servizi più critici senza interruzioni.

L’oculata gestione degli attacchi cyber è un driver imprescindibile per il sano sviluppo di un’azienda che, anche in caso di emergenza, deve essere in grado di ripristinare il servizio a fronte di un danno (Disaster Recovery) e di garantire la disponibilità dei suoi servizi più critici senza interruzioni (Business Continuity).

Questo modus operandi mette l’organizzazione al riparo da possibili costi imprevisti e danni di immagine. Diventa perciò un importante vantaggio competitivo che le aziende devono imparare ad utilizzare al più presto, rivedendo i propri processi e le modalità operative, per mettere in sicurezza il sistema informatico.

Spesso, infatti, si commette l’errore di pensare che gli attacchi possano avere come unico scopo l’azione dimostrativa, lo spionaggio o l’attacco ad infrastrutture critiche di un Paese. In realtà le organizzazioni criminali hanno trovato molteplici modi di fare business e generare profitto, colpendo diverse tipologie di aziende, tra cui le PMI; queste ultime più indifese, poiché le informazioni più ricercate e vendute nel mercato nero a fini fraudolenti, sono dati personali, credenziali d’accesso, indirizzi e-mail e la proprietà intellettuale. Tutto questo quando l’attaccante non si accontenta di bloccare semplicemente l’accesso al dato cifrandolo e chiedendo un riscatto per poterlo rilasciare.

L’ampiezza del campo di applicazione della Cybersecurity è orizzontale: dalla difesa nazionale alla sicurezza nel mondo finanziario, dalla protezione delle attività di tipo privato alla garanzia di continuità nel funzionamento delle attività produttive. Questo è dimostrato anche dai più recenti attacchi informatici, che hanno visto come bersaglio indistintamente la Pubblica Amministrazione, aziende private e pubbliche.

Non si parla solo di tecnologia, ma di processi, di organizzazione, di utenti interni ed esterni, di fornitori: sono diversi i punti in cui l’ecosistema potrebbe essere più debole e soggetto ad un attacco. L’attaccante non è più il giovane hacker che agisce in solitaria, ma è sempre più spesso una vera e propria organizzazione con capacità di investimento notevole che acquista strumenti e sistemi per andare a cercare vulnerabilità e sfruttarle in modo automatizzato.

 

La superficie d’attacco: dove oggi si concentra maggiormente il rischio

Basta solo un numero per comprendere la crescita degli attacchi informatici: un report di Kaspersky labs riporta che nel mercato italiano le vittime di attacchi mirati sono cresciute nell’ultimo anno del 767% e tra queste la maggior parte delle volte sono presenti soggetti d’alto profilo all’interno delle loro organizzazioni.

Tra i tre vettori di attacco usati più frequentemente ci sono:

  • I sistemi esposti su Internet: oggi praticamente tutte le organizzazioni mettono a disposizione servizi, applicazioni o sistemi informativi sul Web. Di fatto, significa esporre una superficie ad un possibile attaccante. Questa superficie si espande ancora di più in presenza di alcune condizioni, ad esempio quando terze parti hanno accessi privilegiati per gestire parti di sistemi informativi per manutenzione o in presenza di operazioni di merge & acquisition, ovvero di sistemi informativi eterogenei con diversi livelli e strumenti di sicurezza, non integrati e con procedure d’utilizzo non allineate

  • Le infrastrutture: oggi i sistemi girano all’interno di sistemi virtualizzati e di data center, che devono essere costantemente aggiornati. Se il processo di patching e di change non viene gestito in modo adeguato, aumenta il rischio di avere nel tempo sistemi non correttamente protetti ed esposti nel tempo a nuove vulnerabilità.

  • Il personale: le persone costituiscono molto spesso i primi vettori di attacco. In genere l’attaccante punta a figure come amministratori delegati o direttori generali, che detengono informazioni aziendali più pregiate e hanno accesso a sistemi di maggior valore.

Come ridurre il rischio: alcune contromisure da adottare

Il mondo delle vulnerabilità è in continua evoluzione. Un sistema sicuro ieri, potrebbe non essere sicuro la prossima settimana, i prossimi mesi. Ecco perché è importante monitorare costantemente il loro stato attraverso l’implementazione di strumenti di controllo e di difesa e una attività di verifica periodica (Penetration Test).

È importante anche fare ricorso al Security Operations Center, per analizzare gli attacchi in corso, supportare le attività di contrasto, evidenziare le anomalie comportamentali degli utenti e per bloccare o limitare l’impatto di un attacco.

Poiché è impensabile che un’organizzazione abbia internamente tutte le competenze specifiche in ambito security, è utile anche utilizzare Servizi gestiti di sicurezza, ovvero affidarsi a fornitori con personale qualificato per la gestione e l’implementazione dei servizi.

Infine, ultima ma fondamentale è la Security Awareness, ovvero la formazione del personale. Proprio per far fronte a questa esigenza, Kirey Group mette a disposizione dei pacchetti formativi standard o personalizzabili a favore delle aziende, per supportarle nel loro progetto di messa in sicurezza diffondendo a tutti i livelli organizzativi una cultura di base sui fondamentali della sicurezza informatica e minimizzare il rischio di attacchi basati su Social Engineering o Phishing.

Il modello vincente nello sviluppo applicativo

La sicurezza non deve essere vista come lo stato finale, ma come il risultato di un processo che coinvolga costantemente e coerentemente competenze professionali e informatiche. Un percorso basato su aggiornamento costante e profonda conoscenza e gestione delle vulnerabilità, che diventi parte integrante dei processi aziendali e che possa svilupparsi, evolvere ed attuarsi nel tempo, sulla base delle minacce.
Lo sviluppo applicativo deve essere strettamente correlato alla capacità di verificare la sicurezza del codice da scrivere, dell’app da distribuire ai sottoscrittori o utilizzabile da browser. Tutto questo tipo di verifiche e controlli deve essere nativo all’interno del ciclo di sviluppo, di quello che tecnicamente viene chiamato SecDevOps. Mentre lo Sviluppo e le Operations rappresentano un passaggio continuo e coordinato da una fase all’altra, la Security abbraccia questo movimento in modo che in qualunque fase venga presa sempre in considerazione. Infatti, intervenire successivamente ad un attacco costa dalle 7 alle 20 volte in più rispetto che sviluppare direttamente il sistema in modo sicuro.
Nel mondo dei Fondi Pensione questo è particolarmente importante perché spesso lo sviluppo dei servizi è studiato su misura, quindi è necessario anche dotarsi di soluzioni software e implementazioni personalizzate in ambito sicurezza.

 

Kirey Group e il mondo del Welfare

Kirey Group è una realtà fortemente progettuale che accompagna le aziende nel loro percorso di digital business, offrendo competenze specifiche nel campo della system integration, consulenza strategica, dell’innovazione tecnologica, della gestione dei processi e propone una vasta offerta di soluzioni IT.   

Kirey Group può contare su una divisione dedicata che si occupa in modo verticale di Welfare e Previdenza, declinata in team di prodotto e di service amministrativo, per supportare il Fondo in tutto il suo ciclo di vita: dalla fase costitutiva all'amministrazione quotidiana, fino alla gestione di operazioni straordinarie come fusioni e incorporazioni.

All’interno dell’intero offering di Kirey Group, si integrano competenze specifiche in ambito Security. Quelle focalizzate sui temi di Threat Management, IT RISK & Governance, Practice & Compliance indirizzano meglio la risposta alle esigenze descritte per mappare i rischi e dotare le aziende di piani operativi abilitanti per far fronte ad un potenziale incidente di sicurezza.