Post di Davide Giribaldi

- Vulnerabilità - Errore umano - Guasto tecnologico - Valutazione del rischio incompleta - Trattamento del rischio inadeguato - Cambiamento nel contesto Sono le 6 cause principali di eventi che possono avere un impatto sulla sicurezza delle informazioni di un'organizzazione secondo la norma ISO/EC 27035:2023-1. Immagina che la tua organizzazione, per anticipare la concorrenza (cambiamento del contesto), decida di proporre un servizio innovativo per il quale è necessario implementare una nuova soluzione di sicurezza. Immagina poi, che per questioni di urgenza e limitazione del budget, il processo di implementazione avvenga in tempi rapidi e senza l'adeguata formazione del personale (vulnerabilità). Immagina in fine e per assurdo, che la nuova soluzione, a causa di mancanza di test approfonditi (valutazione dei rischi incompleta), possa presentare malfunzionamenti occasionali. Certo, lo so, sto parlando di situazioni improbabili 🧐, ma come pensi possano andare le cose senza un approccio strutturato e ben pianificato alla gestione degli incidenti? Pensi davvero di non avere bisogno di un sistema (non solo tecnologico) di rilevazione? Di controlli adeguati che ti aiutino a minimizzare l'impatto? Di una strategia e (almeno) un metodo per prevenire futuri incidenti? La norma ISO/IEC 27035:2023 ti fornisce 3 documenti ufficiali, uno con i principi generali e l'altro con le linee guida e il terzo con la sequenza di operazioni per preparare e pianificare la risposta agli incidenti. Purtroppo non è gratuita, ma al primo commento trovi il link per valutare se acquistarla. #TheRiskHunter N.B. Un evento di sicurezza delle informazioni, è un'occorrenza che indica una possibile violazione o un fallimento di uno o più controlli. Quindi un evento, non implica necessariamente un attacco riuscito o un impatto sulla riservatezza, integrità o disponibilità delle informazioni, ma... occhi sempre aperti e il cervello collegato con il resto del corpo. 😉 Datti da fare!

- Vulnerabilità - Errore umano - Guasto tecnologico - Valutazione del rischio incompleta - Trattamento del rischio inadeguato - Cambiamento nel contesto Sono le 6 cause principali di eventi che possono avere un impatto sulla sicurezza delle informazioni di un'organizzazione secondo la norma ISO/EC 27035:2023-1. Immagina che la tua organizzazione, per anticipare la concorrenza (cambiamento del contesto), decida di proporre un servizio innovativo per il quale è necessario implementare una nuova soluzione di sicurezza. Immagina poi, che per questioni di urgenza e limitazione del budget, il processo di implementazione avvenga in tempi rapidi e senza l'adeguata formazione del personale (vulnerabilità). Immagina in fine e per assurdo, che la nuova soluzione, a causa di mancanza di test approfonditi (valutazione dei rischi incompleta), possa presentare malfunzionamenti occasionali. Certo, lo so, sto parlando di situazioni improbabili 🧐, ma come pensi possano andare le cose senza un approccio strutturato e ben pianificato alla gestione degli incidenti? Pensi davvero di non avere bisogno di: - un sistema (non solo tecnologico) di rilevazione? - controlli adeguati che ti aiutino a minimizzare l'impatto? - una strategia e (almeno) un metodo per prevenire futuri incidenti? La norma ISO/IEC 27035:2023 ti fornisce due documenti, uno con i principi generali e l'altro con le linee guida per preparare e pianificare la risposta agli incidenti. Purtroppo non è gratuita, ma al primo commento trovi il link per valutare se acquistarla. #TheRiskHunter N.B. Un evento di sicurezza delle informazioni, è un'occorrenza che indica una possibile violazione o un fallimento di uno o più controlli. Quindi un evento, non implica necessariamente un attacco riuscito o un impatto sulla riservatezza, integrità o disponibilità delle informazioni. Non cadere nei facili allarmismi, ma tieni gli occhi sempre aperti e il cervello collegato con il resto del corpo! 😉

La prevenzione dalle minacce cyber è fondamentale per la sopravvivenza delle nostre organizzazioni, ma quando la minaccia si trasforma in un incidente dobbiamo saper reagire con efficacia e per farlo serve una strategia. Questi sono i miei passaggi per metterla in atto: 1- Comprendi lo scenario delle possibili minacce. Per farlo devi conoscere a fondo la tua organizzazione, la sua propensione al rischio, la sua capacità di reagire a scenari imprevisti, i suoi obiettivi di business; Che tipi di attacchi hai subito in passato? Quanto è durato? Come hai risolto? Cosa è successo alla reputazione aziendale? 2- Prepara le procedure e studia un piano di risposta agli incidenti. Stabilisci ruoli e responsabilità, identifica le risorse chiave e gli asset fondamentali, coinvolgi tutti i collaboratori. 3- Testa il piano e simula situazioni impreviste. Raccogli evidenze, misura le reazioni delle parti interessate, migliora quando necessario e semplifica ogni volta sia possibile. 4- Usa la threat intelligence. Ne abbiamo parlato a sufficienza nel post di lunedì, non voglio annoiarti oltre. 5- Automatizza i processi laddove possibile, ma non dimenticare mai il vantaggio del presidio umano di tutte le funzioni core. Se è vero che non siamo veloci come la tecnologia è altrettanto vero che (almeno fino a oggi) soltanto noi esseri umani sappiamo pensare fuori dagli schemi, per cui sfrutta questo vantaggio, dammi retta! 6- Trova, monitora e migliora l'equilibrio tra persone, processi e tecnologie. Sei certo che l'incident response team sia ben coordinato e abbia gli strumenti necessari al contenimento dei danni? (PERSONE) Hai aggiornato le procedure di risposta agli incidenti? (PROCESSI) Il tuo team è in grado di prendere le migliori decisioni possibili con la TECNOLOGIA a disposizione della tua azienda? Non è tutto, ma è un buon punto di partenza no? p.s. Quando hai finito, riparti da capo! La sicurezza delle informazioni è un loop infinito in continua evoluzione. #TheRiskHunter

Resilienza. La Direttiva NIS 2 nella versione inglese, cita 15 volte questo termine: 10 tra i considerando, 2 tra le note a margine e 3 tra gli articoli: - Art.7 par.2i: Strategie nazionali di cybersecurity - Art.14 par. 9: Gruppi di cooperazione - Art.28: Banca Dati DNS Eppure ne parlano tutti, qualcuno a sproposito, molti perché è tra le buzzword dell’anno, ma davvero sai cosa sia? Di certo saprai che è la capacità di adattarsi a situazioni impreviste e continuare a operare per il raggiungimento dei propri obiettivi, indipendentemente dagli incidenti informatici. Forse però non sai che si sviluppa lungo un percorso segnato da 4 pilastri fondamentali: 1) Gestione proattiva dei rischi 2) Sistemi di rilevamento efficienti (ed efficaci) 3) Sistemi di risposta e recupero efficienti (ed efficaci) 4) Auto assessment e miglioramento continuo Vuoi approfondire? Fatti 4 domande: 1- A quali rischi stai andando incontro? Se vuoi essere cyber-resiliente, devi prima di tutto comprendere le minacce che incombono sulla tua organizzazione e predisporre in anticipo sia i relativi controlli che le contromisure. Devi analizzare a fondo l'infrastruttura a caccia di tutte le sue vulnerabilità. Non sai da dove partire? Questo è il mio ordine preferito: persone, processi, tecnologia. 2 - Hai mai pensato al tempo che intercorre tra un incidente informatico e il momento esatto in cui ne vieni a conoscenza? Questo periodo, molto più lungo di quanto tu possa immaginare, è sicuramente fatto da settimane, probabilmente da mesi e determina un fattore chiamato "rilevabilità". Puoi avere i sistemi di difesa migliori del mondo, ma sono del tutto inutili se non ti aiutano a rilevare in tempi rapidissimi una violazione. 3 - Hai mai sviluppato un piano di risposta agli incidenti? Se la risposta è SI, fatti una domanda di riserva: Lo hai mai testato? Non appena rilevi un attacco, devi fare entrare in gioco il tuo piano di risposta grazie sul quale troverai ruoli, responsabilità e azioni necessarie a garantire la continuità operativa della tua organizzazione. In mezzo alla tempesta, meglio non improvvisare. 4 - Hai mai fatto un'analisi di come sono andate realmente le cose una volta superato l’incidente? Non andare a caccia di colpe o responsabili, per quello ci sarà tempo, semplifica. Chiediti perché sono accadute certe cose, analizzale in profondità e scomponile in singoli passaggi per capire meglio la loro origine. Semplificare aiuta a comprendere ciò che non ha funzionato e a evitare che accada di nuovo, perlomeno con la stessa intensità. Ogni organizzazione ha tre vite, quella prima, quella durante e quella dopo un incidente informatico. Nella terza vita, hai la grande opportunità di guardare indietro, analizzare con onestà quanto accaduto e migliorare dove possibile per gestire la nuova normalità post incidente. Ricorda: dopo una violazione dei dati, nulla sarà più come prima. Quindi, perché non pensare che possa essere meglio? #TheRiskHunter

Le organizzazioni dovrebbero comunicare: - le politiche dell'organizzazione in materia di incidenti di sicurezza delle informazioni e le relative procedure; - gli obblighi e le aspettative del personale; - le procedure di segnalazione degli incidenti; - chi contattare per ulteriori informazioni; - gli esiti degli incidenti e come ridurre al minimo il ripetersi degli stessi. Il capitolo 4.6 della ISO/IEC 27035-1:2023 sulla gestione degli incidenti IT, inizia proprio cosi. Sembra un paradosso, eppure il modo più efficace di gestire la sicurezza delle informazioni è comunicare. Vale lo stesso per la gestione degli incidenti #cyber. Ma c’è di più, la ISO 27035 aggiunge anche che: - Una violazione delle informazioni (ovvero una comunicazione incontrollata) su un incidente può avere gravi conseguenze e solo il personale debitamente incaricato e preparato dovrebbe essere autorizzato a comunicare con il mondo esterno per dire solo ciò che è necessario, nel momento migliore e nella forma appropriata. - L'organizzazione dovrebbe promuovere la gestione degli incidenti come un processo di segnalazione "senza colpa", per dare al personale la possibilità di farsi avanti e segnalare gli incidenti senza il timore di essere punito. - La comunicazione interna è necessaria per una risposta e un recupero efficaci, mentre la comunicazione esterna è indispensabile, ad esempio per l'immagine dell'azienda. Comunicare è fondamentale, quello che forse è più complesso da comprendere è come fare. Per fortuna esistono dei criteri: 1) Buon senso Sapere cosa, dire, come dirlo e quando farlo, può aiutare a contenere una situazione di stress e risparmiare tempo prezioso. Avere il giusto tono e la corretta cadenza nel momento opportuno, aiuta sempre! 2) Politiche Una buona policy dovrebbe individuare i soggetti dotati delle competenze e delle autorizzazioni per comunicare nelle varie situazioni sia prima, che durante, che dopo un incidente cyber. 3) Preparazione. Il modo più semplice per uscire dalla logica della “caccia al colpevole” (il capitolo 4.6 chiede proprio questo) è cercare di essere preparati, ma come? Parti da qui: ascolta prima di parlare, sii chiaro quando lo fai, sii coinciso, sii paziente, controlla la situazione, ma soprattutto usa il cervello, mai la pancia. C’è però ancora un dettaglio da tenere in considerazione: comunicare è fondamentale, ma comprendersi è un grande problema. Se vuoi farti capire, impara ad ascoltare, perché senza la capacità di trasmettere e comprendere in modo chiaro e inequivocabile idee e concetti, la competenza tecnica è inutile, credimi! #TheRiskHunter P.S. La Direttiva NIS 2 all’art.20 dice che: le organizzazioni sono tenute a garantire che i dipendenti "acquisiscano conoscenze e competenze sufficienti per consentire loro di identificare i rischi e valutare le pratiche di gestione del rischio di cybersecurity e il loro impatto sui servizi forniti dall'entità”, ma questa è un’altra storia! 😉

Gestione del rischio, parte 2/5 Tecnologia. Governance. Consapevolezza. Sono queste le tre colonne portanti nella gestione del rischio aziendale e oggi partiamo proprio dalla consapevolezza, quella spesso più trascurata a favore degli strumenti, delle tecnologie e dei processi come uniche soluzioni contro le minacce informatiche. Cosa vuol dire consapevolezza? Vuol dire che le persone si collocano al centro. Sono le persone che prendono decisioni, che interagiscono con colleghi e terzi, che compiono azioni e mettono in atto comportamenti che possono influenzare profondamente il lavoro. Sono le persone che decidono anche se cliccare o meno su quel link fraudolento appena ricevuto via e-mail determinando, alcune volte, il futuro stesso dell’organizzazione. Lo scriviamo spesso: è fondamentale creare consapevolezza al rischio. Come farlo? Con la formazione. Se ben strutturata, la formazione diventa un importante ed efficace strumento di prevenzione e di difesa, aumentando la resilienza alle minacce informatiche e permettendo, nell’eventualità, di reagire in caso di attacco, fenomeno sempre più in crescita. Sono le persone che, con i giusti mezzi, abbracciano il cambiamento e sono in grado di creare una solida cultura aziendale che perduri nel tempo e tuteli l’azienda. La consapevolezza al rischio fa la differenza. #cybersecurity #formazione

ll Chief Information Security Officer , si occupa di definire una strategia mirata per contenere i rischi informatici dell'azienda aiutandola ad essere competitiva ed a raggiungere i propri obiettivi di business. E' il riferimento dell'azienda per dimostrare ai clienti le misure di sicurezza adottate e per verificare che i fornitori siano adeguati in termini di sicurezza. Il CISO è l’alleato indispensabile per pianificare una corretta strategia di sicurezza che permetta di prevenire le frodi informatiche; gestire la crescente pressione normativa in tema di sicurezza; trasformare la sicurezza in valore aggiunto. Il CISO opera di concerto con la Direzione Generale e con i responsabili di tutte le funzioni aziendali. La sicurezza informatica oggigiorno è fondamentale, ma ancora poco valorizzata nei contesti con minore cultura della prevenzione, dove il ruolo viene generalmente ricoperto dal IT Manager. "𝐂𝐨𝐦𝐩𝐞𝐭𝐞𝐧𝐳𝐞 𝐩𝐞𝐫 𝐂𝐨𝐦𝐩𝐞𝐭𝐞𝐫𝐞" L’utilizzo di un manager esterno, infatti, porta l’azienda a dover remunerare la sua attività solo per il tempo necessario al raggiungimento dell’obiettivo. 𝐕𝐚𝐥𝐮𝐭𝐚 𝐚𝐧𝐜𝐡𝐞 𝐥𝐚 𝐧𝐨𝐬𝐭𝐫𝐚 𝐬𝐨𝐥𝐮𝐳𝐢𝐨𝐧𝐞 𝐩𝐚𝐫𝐭 𝐭𝐢𝐦𝐞, 𝐦𝐨𝐝𝐚𝐥𝐢𝐭𝐚' 𝐢𝐧𝐝𝐢𝐜𝐚𝐭𝐚 𝐩𝐫𝐢𝐧𝐜𝐢𝐩𝐚𝐥𝐦𝐞𝐧𝐭𝐞 𝐩𝐞𝐫 𝐥𝐞 𝐩𝐢𝐜𝐜𝐨𝐥𝐞 𝐢𝐦𝐩𝐫𝐞𝐬𝐞 𝐬𝐨𝐭𝐭𝐨 𝐢𝐥 𝐩𝐫𝐨𝐟𝐢𝐥𝐨 𝐝𝐞𝐥𝐥’𝐢𝐦𝐩𝐚𝐭𝐭𝐨 𝐬𝐢𝐚 𝐞𝐜𝐨𝐧𝐨𝐦𝐢𝐜𝐨 𝐬𝐢𝐚 𝐝𝐞𝐥𝐥𝐚 𝐩𝐫𝐞𝐬𝐞𝐧𝐳𝐚 𝐢𝐧 𝐚𝐳𝐢𝐞𝐧𝐝𝐚. 𝐒𝐞 𝐩𝐞𝐧𝐬𝐢 𝐜𝐡𝐞 𝐥𝐚 𝐭𝐮𝐚 𝐚𝐳𝐢𝐞𝐧𝐝𝐚 𝐚𝐛𝐛𝐢𝐚 𝐛𝐢𝐬𝐨𝐠𝐧𝐨 𝐝𝐢 𝐮𝐧 𝐬𝐮𝐩𝐩𝐨𝐫𝐭𝐨, 𝐧𝐨𝐧 𝐞𝐬𝐢𝐭𝐚𝐫𝐞 𝐜𝐨𝐧𝐭𝐚𝐭𝐭𝐚𝐜𝐢 => info@rs-tm.com #temporarymanager #soluzioni #problemsolving #competenze #crescita #visione

A seguito di un security test siamo abituati a discutere il report tecnico coinvolgendo, solitamente, le figure operative e se possibile il responsabile del team IT. In quest’occasione è molto difficile riuscire a coinvolgere figure di management che più probabilmente riceveranno i feedback dei responsabili interni con i quali discuteranno le strategie da applicare e gli eventuali investimenti. Dal punto di vista del management temo capiti spesso che l’argomento "sicurezza informatica" sia rappresentato da un report di sintesi dei team operativi. Il coinvolgimento del management è quindi ridotto a valutazioni di alto livello sugli investimenti e le attività da approvare. Gli altri team dell'organizzazione probabilmente non ne sanno nulla. Paradossalmente in caso di security incident il management deve necessariamente essere coinvolto in attività molto delicate che hanno carattere di urgenza, spesso coinvolgono più figure specialistiche, sono tecnicamente complesse, richiedono una certa esperienza e/o uno specifico addestramento per essere gestite. Per quei manager per i quali la sicurezza informatica, fino a quel momento, è stato un report con delle valutazioni di rischio e degli investimenti da approvare, trovarsi a gestire improvvisi effort, improvvisi costi, comunicazioni interne ed esterne, gestione della crisi e mille altre cose, potrebbe essere un po’ complesso ed entrare in partita e supportare il proprio team nell’attività di recovery diventa un compito difficile (non dico *impossibile* solo perché non amo gli assoluti). Il più delle volte sarebbero d'intralcio e nel peggiore dei casi farebbero danni: non sono rari casi di comunicazioni quantomeno fantasiose o al limite del fiabesco, per non parlare delle pessime scelte tattiche chiaramente figlie del panico del momento. Non avendo mai affrontato il tema in modo strutturato viene da dirsi che "non potrebbe andare diversamente". Il paradosso sta nel fatto che il caso migliore è quello di un’organizzazione tecnicamente matura con team operativi preparati ed un processo di gestione dell’incident che non è mai stato verificato in tutte le sue parti, anche quelle che riguardano il management ed i team esterni all'IT. Ovviamente questo problema ha più di una soluzione relativamente semplice da applicare, se c’è maturità e volontà. Io ne ho in mente una in particolare, ma lascio prima spazio a voi nei commenti. #cybersecurity #incidentmanagement

Cinque pensieri automatici negativi (PAN) nel contesto della cybersecurity 1. Tutto o Niente "Se non riesco a prevenire ogni attacco, la sicurezza del sistema è un fallimento totale." Effetti: Questo pensiero ignora che la sicurezza informatica è un processo incrementale e non un obiettivo assoluto. Nessun sistema è perfetto, e la protezione è una combinazione di misure preventive e piani di risposta agli incidenti. Strategia: Focalizzarsi sui progressi fatti e su come le misure adottate riducano il rischio. Ricordare che anche i migliori sistemi sono vulnerabili, e la resilienza conta tanto quanto la prevenzione. 2. Dovrei (o Non Dovrei) "Dovrei essere sempre in grado di prevenire qualsiasi violazione dei dati." Oppure, "I dipendenti non dovrebbero mai commettere errori di sicurezza." Effetti: Porta a una pressione irrealistica su sé stessi e sugli altri. Considera i comportamenti umani come invariabili, e può causare frustrazione quando ci sono errori o incidenti. Strategia: Accettare che l’errore umano è inevitabile e prevedere meccanismi di mitigazione, come la formazione continua e la creazione di un ambiente in cui gli errori possano essere rilevati e corretti prontamente. 3. Svalutare il Positivo "Il nostro miglioramento di sicurezza nell'ultimo anno non conta, perché siamo sempre vulnerabili." Effetti: Questo pensiero riduce la motivazione del team, scoraggiando l’apprezzamento per gli sforzi fatti e minimizzando i progressi reali. Può anche favorire una mentalità di sfiducia verso le misure di protezione. Strategia: Celebrando i successi e i miglioramenti, si costruisce un senso di progressiva sicurezza. Analizzare metriche che dimostrano la riduzione delle vulnerabilità o una risposta efficace agli incidenti. 4. Catastrofismo "Un singolo errore esporrà tutti i dati aziendali e sarà un disastro." Effetti: Questo tipo di pensiero crea allarmismo e stress, impedendo una valutazione bilanciata del rischio e riducendo l'efficacia operativa. Spesso porta a decisioni affrettate, come implementare controlli troppo stringenti che possono rallentare le operazioni. Strategia: Eseguire un'analisi del rischio basata sui fatti e su valutazioni oggettive, considerando le probabilità e l’impatto delle minacce reali. 5. Generalizzazione Eccessiva "Ogni volta che c'è una violazione, tutto il nostro sistema di sicurezza fallisce." Effetti: Porta a conclusioni ingiustificate sulla qualità del sistema. Ignora che un incidente isolato non rappresenta l'efficacia complessiva dei protocolli di sicurezza. Strategia: Raccogliere dati e analizzare i singoli incidenti, riconoscendo che ogni violazione è una lezione da cui imparare per migliorare i controlli. www.dpofacile.ch

🔒 Investire in sicurezza aziendale non significa solo proteggere i dati, ma costruire fiducia e resilienza. Le aziende che adottano pratiche di sicurezza solide mostrano una riduzione del rischio e un aumento della fiducia da parte di clienti e partner. Non è mai troppo presto (o troppo tardi) per iniziare a costruire una cultura della sicurezza: ogni passo conta! Se ti interessa approfondire, partecipa al nostro corso base. È progettato per fornire tutte le competenze necessarie, dalla protezione dei dati all’identificazione delle minacce. #1academy #SicurezzaAziendale #ProtezioneDati” “Quali misure di sicurezza pensi siano cruciali per il futuro della tua azienda? 💬 Condividi i tuoi pensieri nei commenti e aiutaci a diffondere la cultura della sicurezza!” 18-19 NOVEMBRE Per iscriverti o per chiedere maggiori informazioni contattaci al +41 91 985 28 10 o visita il nostro sito www.1academy.com In collaborazione con Solution Strategies https://bit.ly/3BUfJMz Visita il nostro canale telegram per aggiornamenti: https://lnkd.in/dQrhuSPN #1academy #ticino #carriera #crescitaprofessionale #sicurezzasullavoro #formazioneSicurezza #addettiallaSicurezza #valoreSicurezza