Il rischio informatico per il settore IT

La sicurezza informatica è un’area di rischio che richiede un’attenzione enorme. Secondo Cybersecurity Ventures, i costi della criminalità informatica previsti su scala mondiale ammonteranno a 10,5 trilioni di dollari all’anno entro il 2025. Le aziende del settore Information Technology sono particolarmente esposte a tali rischi, poiché il loro ruolo di software/service provider le rende un potenziale veicolo per la diffusione di malware o ransomware a più aziende con un solo attacco.

Esposizioni comuni

Le aziende del settore IT fanno i conti con due rischi principali, estremamente interconnessi: gli attacchi ai propri sistemi e gli attacchi che colpiscono i clienti. 

Un attacco informatico a uno sviluppatore o a un distributore di software può tradursi nel furto di dati riservati, che potrebbero essere usati in modo improprio dagli hacker per accedere direttamente ai sistemi di un cliente. In caso di attacco ransomware, un’azienda del settore IT potrebbe non essere in grado di fornire servizi di supporto cruciali per i clienti. Così come è possibile che i clienti acquistino inconsapevolmente software compromessi da malware di tipo “backdoor”, agevolando così un attacco a centinaia o migliaia di aziende.

Le conseguenze finanziarie e reputazionali per le aziende operanti nel settore Information Technology possono essere immense. La preoccupazione dei clienti potrebbe spingerli a passare alla concorrenza, con forti ripercussioni sui profitti.

Trend emergenti

Quali sono le tendenze riscontrate oggi dagli assicuratori?

Poiché le aziende migliorano progressivamente i propri livelli di protezione, i criminali informatici puntano sempre di più a colpire venditori e fornitori:
 

• in quanto “intermediari”, i fornitori di servizi gestiti (Managed Service Provider) sono esposti a rischi informatici concreti; infatti l’espansione costante di questo segmento è accompagnata da un incremento dei sinistri
  
  
•  anche i sistemi Platform as a Service (PaaS) e Software as a Service (SaaS) sono più esposti. Il profilo di rischio è aumentato notevolmente con l’allontanamento dalle soluzioni software on-premise a favore di modelli basati su piattaforme o sul cloud
  
  
• un’altra area di rischio emergente riguarda il Duty of care. Nell’ambito di una relazione tra fornitore e cliente, in genere una società che opera nel settore IT è considerata l’esperto: spesso le sue responsabilità vanno oltre il contratto scritto e quindi i rischi connessi alla responsabilità possono moltiplicarsi
   

Quindi, in che modo è possibile mitigare questi rischi attraverso una buona cyber hygiene? Analizziamo le best practice per le aziende del settore IT in base a quattro azioni: identificare, prevenire, individuare e reagire.

1. Puoi identificare i rischi a cui la tua azienda e i tuoi clienti sono esposti?

La definizione dei rischi cyber dipende semplicemente da un’efficace gestione del rischio. Le aziende del settore IT devono identificare con esattezza i prodotti e i servizi che forniscono in modo da valutare cosa può potenzialmente tradursi in un rischio. Producono software o si limitano a distribuirli? Sono un Managed Service Provider? Memorizzano password per i clienti?

Un Sistema di gestione per la sicurezza delle informazioni (ISMS) consente alle aziende di determinare tali dati.

2. Sai cosa fare per prevenire i rischi una volta identificati?

Per fermare gli attacchi informatici occorrono, come minimo, misure standard di cyber hygiene, quali: l’autenticazione a più fattori; un’adeguata formazione per il personale; i firewall; la scansione delle e-mail di phishing e il filtraggio dei siti web; i test continui dei backup e la loro archiviazione offline; un’attenzione particolare alla crittografia delle password e degli altri dati; la presenza di un responsabile della sicurezza informatica dedicato.

Le aziende del settore IT dovrebbero mettere in atto le migliori best practice possibili, considerando il rischio di rilevanti perdite causate da eventi di ampia portata e le accresciute responsabilità connesse al Duty of care. Esse necessitano di un sistema di gestione degli accessi privilegiati (Privileged Access Management - PAM), che preserva le identità con accessi privilegiati o funzionalità supplementari rispetto a quelle degli utenti comuni. Questo è particolarmente importante per i Managed Service Provider, dove molti utenti hanno bisogno di accedere a più programmi attraverso un pacchetto software centrale.

Tuttavia prevenire non significa solo adottare misure di prevenzione tecnica, bensì anche comunicare adeguatamente e stabilire accordi contrattuali sul livello di servizio e sulla protezione dei dati. Una società operante nel settore IT ha il dovere di avvertire e istruire i clienti sul livello di protezione potenzialmente scarso di un particolare ambiente. I clienti dovrebbero essere informati per iscritto e, per tutelarsi dal punto di vista della responsabilità, il processo andrebbe documentato.

3. Sono presenti misure efficaci per l’individuazione delle violazioni?

I software di monitoraggio e rilevamento, quali EDR (Endpoint Detection and Response), sono imprescindibili per le aziende operanti nel settore IT, come anche i firewall efficaci e i sistemi di monitoraggio della rete, tenuti sotto osservazione 24/7 da un centro operativo di sicurezza interno o esterno. Nel momento in cui un hacker entra in un sistema, è fondamentale scoprirlo in tempo.

4. Esiste un piano chiaro su come reagire in caso di attacco?

Uno degli aspetti più cruciali per le aziende nella gestione degli attacchi cyber è la presenza di un piano di incident response ben definito. Un’attenta pianificazione anticipata permette alle aziende di reagire in modo idoneo e tempestivamente in caso di attacco. Per le società di software, questo piano va ben oltre il proprio ambiente e dovrebbe includere una procedura di comunicazione con i clienti e di gestione delle crisi. In caso di violazione dei sistemi IT, le aziende devono garantire che i sistemi siano sicuri e che il ripristino delle loro funzionalità avvenga il prima possibile, oltre alla capacità di assistere i clienti in modo competente nel lasso di tempo intermedio.

Il futuro dei rischi cyber nell’era del digitale può intimidire, ma la mancata adozione di misure preventive per proteggere la propria azienda equivale un po’ a lasciare costantemente spalancata la porta di casa e sperare che nessuno rubi niente. In un’ottica aziendale, ha molto più senso formarsi sul tema della cyber hygiene e predisporre misure adeguate per proteggere la propria attività e i propri clienti.

Per approfondimenti, leggi il report completo oppure visita la pagina dedicata alle aziende del settore Information Technology.