I mercati finanziari, gli investitori, i clienti, guardano oggi con favore le aziende che rispettano i criteri ESG, un acronimo in gran voga che sta per “Environmental, Social, Governance”. Nati nel 2005 (dai principi per gli investimenti responsabili dell’ONU), i criteri ESG sono al centro del dibattito pubblico e si prevede che in futuro orienteranno sempre più le scelte di sviluppo mondiale, arrivando a ogni singola azienda per favorire ovunque uno sviluppo sostenibile ed etico.
Non accenna a diminuire la pressione sul Responsabile della sicurezza informatica. Come riportano i risultati dell’indagine annuale di The Innovation Group sul tema (“Cyber Risk Management Survey 2022”, sarà presentata il prossimo 10 marzo 2022 in occasione del Cybersecurity Summit 2022 di Milano), realizzata a gennaio su un campione di 53 aziende italiane medio grandi, lo scenario degli attacchi cyber ha mantenuto un profilo elevato, con una crescita sostenuta per alcune tipologie di tecniche di attacco utilizzate dagli hacker.
Nel mondo della cybersecurity, non c’è nessuno che non stia parlando, in questo momento, della vulnerabilità più grave di sempre. Log4j, una libreria di logging diffusa in moltissime applicazioni Java, che secondo i ricercatori di sicurezza potrebbe permettere agli attaccanti di eseguire codice malevolo e prendere il controllo dei sistemi. Trattandosi di una libreria estremante utilizzata dagli sviluppatori Java, e inclusa in molti software open source, risiede non soltanto su server e applicazioni aziendali, ma anche su smartphone, computer, quasi tutti i device in circolazione. Java come noto è utilizzato da almeno 3 miliardi di dispositivi: per questo in molti hanno cominciato a parlare di “Apocalisse informatica”.
Gli Enti della Sanità italiana sono sempre più spesso presi di mira dagli hacker. Come ha rilevato un’analisi Swascan di inizio ottobre 2021, il rischio di “data breach” e di interruzione delle attività per ‘ransomware’ nel mondo ospedaliero è molto cresciuto negli ultimi anni. Su un campione di 20 enti sanitari italiani analizzati con il SOC del security provider, solo 4 hanno passato l’esame senza dimostrarsi vulnerabili. Per gli altri 16 ospedali sono emersi 942 problemi di natura tecnica, 239 indirizzi IP esposti su Internet, 9.355 indirizzi e-mail compromessi, 579 portali di accesso, console o servizi di database accessibili dall’esterno.
I 3 quarti delle aziende hanno subito almeno un attacco cyber durante il 2021: è quanto emerge dall’ultimo “Cyber Resilience Report 2021” del Business Continuity Institute (BCI). Un risultato comparabile a quello della precedente versione dell’analisi, risalente al 2017, quindi, non una buona notizia.
Come sapere quali sono le tecniche più utilizzate dagli hacker, e poter quindi riconoscerle in modo efficace e veloce? Sempre più spesso i CISO e i security manager si affidano al framework Mitre ATT&CK, definito in questo modo perché acronimo di Adversarial Tactics, Techniques & Common Knowledge. Per chi si occupa di cybersecurity, è diventato importante conoscerlo e sapere quali sono le novità che offre.
Le riforme seguite alla crisi finanziaria del 2008 hanno puntato a ripristinare la resilienza del settore finanziario, ma non hanno completamente considerato la resilienza digitale di questo mondo. Oggi il gap è colmato con l’arrivo nell’Unione Europea del Digital Operational Resilience Act (DORA), previsto per marzo 2022, su cui di recente si è espressa anche l’associazione ISACA, con la pubblicazione di un white paper che approfondisce come impostare la compliance a DORA.
Negli ultimi 2 anni, i team IT delle aziende hanno avuto il compito di mantenere operative le persone delle proprie aziende in uno dei periodi più difficili della storia. Via via che la situazione torna alla normalità, l’IT si sta però rendendo conto che la continua e rapida evoluzione tecnologica, e le scelte fatte durante l’emergenza, hanno reso la gestione delle infrastrutture IT sempre più complessa. Nuovi modelli operativi, in particolare, hanno lasciato in secondo piano il tema della sicurezza, e ora bisognerà correre rapidamente ai ripari, incrementando la visibilità sugli asset IT.
L’approccio USA alla cybersecurity vedrà nei prossimi anni una forte collaborazione tra pubblico e privato. Dopo che l’Amministrazione Biden ha radunato lo scorso 25 agosto (con una “call to action” per la cybersecurity) i Ceo dei principali IT Player e altri rappresentanti delle assicurazioni e del mondo universitario, i primi risultati della nuova intesa sono incoraggianti.