Da sempre impegnati nel settore della tutela dei dati personali e dell’implementazione dei Sistemi Privacy delle nostre Aziende Clienti, non potevamo non esser presenti anche noi al celebre evento organizzato dal Clusit (Associazione italiana per la sicurezza informatica) e dedicato ai temi della cybersecurity e del cybercrime che si è tenuto a Verona lo scorso 10 ottobre 2023.
Ad aprire la giornata veronese, una sessione plenaria dal titolo “L’evoluzione delle minacce e del mercato della cyber: il punto di vista del triveneto rispetto ai trend internazionali, nazionali e alle realtà locali” nel corso della quale è stato analizzato il fenomeno del significativo aumento di frequenza e complessità degli attacchi nel nostro Paese nell’ultimo anno, sono state discusse le possibili strategie di risposta da mettere in atto nonché l’impatto economico e di reputazione ai danni delle Aziende colpite.
L’agenda completa dell’evento è disponibile al link https://securitysummit.it/eventi/verona-2023/agenda
Sono stati toccati temi quali:
– un approvvigionamento tecnologico “non più libero” bensì sempre più “guidato” dalla normativa;
– la natura delle vittime del cybercrime: non importa “chi sei”, rappresentati tutti i settori merceologici;
– tipologia degli attacchi: in buona parte (ancora!) causati dall’assenza/cattiva gestione delle più elementari misure di sicurezza informatica;
– il suggerimento del Dr. Letterio Saverio Costa, Direttore Tecnico Capo del Compartimento Polizia Postale per il Veneto: effettuare i penetration test il venerdì pomeriggio o durante il weekend quando a) l’attenzione è più bassa e b) gli attacchi sono maggiori; anche il Dr. Costa ha confermato che, per sua esperienza, il più gran numero di cyber attacchi sarebbe evitato con un corretto ricorso alle più elementari misure di sicurezza informatica;
– suggerita, anche da parte del Dr. Alberto Mercurio di UNIS&F, l’effettuazione di serie simulazioni;
– la necessità di considerare il c.d. allargamento del perimetro aziendale: personale in smart working, interconnessione con fornitori che potrebbero essere “bucati per primi” da un attacco informatico che potrebbe, loro tramite, arrivare a noi, il sempre più frequente ricorso al cloud, etc;
– social engineering (o ingegneria sociale), tecnica di attacco cyber basata non già sulle falle dei sistemi informatici bensì sullo studio del comportamento delle persone col fine di manipolarle e carpire informazioni confidenziali: il procedimento si basa, dunque, sulla debolezza della psicologia umana e sfrutta la fiducia, la mancanza di conoscenza nonché la vulnerabilità della vittima per ottenere dati confidenziali (password, informazioni su conti correnti, informazioni finanziarie etc), estorcere denaro o, persino, rubarne l’identità. A tal riguardo, la Dott.ssa Anna Vaccarelli, Dirigente Tecnologo dell’Istituto di Informatica e Telematica del CNR ha voluto far riflettere i partecipanti sul fatto che l’ingegneria sociale sia quella che, nel cyber crime, porta i migliori risultati per l’attaccante, e l’unico modo per contrastarla è – ancora una volta! – fare formazione.
Per dirla alla Alessio Pennasilico (moderatore dell’evento e CS del Clusit) “Vediamo la luce in fondo al tunnel? Si, peccato sia un treno in arrivo!”
Un ampio spazio è stato, inoltre, dedicato alla ISO 27001:2022 e, in particolare, allo scottante tema “ISO 27001:2022 vs 2013, quali le differenze e come gestire in modo ottimale l’Adeguamento alla Nuova Versione dello Standard”.
Come noto, a seguito della pubblicazione della nuova versione dello standard relativo ai Sistemi di Gestione della Sicurezza delle Informazioni, da ottobre 2023 tutti gli audit di certificazione ISO 27001 dovranno essere svolti in conformità alla nuova versione della norma. Ma cosa cambia concretamente per le aziende che vogliono rinnovare la certificazione ISO 27001? E’ stato questo il focus dell’intervento, incentrato, quindi, sulle modifiche sostanziali apportate dalla nuova versione, inclusa la mappatura dei controlli per evidenziare la loro riorganizzazione, nonché indicazioni su cosa fare se si ha già un SGSI (Sistema di Gestione della Sicurezza delle Informazioni).
Il prossimo appuntamento il 9 novembre con il “Security Summit – streaming edition” per la presentazione del “Rapporto Clusit” di metà anno: il Rapporto partirà con una panoramica degli incidenti di sicurezza più significativi avvenuti nel 2023, confrontandoli con i dati raccolti nei 4 anni precedenti. Frutto del lavoro di oltre 100 autori, il Rapporto Clusit rappresenta un quadro estremamente aggiornato della situazione globale, con particolare attenzione a quella italiana, ed è oramai un fondamentale riferimento per le Aziende ed i loro IT.
https://securitysummit.it/eventi/streaming-edition-novembre-2023/sessioni
