Banche ed assicurazioni fate bene attenzione: nessuno può ritenersi al sicuro dal rischio di data breach. Lo confermano i numeri, infatti aziende di tutto il mondo hanno visto finora rubati 4,5 milioni di record nel 2018, con uno sbalorditivo aumento del 133% rispetto a quelli compromessi nel 2017.
Questo è il momento in cui si pianificano le strategie di sicurezza per il nuovo anno ed è quindi assolutamente necessario valutare come proteggere i dati sensibili del business e dei clienti. Quanto sono consapevoli i dipendenti e collaboratori di potenziali minacce interne e di operazioni rischiose? Siete sicuri di essere pienamente conformi ai requisiti normativi della PCI DSS e del GDPR?
Assicurati di essere preparato contro qualsiasi tipo di minaccia informatica, in questo e negli anni futuri, leggendo in questo articolo le migliori strategie di Cybersecurity per Banche ed Assicurazioni.
Contenuti
Crittografa tutte le informazioni sensibili, non le eccezioni
Crittografare tutti i file sensibili, indipendentemente se siano in transito verso un destinatario o archiviati su un server, è fondamentale per evitare un data breach. Questa strategia dovrebbe essere la principale tra quelle pianificate in ambito di sicurezza informatica e per un buon motivo: è la tua ultima linea di difesa. Se un attacco informatico avesse successo e riuscisse a penetrare la tua rete, non potrebbe leggere i dati contenuti nei tuoi file, e questo basterebbe per risparmiare gran parte dei mal di testa che una violazione riuscita può comportare.
Se non lo hai ancora fatto, è il caso di considerare una strategia che preveda di crittografare e ottimizzare sia i tuoi file che il loro trasferimento. Alcune aziende usano strumenti OpenPGP free per ottenere la sicurezza dei file, ma molti altri hanno trovato più efficiente ed efficace adottare una soluzione all-in-one di MFT – Managed File Transfer per proteggere i loro file, che siano in archivio o in transito, automatizzarne e ottimizzarne lo scambio con i collaboratori interni ed esterni, gestire i file transfer sulla base di profili utente e auditare tutte le attività.
Formazione dei collaboratori interni ed esterni
Secondo un recente studio di Verizon realizzato nel 2018, oltre il 90% degli attacchi di malware riusciti sono stati causati dall’apertura da parte di dipendenti di email phishing dal loro PC di lavoro. Da spam “taglia unica”, siamo passati ad e-mail che mirano (in modo furbo) a specifici dipendenti o reparti, redendo queste truffe sempre più pericolose … sfortunatamente si stanno rivelando un modo efficace per violare la privacy delle aziende in tutto il mondo.
“Educare” i dipendenti alla cybersecurity spesso fa pensare ad incontri obbligatori, presentazioni Powerpoint e vaghe indicazioni su come rilevare i pericoli; informazioni che i dipendenti di solito dimenticano subito. A causa di questo modo di procedere, molte organizzazioni non riescono a coinvolgere fattivamente i dipendenti nelle strategie di sicurezza.
In un articolo sull’importanza della sensibilizzazione e coinvolgimento dei dipendenti, Kathryn Anderson, Senior Manager of IT Risk and Compliance presso la Backbone Consultants, sostiene che i dipendenti non si sentono coinvolti dopo una formazione generica sulla sicurezza informatica. In questo modo non comprendono quanto le loro attività quotidiane possano impattare sul successo e sulla sicurezza dell’intera Azienda. “La sicurezza” continua “di solito è vista come di responsabilità di pochi addetti IT”. Ma quando la multinazionale alimentare Fortune 500, nella quale ha lavorato, ha iniziato ad investire nella formazione dei propri dipendenti attraverso programmi di formazione coinvolgenti avviati durante il processo di inserimento, le persone hanno iniziato a capire ed essere parte attiva della strategia di difesa contro attacchi esterni.
In conclusione, investendo tempo e risorse nel sensibilizzare e formare i tuoi collaboratori alla sicurezza, Anderson crede che “non solo questi saranno all’altezza della situazione, ma diventeranno la difesa più forte su cui fare affidamento in Azienda”.
L’importanza dell’Incident Response Plan
Sebbene l’obiettivo per la maggior parte delle organizzazioni sia la totale prevenzione da attacchi informatici, alcuni rapporti del settore sostengono che la domanda non sia “se” i dati saranno violati bensì “quando”. Per fortuna questo non si traduce nel fatto che siamo tutti destinati a pagare multe e perdere dati. Con una efficace strategia di sicurezza informatica ed un solido piano di risposta agli incidenti, la vulnerabilità di un sistema compromesso può essere gestita in modo rapido ed efficiente, senza che nessun dato venga sottratto.
Sia che tu debba aggiornare il tuo piano sia che tu debba ancora realizzarlo, è meglio farlo il prima possibile, data l’importanza strategica che riveste. In questo articolo troverai spunti e suggerimenti per costruire il tuo piano di risposta agli incidenti di sicurezza.
Conformità ai Regolamenti (PCI DSS, SOX, GLBA, e GDPR)
Può essere difficile avere a che fare con regolamenti e normative in ambito sicurezza, in particolare quando se ne devono rispettare diversi contemporaneamente (ad esempio PCI DSS, SOX, e GDPR).
Ci sono numerosi fattori che influiscono sul raggiungimento della piena conformità. Avere un team dedicato che lavora sulla tua lista di requisiti, avere tempo di verificare di frequente i tuoi sistemi e le attività, tenersi al passo con i gli aggiornamenti degli standard, sono solo alcuni degli elementi da considerare e che complicano il processo di adempimento alle leggi. Tuttavia esse esistono per un motivo.
Essere conformi agli standard imposti può aiutare a proteggere i nostri sistemi e il nostro business da vulnerabilità che potrebbero causare data breach. Quindi, quando è il momento di pensare alle strategie di cybersecurity è bene avere presente quali sono i requisiti che la tua Azienda deve rispettare. Sei conforme al 100%? Se la risposta è no, su quali aree devi lavorare? Un audit potrebbe essere il giusto punto di partenza.
Ecco un suggerimento: devi rispettare una serie di requisiti sul trasferimento dei file come impongono PCI DSS, SOX, GLBA, e GDPR? Una soluzione centralizzata all-in-one di MFT-Managed File Transfer è lo strumento che ti permette di garantire la conformità crittografando i dati chiave.
Trova i migliori esperti di sicurezza
Coinvolgere qualcuno dall’esterno nella pianificazione ed implementazione della tua strategia di sicurezza potrebbe rivelarsi una mossa vincente. Dovendo fronteggiare minacce che compaiono più velocemente di quanto la tua Azienda sia in grado di valutare, consultarsi con professionisti in ambito sicurezza comporta numerosi vantaggi, tra cui:
- Sicurezza che i rischi (interni ed esterni) vengano identificati
- Guida esperta nella costruzione di sistemi e reti sicure
- Valutazione della configurazione corrente tramite risk assessement
- Creazione di nuovi piani attuabili per il monitoraggio e il reporting
Quando si valuta di coinvolgere un team di professionisti esterni, assicurati che questo siano in grado di comprendere gli obiettivi della tua azienda, che abbia già esperienza nei settori in cui vorresti migliorare la sicurezza e che rispetti il budget complessivo che hai stanziato.
Vuoi raggiungere i requisiti imposti da PCI DSS, SOX, e GDPR in ambito di trasferimento dei File?