Software non aggiornato, quanto mi costi?

Tratto da LineaEDP
Autore: Redazione LineaEDP – 04/12/2020
 
 
Secondo un’indagine Kaspersky, le PMI con software obsoleti subiscono il 53% in più di danni economici in caso di violazione dei dati
 
 
 
 

Secondo un recente report di Kaspersky intitolato: “How businesses can minimize the cost of a data breach”, in caso di violazione dei dati le enterprise europee che utilizzano tecnologie obsolete subiscono il 23% delle perdite economiche in più rispetto alle aziende che aggiornano i propri software in modo tempestivo.

Per le PMI la differenza è ancora più netta, arrivando fino al 53%. Avere in uso software datati e non aggiornati è un problema abbastanza comune tra le imprese, infatti, quasi la metà delle organizzazioni europee (44%) utilizza almeno una tecnologia obsoleta nelle proprie infrastrutture.

Tutti i software presentano qualche vulnerabilità ma patch e aggiornamenti regolari possono minimizzare il rischio che vengano sfruttate. Per questo motivo si consiglia sempre agli utenti di installare le ultime versioni dei software non appena queste vengono rilasciate, anche se a volte richiedono molto tempo alle imprese.

Tenuto conto che in Europa il 44% delle aziende utilizza almeno una qualche forma di tecnologia obsoleta risulta fondamentale che le imprese diano la priorità al rinnovo dei software e si dimostrino disposte a investire per ottenere un risparmio economico sul lungo termine.

Software e OS non aggiornati: le perdite in euro

Nel caso in cui a subire una violazione dei dati sia un’impresa che utilizza tecnologia obsoleta come ad esempio sistemi operativi non aggiornati, vecchi software e dispositivi mobile non supportati, la perdita economica si attesta a 753.500 euro, il 23% in più dei costi per le aziende con tecnologie completamente aggiornate la cui perdita è di 610.000 euro. Guardando alle PMI con tecnologia obsoleta il danno economico totale è di 86.000 euro, ovvero il 53% in più rispetto ai 56.000 euro delle PMI che hanno installato tutti gli aggiornamenti necessari.

Tra le ragioni che vengono fornite per giustificare il mancato aggiornamento delle tecnologie, quella più comunemente segnalata è l’incompatibilità degli aggiornamenti con i software aziendali (46%). Questa motivazione può essere molto importante per le organizzazioni che sviluppano software internamente per soddisfare le loro esigenze o quando si utilizzano applicazioni molto specifiche con supporto limitato. Gli altri motivi segnalati appaiono più concreti: i dipendenti spesso si rifiutano di lavorare utilizzando le nuove versioni dei software (46%). In alcuni casi, le tecnologie non vengono aggiornate perché appartengono ai membri della C-suite (25%).

Come sottolineato in una nota ufficiale da Sergey Martsynkyan, Head of B2B Product Marketing di Kaspersky: «Qualsiasi costo aggiuntivo può rivelarsi un problema per le aziende, soprattutto in questo periodo. La situazione economica mondiale è instabile a causa della pandemia ed è prevista una diminuzione degli investimenti nel settore IT e nella cybersecurity. Per questo motivo nel report di quest’anno “IT Security Economics” abbiamo voluto indagare come le aziende possano ridurre i danni in caso di incidenti di sicurezza informatica. Il report argomenta in modo approfondito l’importanza della questione legata ai software obsoleti. Anche se è impossibile sbarazzarsene da un giorno all’altro, esistono alcune misure da prendere per minimizzare il rischio. Le imprese non solo possono risparmiare denaro, ma possono anche evitare altre potenziali conseguenze – il che è cruciale per qualsiasi azienda».

Come risparmiare denaro e ridurre i rischi di data breach

Per risparmiare denaro e ridurre al minimo il rischio di violazione dei dati come conseguenza delle vulnerabilità dei software, Kaspersky suggerisce di adottare le seguenti misure:

  • Assicurarsi che l’azienda utilizzi l’ultima versione dei sistemi operativi e delle applicazioni scelte, abilitando le funzionalità di autoaggiornamento in modo che il software sia sempre aggiornato.
  • Se non è possibile aggiornare il software si consiglia, insieme ad altre misure, di gestire questo vettore di attacco separando in modo intelligente i nodi vulnerabili dal resto della rete.
  • Attivare la funzione di vulnerability assessment e di gestione delle patch della soluzione di protezione degli endpoint. In questo modo è possibile eliminare automaticamente le vulnerabilità nel software dell’infrastruttura, installare le patch in modo proattivo e scaricare gli aggiornamenti essenziali del software.
  • È importante aumentare la consapevolezza riguardo la sicurezza e le competenze pratiche in materia di sicurezza informatica per i manager IT, in quanto sono in prima linea quando si tratta di aggiornamenti dell’infrastruttura informatica. Un corso di formazione online sulla cybersecurity può essere d’aiuto.
  • I sistemi IT critici e le tecnologie dei sistemi operativi devono essere sempre protetti indipendentemente dall’eventuale disponibilità di aggiornamenti dei software. Questo vuol dire che dovrebbero consentire solo attività prestabilite dai sistemi. KasperskyOS supporta questo concetto, conosciuto anche come cyber-immunity, che viene utilizzato per costruire sistemi IT secure by design.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

11 Dicembre 2020

Videosorveglianza: le nuove FAQ del Garante Privacy. Le regole per installare telecamere

 
Tratto da www.garanteprivacy.it
 
 

Il datore di lavoro può installare un sistema di videosorveglianza nelle sedi di lavoro? Occorre avere una autorizzazione del Garante per installare le telecamere? In che modo si fornisce l’informativa agli interessati? Quali sono i tempi dell’eventuale conservazione delle immagini registrate? Si possono utilizzare telecamere di sorveglianza casalinghe c.d. smart cam?

Sono queste alcune delle domande cui rispondono le Faq messe a punto dal Garante per la protezione dei dati personali sulle questioni concernenti il trattamento dei dati personali nell’ambito dell’installazione di impianti di videosorveglianza da parte di soggetti pubblici e privati. I chiarimenti si sono resi necessari in ragione delle nuove previsioni introdotte dal Regolamento 2016/679, alla luce delle quali va valutata la validità del provvedimento del Garante in materia, che risale al 2010 e contiene prescrizioni in parte superate. Le Faq tengono conto anche delle Linee guida recentemente adottate sul tema della videosorveglianza dal Comitato europeo per la protezione dei dati (EDPB) e contengono un modello di informativa semplificata redatto proprio sulla base dell’esempio proposto dall’EDPB.

Le Faq, disponibili da oggi sul sito dell’Autorità www.garanteprivacy.it, contengono indicazioni di carattere generale ispirate alle risposte fornite a reclami, segnalazioni, quesiti ricevuti dall’Ufficio in questo periodo.

Il Garante ha chiarito, ad esempio, che l’attività di videosorveglianza va effettuata nel rispetto del principio di minimizzazione dei dati riguardo alla scelta delle modalità di ripresa e alla dislocazione  dell’impianto, e che i dati trattati devono comunque essere pertinenti e non eccedenti rispetto alle finalità perseguite. In base al principio di responsabilizzazione, poi, spetta al titolare del trattamento (un’azienda, una pubblica amministrazione, un professionista, un condominio…) valutare la liceità e la proporzionalità del trattamento, tenuto conto del contesto e delle finalità dello stesso, nonché del rischio per i diritti e le libertà delle persone fisiche. Il titolare del trattamento deve, inoltre, valutare se sussistano i presupposti per effettuare una valutazione d’impatto sulla protezione dei dati prima di iniziare il trattamento.

In merito all’informativa agli interessati, l’Autorità ha chiarito che può essere utilizzato un modello semplificato (esempio un semplice cartello) contenente le informazioni più importanti e collocato prima di entrare nell’area sorvegliata, in modo che gli interessati possano capire quale zona sia coperta da una telecamera.

Di particolare importanza, infine, le indicazioni sui tempi dell’eventuale conservazione delle immagini registrate: salvo specifiche norme di legge che prevedano durate determinate, i tempi di conservazione devono necessariamente essere individuati dal titolare del trattamento in base al contesto e alle finalità del trattamento, nonché al rischio per i diritti e le libertà delle persone. Al riguardo il Garante ha sottolineato che i dati personali dovrebbero essere – nella maggior parte dei casi (ad esempio se la videosorveglianza serve a rilevare atti vandalici) – cancellati dopo pochi giorni e che quanto più prolungato è il periodo di conservazione previsto, tanto più argomentata deve essere l’analisi riferita alla legittimità dello scopo e alla necessità della conservazione.

9 Dicembre 2020

Data breach: l’importanza di identificarli

Tratto da BitMAT
Autore: Redazione BitMAT – 27/11/2020
 
 
Rilevarli proattivamente consente alle PMI di subire il 40% di danni finanziari in meno
 
 
Data breach: l'importanza di identificarli
 

Il modo in cui viene divulgato un data breach e le perdite finanziarie totali subite da un’organizzazione sono strettamente legati. I risultati del nuovo report di Kaspersky dal titolo How businesses can minimize the cost of a data breach indicano che, nel caso di violazione dei dati, le PMI che scelgono di informare volontariamente i propri stakeholder e clienti subiscono una perdita economica del 40% in meno rispetto alle aziende le cui violazioni vengono comunicate direttamente dai media. La stessa tendenza è stata riscontrata anche nelle grandi imprese.

Non informare in modo tempestivo i clienti in merito ad un possibile data breach, comporta ripercussioni finanziare e danni reputazionali gravi. Tra i casi che hanno avuto grande risonanza ricordiamo, ad esempio, Yahoo! che è stato multato e giudicato negativamente per non aver informato gli investitori di aver subito una violazione dei dati e Uber che è stato multato per aver nascosto un incidente simile.

L’indagine di Kaspersky, che si basa su un sondaggio a livello globale fatto su 5.200 professionisti che operano in ambito IT e cybersecurity, evidenzia come le aziende che prendono in mano la situazione e comunicano proattivamente gli incidenti informatici solitamente riescono a limitare i danni. In media si stima che le perdite subite da una PMI che comunica apertamente un data breach ammontino a 93 mila dollari, mentre chi lascia che la notizia dell’incidente trapeli attraverso i media subisce in media un danno economico pari a 155 mila dollari. Lo stesso vale per le enterprise. Infatti, le grandi aziende che informano volontariamente i propri clienti riguardo una possibile fuga di dati subiscono il 28% in meno di danni economici rispetto a chi lascia ai media il compito, rispettivamente 1.134 milioni di dollari contro 1.538 milioni.

Dall’indagine è emerso, inoltre, che solo il 46% delle aziende ha rivelato un data breach in modo proattivo. Il 30% delle aziende che ha subito un furto di dati ha preferito non comunicarlo pubblicamente. Quasi un quarto (24%) delle aziende ha provato a nascondere l’incidente ma senza successo. Anche nei casi in cui le aziende riescono a non far trapelare l’incidente questo si rivela comunque un approccio non corretto. Queste aziende si sottopongono al rischio di subire perdite peggiori nel caso in cui l’incidente venga rivelato in un secondo momento. Inoltre, il sondaggio ha dimostrato che i rischi sono particolarmente elevati per quelle aziende che non riescono a individuare tempestivamente un attacco. Il 29% delle PMI che ha impiegato più di una settimana a identificare la violazione subita, si è ritrovato a leggere sui media la notizia dell’attacco. Questo dato è quasi il doppio rispetto alle aziende che hanno rilevato tempestivamente l’incidente (15%). Il trend è confermato anche per le grandi imprese, rispettivamente il 32% e il 19%.

“Una divulgazione proattiva da parte dell’azienda può aiutare a ribaltare la situazione a proprio favore, andando oltre al semplice impatto economico. Se i clienti ricevono le informazioni direttamente dall’azienda, sono più inclini a dare fiducia al brand. Inoltre, l’azienda potrebbe cogliere l’occasione per informare i propri clienti su ciò che possono fare per non subire perdite. Così facendo, le aziende avrebbero anche la possibilità di raccontare la vicenda dal proprio punto di vista, condividendo con i media informazioni corrette e affidabili, anziché lasciare a fonti esterne il compito di descrivere la situazione e rischiare che lo facciano in modo non corretto”, ha commentato Yana Shevchenko, Senior Product Marketing Manager di Kaspersky.

Per ridurre la possibilità di subire conseguenze disastrose in seguito ad una violazione dei dati, Kaspersky suggerisce alle aziende di mettere in atto queste misure preventive:

  • Per il rilevamento avanzato delle minacce a livello di endpoint aziendale, l’indagine, la ricerca proattiva delle minacce e una risposta rapida, si consiglia di implementare soluzioni EDR, Endpoint Detection and Response
  • Oltre alla protezione degli endpoint, le imprese dovrebbero implementare una soluzione di sicurezza di livello aziendale in grado di rilevare le minacce avanzate sulla rete e che sia anche dotata di threat intelligence
  • Per rispondere in modo tempestivo ad un attacco informatico, è opportuno avere una prima linea di difesa composta da un Incident Response Team (IRT) interno all’azienda e delegare la gestione di problemi più complessi a professionisti esterni.
  • Introdurre un programma di formazione per i dipendenti con l’obiettivo di educarli a riconoscere un incidente informatico e informarli su quali comportamenti adottare, come ad esempio contattare immediatamente il dipartimento di sicurezza informatica dell’azienda.
  • Prendere in considerazione la possibilità di organizzare una formazione specifica per tutte le parti coinvolte nella gestione delle conseguenze di una violazione dei dati, compresi gli specialisti della comunicazione e il responsabile della sicurezza IT.

Per informazioni sulle soluzioni Kaspersky: dircom@argonavis.it

4 Dicembre 2020

Endian Secure Digital Platform ottiene il Certificato IEC 62443

Tratto da www.endian.com – 01/12/2020
 

 

Endian è orgogliosa di annunciare che con la release Switchboard 6.1.0, la Secure Digital Platform (Switchboard e 4i Edge X) acquisisce i certificati per 62443-3-3 (System Security) e 62443-4-2 (Component Security) a livello di security SL2.

Questa certificazione attesta la capacità di Endian Secure Digital Platform di allineaersi o addirittura superare gli standard per la industrial e automation cybersecurity. Gli utilizzatori in ambito industriale potranno avere la certezza che utenti, gateway, dispositivi e endpoint siano solidamente protetti contro le minacce informatiche.

L’ IEC 62443 è un ampio set di standard di sicurezza rivolto ai sistemi di “Industrial and Automation Control” (IACS), globalmente riconosciuto come paradigma per qualsiasi prodotto o soluzione industriale; esso infatti permette di individuare immediatamente i prodotti che si dimostrano efficaci nel minimizzare possibili disagi e massimizzare la sicurezza delle reti industriali.

  • IEC 62443-3-3 raggruppa i requisiti generali di system security, quali autenticazione, confidenzialità del dato e integrità del sistema, rimarcando che performance e disponibilità del sistema stesso non devono mai essere compromesse

  • IEC 62443-4-2 riguarda i requisiti relativi ai componenti — nello specifico i device embedded, i componenti del network, gli host e le applicazioni software di un sistema IACS.

Inoltre Endian Secure Digital Platform ha ricevuto la certificazione relativa al BSI Grundschutz Catalog (Basic Protection Ordinance) e al OWASP Top 10 Threats, che attesta la solidità e la sicurezza della piattaforma.

Endian Switchboard è il cuore di Endian Secure Digital Platform e da esso è possibile gestire in maniera centralizzata un’ampia gamma di operazioni. Abilitare l’accesso remoto sicuro ai macchinari in campo, effettuare raccolta e visualizzazione dei Big Data, realizzare edge computing amministrare in modo granulare accessi e permessi degli utenti. Endian Switchboard può essere installato dovunque, on-premise o in cloud, e su qualsiasi piattaforma, hardware o virtuale. E’ la soluzione ideale per garantire funzionalità di sicurezza avanzate attraverso l’intera Connect Platform.

Con Switchboard 6.1.0, l’utente può oggi configurare funzionalità avanzate relative alle sessioni utente, quali ad esempio il timeout per inattività, il numero di tentativi di login consentiti (prima del blocco), una fase iniziale di lockout e molto altro.
Queste misure di sicurezza potenziate prevengono i tentativi di attacco brute force, e proteggono da accessi da parte di utenti non autorizzati.
Inoltre vengono introdotti meccanismi di controllo sull’utente inattivo, che viene automaticamente sloggato, garantendo migliore sicurezza sulla gestione degli account e ridurre al minimo possibili interventi accidentali o non autorizzati.

Per ulteriori informazioni: dircom@argonavis.it

3 Dicembre 2020

Wi-Fi pubblico gratuito, il Garante chiede all’Agid più tutele per gli utenti

 
 
Tratto da www.garanteprivacy.it
NEWSLETTER N. 470 del 1 dicembre 2020
 
 
 

Misure di sicurezza per evitare accessi alle reti interne della Pa, divieto di tracciamenti non necessari degli utenti, conservazione a tempo dei dati, maggiore trasparenza. Sono alcune delle importanti garanzie richieste dal Garante per la protezione dei dati personali nel parere reso all’Agid sullo schema di Linee guida sul Wi-Fi pubblico. L’Agenzia per l’Italia Digitale dovrà integrare lo schema per renderlo conforme alle disposizioni del Regolamento Ue e del Codice privacy.

Le Linee guida offrono indicazioni alle Pa che forniscono ai cittadini la connessione wireless ad Internet presso gli uffici e altri luoghi pubblici, in particolare nei settori scolastico, sanitario e turistico, anche mettendo a disposizione dei cittadini la porzione di banda non utilizzata dagli uffici.

L’offerta di tale servizio comporta tuttavia il trattamento, da parte delle amministrazioni, dei dati degli utenti che ne usufruiscono, caratterizzato da diversi profili di rischio. Per questo motivo l’Autorità ha ritenuto che le Linee guida devono essere integrate al fine di richiamare le pubbliche amministrazioni a garantire una corretta applicazione del Regolamento mediante l’adozione di misure tecniche ed organizzative adeguate al rischio e configurando il servizio in modo da assicurare la protezione dei dati trattati fin dalla progettazione e per impostazione predefinita.

Lo schema sottoposto al Garante raccomanda, in particolare, alle Pa di identificare gli utenti, per poter rintracciare eventuali comportamenti malevoli. Su questo punto, l’Autorità ha precisato che le amministrazioni non sono autorizzate a conservare dati di traffico telematico e ha chiesto all’Agid di integrare le Linee guida indicando alle amministrazioni modalità rispettose del Regolamento per individuare, a posteriori, i responsabili di condotte illecite (ad es. utilizzando i soli dati relativi alla connessione e disconnessione degli utenti).

L’Autorità ha chiesto inoltre di fornire indicazioni alle amministrazioni sulle tipologie di dati da raccogliere e sui tempi di conservazione, nel rispetto del principio di minimizzazione. Dovrà essere vietato qualunque trattamento di dati relativi ai dispositivi degli utenti a fini di tracciamento dell’ubicazione o degli spostamenti (mediante tecniche di Wi-Fi location tracking), consentendo solo l’uso di quelli indispensabili per l’accesso al servizio o per individuare, a posteriori, eventuali illeciti.

È possibile, inoltre, che il servizio di Wi-Fi free pubblico venga offerto anche ai turisti, attraverso le strutture alberghiere. Al riguardo, il Garante ha richiesto che lo schema venga integrato precisando che il turista deve poter decidere autonomamente se aderire al servizio di Wi-Fi free in interoperabilità o utilizzare la sola connettività alberghiera. L’eventuale interoperabilità non deve automaticamente prevedere la comunicazione alle amministrazioni dei dati dei clienti degli alberghi.

Infine, le Linee guida dovranno ribadire alle Pa la necessità di adottare adeguate misure di sicurezza, anche per la gestione delle violazioni di dati personali (artt. 32, 33 e 34 del Regolamento), nonché suggerire specifiche cautele nel caso in cui il servizio Wi-Fi free sia utilizzato anche dai dipendenti della pubblica amministrazione che lo fornisce.

2 Dicembre 2020

Blog & News

Categorie