Le comunicazione di violazioni della sicurezza, o meglio i data breachs, ormai sdoganata oltre oceano, sembra ormai uno degli eventi all’del giorno. Home Depot, Target, Sony, JP Morgan Chase sono alcuni dei grandi nomi che di recente sono vittima di attacchi che hanno avuto come obiettivo il furto dell’informazione, il data loss. Anche se il fenomeno incomincia ad essere sdoganato ancora è difficile avere una disclosure su come sia stato condotto che possa essere di aiuto e monito a tutta la comunità di Internet per rispondere agli incidenti .
Una delle ultime vittime rese note è Anthem Inc. sembra che il sistema IT sia stato violato già nel dicembre 2014 e non rilevato per diverse settimane. Anthem ha messo a disposizione delle vittime del furto di identità un sito in cui i clienti possono richiedere una verifica e un indennizzo,ed è quantomai giusto e corretto trattandosi di servizi finanziari.
Tornando al tema con cui ho aperto questo post, è chiaro che il rischio di un data breach si riduce quando l’azienda, adotta metodicamente un processo di monitoraggio e seorveglianza, mettendo in campo checkup della sicurezza costituiti certamente da security audit interni, ma anche da audit di terza parte, indipendenti e svincolati dalle logiche aziendali, attività di pentest ed accertaemnti tecnici forensi a campione.
Sono tutte soluzioni che singolarmente portano un contributo significativo ma spesso contestualizzato ad una specifica necessità, se coordinati in un processo di monitoraggio e governo della sicurezza possono permettere di ridurre notevolmente il rischio e, a differenza di Anthem Inc, rilevare con tempestività un data breach. Personalmente penso che in contesti finanziari e industriali tali azioni di monitoraggio e sorveglianza dovrebbero essere pubblicate in forma sintetica per il grande pubblico: nessuno crede razzionalmente ad una comunicazione di tipo rassicurante “siamo bravi e facciamo del nostro meglio “ data dopo il data breach, discorso diverso sarebbe avere report trimestrali sull’attività di sorveglianza/audit della sicurezza dei sistemi IT. Anche in caso di data breach la storia dimostrerebbe l’attenzione dell’azienda al problema e i comunicati expost sarebbero certamente più credibili con danni reputazionali molti più bassi.

Questo sito utilizza i cookie per offrire una migliore esperienza di navigazione. Cliccando OK puoi continuare la navigazione e questo messaggio non ti verrà più mostrato. Se invece vuoi disabilitare i cookie puoi farlo dal tuo browser. Per maggiori informazioni puoi accedere alla nostra cookie policy.