La tecnologia moderna e la costante connessione della società a Internet permette più creatività negli affari che mai – incluso il mercato nero. I criminali informatici stanno attentamente scoprendo nuovi modi per attingere alle reti più sensibili del mondo. Proteggere i dati aziendali è una sfida crescente, ma la consapevolezza è il primo passo. Ecco le 10 principali minacce alla sicurezza delle informazioni oggi:
Tecnologia con sicurezza debole – La nuova tecnologia viene rilasciata ogni giorno. Il più delle volte, i nuovi gadget hanno una qualche forma di accesso a Internet ma nessun piano di sicurezza. Questo presenta un rischio molto serio – ogni connessione non protetta significa vulnerabilità. Il rapido sviluppo della tecnologia è una testimonianza per gli innovatori, tuttavia la sicurezza è in grave ritardo1.
Attacchi dei social media – I criminali informatici stanno sfruttando i social media come mezzo per distribuire un complesso attacco geografico chiamato “water holing”. Gli aggressori identificano e infettano un cluster di siti web che credono che i membri dell’organizzazione mirata visiteranno2.
Mobile Malware – Gli esperti di sicurezza hanno visto il rischio nella sicurezza dei dispositivi mobili fin dalle prime fasi della loro connettività a Internet. Il minimo fallo mobile tra la lunga lista di attacchi recenti ha gli utenti molto meno preoccupati di quanto dovrebbero essere. Considerando l’infrangibile dipendenza della nostra cultura dai telefoni cellulari e quanto poco i criminali informatici li abbiano presi di mira, si crea una minaccia catastrofica.
Ingresso di terze parti – I criminali informatici preferiscono il percorso di minor resistenza. Target è il manifesto di un grande attacco di rete attraverso punti di ingresso di terze parti. Il fornitore HVAC del rivenditore globale è stato lo sfortunato appaltatore le cui credenziali sono state rubate e utilizzate per rubare set di dati finanziari per 70 milioni di clienti3.
Negare la corretta configurazione – Gli strumenti di big data hanno la capacità di essere personalizzati per soddisfare le esigenze di un’organizzazione. Le aziende continuano a trascurare l’importanza di configurare correttamente le impostazioni di sicurezza. Il New York Times è stato recentemente vittima di una violazione dei dati a causa dell’attivazione di una sola delle numerose funzionalità critiche necessarie per proteggere completamente le informazioni dell’organizzazione4.
Software di sicurezza obsoleto – L’aggiornamento del software di sicurezza è una pratica di gestione della tecnologia di base e un passo obbligatorio per proteggere i big data. Il software è sviluppato per difendersi dalle minacce conosciute. Questo significa che qualsiasi nuovo codice dannoso che colpisce una versione obsoleta del software di sicurezza non verrà rilevato.
Ingegneria sociale – I criminali informatici sanno che le tecniche di intrusione hanno una durata limitata. Si sono rivolti a metodi non tecnici affidabili come l’ingegneria sociale, che si basano sull’interazione sociale e la manipolazione psicologica per ottenere l’accesso a dati riservati. Questa forma di intrusione è imprevedibile ed efficace.
Mancanza di crittografia – Proteggere i dati aziendali sensibili in transito e a riposo è una misura che pochi settori devono ancora adottare, nonostante la sua efficacia. Il settore sanitario gestisce dati estremamente sensibili e comprende la gravità della loro perdita – motivo per cui la conformità HIPAA richiede che ogni computer sia crittografato.
Dati aziendali su dispositivi personali – Se un’organizzazione distribuisce telefoni aziendali o meno, i dati riservati sono ancora accessibili su dispositivi personali. Esistono strumenti di gestione mobile per limitare la funzionalità, ma la messa in sicurezza delle falle non è entrata nella lista delle priorità di molte organizzazioni.
Tecnologia di sicurezza inadeguata – Investire in software che monitora la sicurezza di una rete è diventata una tendenza crescente nello spazio aziendale dopo il doloroso strappo del 2014 delle violazioni dei dati. Il software è progettato per inviare avvisi quando si verificano tentativi di intrusione, tuttavia gli avvisi sono preziosi solo se qualcuno è disponibile per affrontarli. Le aziende si stanno affidando troppo alla tecnologia per proteggersi completamente dagli attacchi quando è destinata ad essere uno strumento gestito.
Per saperne di più sul Master online in Technology Management della Georgetown University, richiedere maggiori informazioni o contattare un rappresentante delle ammissioni al (202) 687-8888.
Fonti
1Ten Napel, Novealthy, Mano. “Gli indossabili e l’auto quantificata richiedono un design che dia priorità alla sicurezza”. Wired.com. Conde Nast Digital, 2015. Web. 12 sett. 2015.
2Sterling, Bruce. “Spear-phishing e Water-holing”. Wired.com. Conde Nast Digital, 10 ottobre 2012. Web. 12 sett. 2015.
3Krebs, Brian. “La violazione di Target, secondo i numeri”. Krebs sulla sicurezza RSS. Krebs on Security, 14 maggio 2014. Web. 12 settembre 2015.
4 “Cybersecurity Lessons from the New York Times Security Breach.” GovDefenders. Soluzioni DLT, 2013. Web. 12 settembre 2015.
.