Il workshop, nel trattare le tematiche legate alla sicurezza che trovano nell’uso improprio della rete il loro anello di congiunzione, vuole porsi come obiettivo quello di sensibilizzare, attraverso la condivisione di esperienze e conoscenze, tutte le realtà coinvolte ed in particolare quelle più fragili e facilmente “irretibili”.

L’incontro parte dalla presa di coscienza della continua esposizione agli attacchi cyber ad opera di veri e propri così definiti cyber-criminali con tecniche di ingegneria sociale, i quali riescono ad entrare all'interno del sistema dati di importanti attività amministrative, sociali ed economiche come banche e ospedali. Ma non solo, vittime di questi attacchi sono anche le piccole e medio imprese, scuole, istituti di credito ed aziende sanitarie che si vedono rubare tutto (dati, strategie, ecc..) in cambio di importanti riscatti per la restituzione, totalmente impreparate a far fronte a questi attacchi.

Un’analisi sui controlli Essenziali e comportamenti sulla cybersecurity, facili ed economici, che consigliano di adottare a piccole e medio imprese, considerandolo un investimento essenziale, sia per diminuire la vulnerabilità nei loro sistemi sia per far conoscere l'entità del rischio ai dipendenti. I controlli Essenziali, tutti importanti allo stesso modo e vagliati da esperti di settore, saranno mirati alla riduzione del rischio informatico. È stato riscontrato che alla base del problema relativo alla cybersecurity c'è la poca conoscenza da parte degli operatori, poca o insufficiente formazione, l'anello debole della questione, che non comprendono a pieno i rischi derivati da una mancata protezione informatica. È importante quindi che tutti gli operatori vengano informati e sensibilizzati sul tema.

Visto che il pericolo è dietro l’angolo e la minaccia può essere più vicina di quanto si possa immaginare, la sicurezza delle informazioni deve coinvolgere non solo i responsabili ICT, ma tutte le figure aziendali, dal singolo dipendente fino al top management. Oltre alle tecnologie di protezione, parte importante della spesa in Cybersecurity deve essere destinata anche alla formazione a tutti i livelli ed in tutti gli ambiti, per favorire una sensibilizzazione costante. In questo ambito però le aziende italiane sono ancora indietro.

È infatti necessario un salto culturale che possa fornire a tutti gli strumenti cognitivi necessari a difendersi e tutelare le proprie informazioni ed il proprio business.

Bio relatori:

Renato Salvatore Marafioti - Dottore in Giurisprudenza. Presidente Associazione Culturale Format. Presidente Sezione Aica Calabria. Docente in discipline informatiche - “Sicurezza digitale: l’importanza della cybersecurity nel contesto della rivoluzione digitale”.

Laureato in Giurisprudenza e formatore in discipline informatiche dal 1995. Dal 1997 è Presidente dell’Associazione Culturale Format di Reggio Calabria, ente di formazione professionale accreditato dalla Regione Calabria in formazione continua e formazione superiore (www.acformat.it). Autore del libro “Identità ed eredità digitale”. Dal 2002 è supervisore ed esaminatore ECDL/ICDL. Dal 2016 è fondatore e Presidente della Sezione Territoriale AICA Calabria.

Egidio Francesco Cipriano - Psicologo - Informatico, docente a contratto presso le università di Teramo e di Chieti. Presidente della società italiana delle scienze informatiche e tecnologiche e si occupa di cybersecurity, cyberintelligence e cybercrime oltre che di AI (intelligenza artificiale). “Social engineering: oltre l’elettronica”.

Antonio Luciano Battaglia - Esperto di analisi web, Cyber security e Cyber Intelligence - “Il cyberspazio e le nuove forme di criminalità osservate dal punto di vista dell’intelligence”

Mi chiamo Antonio Luciano Battaglia, sono un funzionario della Polizia Postale e delle Comunicazioni in quiescenza, sono un socio aggregato S.O.C.I.N.T. e mi occupo da sempre di Cyber-Security, Computer Forensics & Cyber- Intelligence, nonché di formazione per la prevenzione sul  Cyberbullismo, adescamenti online, pedopornografia e reati gravi contro i minori. Collaboro con ELSA Italia, per la formazione dei giovani giuristi nella città di Reggio Calabria.

Fabrizio Salmi - Penalista. Esperto privacy, GDPR e Cyber security - “Internet e profili penali: cybercrime e sistemi di tutela”

Fabrizio Salmi: avvocato cassazionista Penalista d’impresa, esperto del D.lgs. 231/01 – ricopre incarichi di ODV, RSPP, DPO e auditor 37001

Federico Saporiti - Esperto privacy, GDPR e Cyber security - “La sicurezza dei dati, data breach e sanzioni

Avvocato del foro di Milano specializzato in protezione dei dati personali, con competenze in cybersecurity,, svolge attività volta alla compliance aziendale sia con riferimento alla normativa in materia di protezione dai personali che relativamente al D.lgs. 231/01. ha inoltre conseguito  certificato  di auditor 19011.

Moderatore
Gianluca Chirico - Socio e Consigliere in seno al Consiglio direttivo di AICA Calabria.

Rapporteur

Eleonora Caracciolo - Segretario e Consigliere in seno al Consiglio direttivo di AICA Calabria

Approfondimenti:

Il cyberspazio è la cosa più complessa che l’uomo abbia mai costruito: da un lato unione di migliaia di reti che  rendono difficile anche solo avere una fotografia istantanea di chi vi è connesso, dall’altro stratificazione di  programmi software e protocolli sviluppati negli ultimi quaranta anni. Questa complessità è generatrice di  vulnerabilità (errori software, errate configurazioni e debolezze nei protocolli) che vengono sfruttate dai  cybercriminali per sottrarre dati o arrecare danni. 

La cybersecurity è considerata una delle principali emergenze in Europa, assieme al cambiamento climatico  e all’immigrazione e sono allo studio iniziative concrete per affrontare tale emergenza. Blocco della operatività  di aziende, controllo surrettizio dei servizi di infrastrutture critiche, furto della proprietà intellettuale o di  informazioni cruciali per la sopravvivenza di un’azienda, sono esempi delle minacce che un Paese deve  affrontare. Gli attacchi alla sicurezza informatica aumentano in maniera esponenziale, in una varietà di modi  e soggetti colpiti mai vista prima. Nessuno può sentirsi al sicuro: dall'hospitality ai trasporti, dalle pubbliche  amministrazioni allo sport, i dati personali e aziendali sono ovunque in pericolo! Per contrastare questo  fenomeno, le aziende (comprese quelle italiane) hanno posto l'accento sul tema della Cyber Security,  investendo in tecnologie e formazione dei propri dipendenti. Una base di partenza importante, senza dubbio,  ma sufficiente per evitare di venire travolti dal cambiamento in atto? 

La Cyber Security, Sicurezza Informatica o ancora IT Security, è definita come l’abilità di difendere il  cosiddetto cyberspace da eventuali attacchi hacker e si focalizza perciò su aspetti esclusivamente di  sicurezza IT e protezione dei sistemi informatici. Per Information Security si intende quindi l’insieme  delle misure e degli strumenti finalizzati a garantire e preservare confidenzialità, integrità e disponibilità  delle informazioni. Information Security è dunque un concetto più ampio che abbraccia la sicurezza del  patrimonio informativo nel suo complesso, facendo riferimento alla protezione dei dati in qualsiasi  forma, anche non digitale e includendo anche aspetti organizzativi e di sicurezza fisica. Inutile dire, che  in un momento della storia in cui il digitale è pane quotidiano, Cyber e Information tendono a  convergere in un concetto di Security in cui la tecnologia assume un peso sempre maggiore. 

Gestire la sicurezza informatica in un'organizzazione vuol dire essenzialmente garantire la protezione del  patrimonio informativo e, quindi, la sicurezza dei dati informatici aziendali. Ma come assicurarsi una corretta  e adeguata gestione dei dati informatici? Attività, ruoli e competenze possono essere diverse, ma ogni strategia  improntata sulla Cyber Security si basa sempre su tre principi fondamentali che devono essere ricercati in ogni  soluzione di sicurezza, tenendo conto anche di eventuali rischi e vulnerabilità. 

1. CONFIDENZIALITÀ 

Offrire confidenzialità vuol dire garantire che i dati e le risorse siano preservati dal possibile utilizzo o accesso  da parte di soggetti non autorizzati. La confidenzialità deve essere assicurata lungo tutte le fasi di vita del dato:  dal suo immagazzinamento, durante il suo utilizzo o il suo transito lungo una rete di connessione. 2. INTEGRITÀ 

L’integrità, o meglio la capacità di mantenere la veridicità dei dati e delle risorse e garantire che non siano in  alcun modo modificate o cancellate, se non ad opera di soggetti autorizzati. 

3. DISPONIBILITÀ 

La disponibilità si riferisce alla possibilità, per i soggetti autorizzati, di poter accedere alle risorse di cui hanno  bisogno per un tempo stabilito ed in modo ininterrotto. Ciò significa impedire che avvengano interruzioni di  servizio e garantire che le risorse infrastrutturali siano pronte per la corretta erogazione di quanto richiesto. 

Mentre aumenta la corsa alla ricerca di nuove competenze e professionalità, triplicano le minacce alla sicurezza  informatica. Solo nel primo semestre dell’ultimo anno si sono verificati 757 casi di attacchi cyber gravi,  provenienti soprattutto da fattori interni alle aziende. Ma l’escalation di rischi e pericoli legati alla gestione del  dato colpisce tutte le organizzazioni, a prescindere da dimensioni e settore di competenza. Cybercrime,  attivismo, spionaggio industriale, information warfare, malware, social engineering e le più sofisticate APT e 

zero-day… Le tecniche e le tipologie di reato informatico sono diverse, e costringono perciò le aziende a  “rimanere in guardia” su più fronti. In questa parte dell’incontro approfondiremo le pratiche hacker che  minacciano quotidianamente la Cyber Security delle imprese fornendo definizioni, dati, esempi e, soprattutto,  gli elementi per imparare a difendersi. 

Il cybercrime è la minaccia invisibile che sta cambiando il mondo. Quando si parla di cybercrime ci si riferisce  generalmente a una attività criminosa caratterizzata dall'uso di Internet e altre tecnologe informatiche, mossa  con lo scopo di estorcere denaro o trafugare dati e informazioni vitali a un'organizzazione: è il caso di attacchi  DoS, infezioni malware e ransomware. Il quadro delle minacce alla Cyber Security, tuttavia, è assai ben più  ampio. Il social engineering è una tecnica di attacco cyber sempre più sofisticata, in grado di colpire  direttamente i dipendenti di un’azienda. Pensiamo ai casi più comuni di phishing o baiting. Trattasi di minacce  sempre più diffuse che ledono la sicurezza informatica delle aziende facendo leva su aspetti psicologici e  comportamentali delle persone: l'assunto di base è quello di manipolare le persone per carpirne informazioni  confidenziali. Come difendersi? 

Quello del social engineering è soltanto la cartina di tornasole di un dato allarmante: il 95% dei reati informatici  è causato da errori umani. Quando si parla di Cyber Security, d'altronde, non si può tralasciare l’elemento di  incertezza legato al comportamento umano. Spesso le aziende investono su sistemi di protezione sofisticati ma  non valutano questo rischio. Come sensibilizzare allora i propri dipendenti alla sicurezza informatica? 

Dalla cybersecurity dipende la stabilità politico-economico del Paese. Una riforma è quanto mai necessaria,  ma evitando strumenti impropri come la decretazione d’urgenza o leggi speciali legate al Recovery Plan. Modelli, progettualità, competenze, professionalità, escalation degli attacchi, polizze. Sono tutti elementi che  contribuiscono alla crescita del mercato della sicurezza informatica. Ma è così anche nel nostro Paese? Il  mercato italiano della sicurezza informatica è in leggera ascesa, trainato soprattutto dalle grandi imprese. Che  la consapevolezza sul tema della sicurezza informatica fosse aumentata lo si sapeva da tempo. La notizia è che  insieme alla consapevolezza stanno aumentando anche gli investimenti. C'è un ampio dibattito in corso sui  pericoli della disinformazione online e i possibili approcci per affrontare questo problema. È un problema  enorme senza una facile soluzione, ma ad oggi la questione è parte integrante dell'agenda pubblica e politica. È infatti necessario un salto culturale che possa fornire a tutti gli strumenti cognitivi necessari a difendersi e  tutelare le proprie informazioni ed il proprio business.