Cybersecurity e Sicurezza fisica: per le aziende l'integrazione è necessaria

Molte aziende stanno provvedendo a unificare la gestione della sicurezza fisica e della cybersecurity.

Alcune imprese sottovalutano i potenziali rischi rappresentati da oggetti fisici connessi ad internet o gestiti attraverso software, come porte, apparecchiature di illuminazione o impianti di condizionamento, ma bisognerebbe iniziare a lavorare per tenerli al sicuro dagli hacker, così come si fa per le reti di computer di un’azienda, come suggerisce Brian Kelly, capo della sicurezza per il servizio cloud Rackspace Inc. Persino gli acquari con i pesci, le webcam e i monitor sono stati oggetto di attacchi cibernetici negli ultimi anni.

La Darktrace Ltd., che si occupa di cybersecurity, riporta che l’anno scorso un anonimo casinò in Nord America ha subito un attacco cibernetico perpetrato attraverso l’acquario controllato da un software. Attraverso delle webcam, invece, avvenne il massiccio blocco dei servizi che danneggiò il gigante dell’hosting Dyn Inc. nel 2016, mentre il Dipartimento della Difesa degli Stati Uniti ha rimosso il mese scorso le telecamere di sorveglianza prodotte da una società cinese.

Nel 2013 la violazione della Target Corp. fu eseguita attraverso un sistema di condizionamento dell’aria non adeguatamente protetto.

Brian Kelly era il capo ufficiale della sicurezza di Rackspace nel 2014, oggi supervisiona sia la sicurezza informatica che quella fisica, così come gestisce le dinamiche di rischio aziendale.
Come la Rackspace, molte aziende gestiscono le funzioni di sicurezza fisica e cibernetica facendo capo ad un solo manager.

Il gigante della sanità Aetna Inc. e l’assicuratore Aon Plc hanno accentrato nella figura di un solo manager tutte le attività legate alla sicurezza fisica e alla cybersecurity. Nelle aziende più grandi, le linee di segnalazione possono presentare maggiori complessità, ma molte di queste si sforzano per gestire parallelamente la sicurezza fisica  e quella informatica, facendole lavorare insieme.

Un portavoce di Bank of America Corp. ha riferito che la società preferisce non rivelare la propria struttura organizzativa, ma che “queste due funzioni collaborano strettamente”.

Spesso nascono questioni relative alla terminologia. Gli esperti di cybersecurity sembrano parlare un linguaggio totalmente diverso dagli esperti di sicurezza fisica, che altrettanto spesso paiono appartenere esclusivamente agli ambiti della gestione emergenze o dei servizi di sicurezza. “Molte volte la comunicazione mi pare forzata,” dice Mr. Kelly. “Sono due gruppi di persone che pensano in maniera completamente diversa, hanno background molto diversi. A volte sembra una vera sfida, assicurarsi che il messaggio e la conversazione abbiano un senso.”

Integrare nella maniera giusta i team che si occupano di cybersecurity e sicurezza fisica è un’operazione necessaria, perché molte delle minacce alla sicurezza si basano su elementi digitali e fisici. È il caso della protezione esecutiva, che in genere è percepita unicamente come una questione legata alla sicurezza fisica. Il numero di truffe via email (spear phishing) e attacchi informatici del genere spoofing attacks ai danni del management aziendale, si rivelano questioni di cybersecurity ma anche di sicurezza fisica.

In alcuni casi eclatanti, combinando attacchi fisici e via mail, sfruttando la falsificazione di identità, gli hacker sono riusciti a truffare alcuni manager convincendo i dipendenti a inviare fondi a un conto estero.

“Viviamo in un mondo in cui anche la sicurezza tradizionale è gestita da software, e quindi anche i mezzi fisici possono rappresentare un grande rischio per un’azienda”, ha affermato Aravind Swaminathan, un partner dello studio Orrick, Herrington & Sutcliffe LLP. Swaminathan ha detto che i leader in materia di sicurezza fisica e informatica “dovrebbero collaborare per minimizzare i conflitti e migliorare la gestione di situazioni di allarme”.

In quest’ottica, sarebbe opportuno sviluppare un linguaggio comune e standardizzato, sicuramente meno tecnico per comunicare i problemi di sicurezza all’interno dell’azienda, ha affermato Swaminathan.

 

fonte: The Case for Integrating Physical and Cyber Security
(Kate Fazzini – Wall Street Journal)

0 Comments