I temi relativi alla sicurezza informatica continuano a moltiplicarsi e i nostri clienti ci interpellano sempre più spesso su questi argomenti: documenti di sicurezza da compilare, test di intrusione, ecc.
Alla domanda se un determinato sito o evento sia a rischio, la risposta sarà purtroppo sempre sì. Con i nostri strumenti di monitoraggio, constatiamo infatti tentativi di intrusione quasi quotidiani su tutti i domini che gestiamo; queste minacce informatiche non sono necessariamente rivolte contro di noi o contro gli eventi che ospitiamo, e sono generalmente effettuate su iniziativa di bot opportunisti, alla ricerca di falle note su qualsiasi sistema.
È quindi necessario essere vigili in ogni momento e adottare un approccio proattivo per proteggersi al massimo e proteggere i dati dei nostri clienti. In quest'ottica, da alcuni anni effettuiamo test di intrusione sui nostri sistemi e abbiamo deciso di ottenere lacertificazione ISO 27001nel 2023. Quest'ultima ci ha permesso di maturare e migliorare tutte le nostre procedure interne, la scelta dei nostri partner e la gestione dei rischi.
Molti attacchi riusciti non avvengono solo attraverso la scoperta di falle, ma piuttosto tramite il "social engineering": phishing, recupero di informazioni da una persona interna, ecc. Uno degli anelli deboli del sistema è l'essere umano, quindi è necessario sensibilizzare tutti i dipendenti sui rischi (nonché sulle buone pratiche in materia di rispetto della privacy e del GDPR).
È inoltre opportuno limitare i rischi relativi alle password sulle piattaforme dedicate agli eventi:
• non riutilizzare le password
• non utilizzare password deboli
• non scrivere le password su post-it...
=> generalizzare l'uso di gestori di password e favorire l'uso di SSO* proprio per non avere più password ovunque. Inoltre, incoraggiamo tutti i nostri clienti (agenzie di eventi o servizi di comunicazione degli inserzionisti) a utilizzare il loro SSO per connettersi al backoffice (o ai siti degli eventi per gli eventi interni).
*Il Single Sign-on (SSO) è un servizio di autenticazione della sessione e dell'utente che consente a un utente di utilizzare un insieme di credenziali (ad esempio, nome e password) per accedere a più applicazioni. L'SSO può essere utilizzato da aziende, piccole organizzazioni e privati per semplificare la gestione di vari nomi utente e password.
Gli sviluppatori e i progettisti devono inoltre essere sensibilizzati sui rischi più comuni, in particolare il Top 10 OWASP :
Cerchiamo sempre di lavorare con partner sicuri e librerie collaudate (ad esempio per bloccare le iniezioni SQL).
Ciò comporta anche il monitoraggio delle vulnerabilità nelle dipendenze: se viene scoperta una vulnerabilità in una dipendenza che prima ne era esente, è necessario aggiornarla.
Questo è uno dei punti fondamentali su cui ci ha permesso di lavorare la norma ISO 27001: dedicare il tempo necessario a elencare chiaramente tutti i rischi (relativi alla sicurezza o alla disponibilità dei nostri servizi), mettere in atto contromisure e testarle.
Un backup (per i dati) o un piano B (in caso di crisi) ha valore solo se è stato testato e si è quindi sicuri che funzioni. Se si deve ripristinare un backup per rendersi conto che era vuoto da mesi, è troppo tardi.
Per quanto si possa pianificare tutto, è raro che non ci siano difetti, possono esserci dei bug ed è opportuno cercarli attivamente.
I pentest che realizziamo sono sempre ricchi di insegnamenti, sia sui punti di successo (dove i pentester non sono riusciti a fare nulla) sia sui punti che possono essere migliorati.
Se non avete mai effettuato un pentest, vi invito a farlo al più presto: forse il vostro sistema è già molto sicuro (e ve lo auguro), ma forse potreste anche avere delle sorprese...
E la metodologia utilizzata corrisponde ai tipi di attacchi che potreste subire, quindi tutto ciò che può essere scoperto è bene correggerlo.
Con la piattaforma CRM di AppCraft, riunite tutti i vostri strumenti in un unico posto e create un'esperienza di evento trasparente per i vostri partecipanti, ospiti ed espositori. Potete gestire in modo trasparente le registrazioni, i partecipanti e i contenuti.
