L’accesso ai servizi online da parte di persone con disabilità non è solo un obbligo legale, come sancito già anche in Italia da normative come la Legge Stanca (4/2024), ma anche un diritto umano e un’opportunità di mercato. La tecnologia oggi permette a sempre più persone con disabilità di accedere a Internet e applicativi web facilmente, ma a cosa serve se il tuo sito non è fruibile? Oltre a non fare una bella figura, il rischio è anche di perdere una grande fetta di mercato.

Tuttavia, garantire un sito o un’applicazione web accessibili può essere un processo complesso e continuo, che richiede sia competenze tecniche che legali.

L’Atto europeo sull’accessibilità in breve

L’EAA è una direttiva (Direttiva 2019/882). Ogni Stato membro dovrà trasformare questa direttiva in una legge nazionale che riguarderà prodotti e servizi. A partire da giugno 2025, questa legislazione sarà applicata nei paesi dell’UE.

In dettaglio, alcuni esempi di questi prodotti e servizi sono:

• Siti web di pubblicazione di notizie con possibilità di abbonamento;
• Vendita di prodotti e servizi;
• Piattaforme pubblicitarie;
• Fornitura di servizi professionali (ad esempio, medici, avvocati, agenti immobiliari);
• Offerta di servizi di intrattenimento e media;
• Vendita di servizi di telecomunicazione.

In questo contesto, le soluzioni automatizzate per l’accessibilità, come quella usata da Net Patrol Italia (offerta da Equally.ai), rappresentano un’opportunità preziosa per migliorare significativamente l’accessibilità di un sito web. Ma è importante comprendere che l’adozione di strumenti automatizzati deve essere accompagnata da un approccio più ampio, che integri consulenze specialistiche da parte di esperti legali e sviluppatori.

Software di accessibilità automatizzata: una risorsa indispensabile

Le soluzioni come Equally.ai sono progettate per identificare e correggere molti dei problemi di accessibilità in modo rapido e preciso. Utilizzando algoritmi avanzati e intelligenza artificiale, questi strumenti possono monitorare costantemente le prestazioni di un sito web rispetto ai criteri di accessibilità, identificando aree di miglioramento e implementando automaticamente le modifiche necessarie.

Ad esempio, possono ottimizzare l’accesso a immagini, pulsanti e moduli, fornendo etichette alternative per le immagini o rendendo i campi dei form più accessibili tramite lettori di schermo. Tuttavia, è importante notare che non tutte le problematiche di accessibilità possono essere risolte automaticamente.

L’importanza della consulenza specializzata e della formazione

L’accessibilità non è solo una questione di tecnologia, ma anche di conformità normativa e progettazione umana-centrica. Le normative italiane ed europee richiedono che i siti web soddisfino standard rigorosi, come quelli definiti dalle WCAG (Web Content Accessibility Guidelines). Mentre i software di accessibilità automatizzata possono identificare e correggere molti problemi tecnici, vi sono aspetti più complessi che richiedono l’intervento umano.

Una consulenza continuativa da parte di esperti legali, sviluppatori e web designer è fondamentale per garantire che un sito non solo rispetti le normative, ma offra anche una vera esperienza inclusiva per tutti gli utenti. Gli esperti legali sono essenziali per garantire che l’implementazione dell’accessibilità sia conforme alle normative in evoluzione. Allo stesso tempo, sviluppatori e designer possono lavorare per garantire che l’accessibilità venga incorporata già nelle fasi di progettazione e sviluppo, creando soluzioni che siano allo stesso tempo tecnicamente solide e utilizzabili.

Allo stesso modo, coloro che internamente adoperano il sito aziendale, ad esempio caricando materiale informativo (documenti, immagini), devono essere adeguatamente formati per comprendere quali azioni porre in essere per assicurare che anche i nuovi contenuti siano accessibili.

Scopri come rendere accessibile il tuo sito, contattaci!

Contatta il team di Net Patrol Italia per capire insieme quali sono le tue esigenze e come rendere accessibile il tuo sito entro giugno 2025.

Integrazione tra automazione e competenze umane: la chiave del successo

La combinazione tra un software di accessibilità automatizzata e una consulenza specializzata rappresenta la strada migliore per un’applicazione web accessibile e conforme. Mentre strumenti come Equally.ai possono fornire una soluzione rapida ed efficiente per molte delle sfide quotidiane dell’accessibilità, il supporto di un team di esperti legali e tecnici assicura che il sito sia realmente accessibile a tutti, e che rimanga tale nel tempo.

L’approccio automatizzato, supportato da interventi umani periodici, consente di:

1. Identificare e correggere automaticamente gli errori più comuni: Gli strumenti di automazione possono rilevare e risolvere immediatamente molti problemi di accessibilità.
2. Garantire la conformità legale e normativa: Gli esperti legali monitorano l’evoluzione delle normative e garantiscono che le modifiche apportate al sito siano sempre in linea con i requisiti legali.
3. Mantenere l’accessibilità a lungo termine: L’aggiornamento continuo del sito web, sia tramite software che interventi umani, assicura che il sito rimanga accessibile anche con l’evoluzione tecnologica e normativa.
4. Fornire una migliore esperienza utente: La consulenza umana permette di affrontare i problemi più sottili e complessi legati all’usabilità, offrendo un’esperienza di navigazione inclusiva e soddisfacente.

Conclusione

In Italia, l’accessibilità degli applicativi web non è solo un dovere legale, ma un’opportunità per le aziende di dimostrarsi inclusive e attente ai bisogni di tutti i propri utenti. L’adozione di soluzioni automatizzate come Equally.ai, combinata con una consulenza continuativa da parte di esperti, rappresenta un approccio vincente per garantire un web più accessibile e conforme. Investire in accessibilità non è solo una scelta etica, ma un vantaggio competitivo che può migliorare la reputazione aziendale e ampliare la base utenti.

L'articolo Accessibilità degli applicativi web in Italia: l’importanza di soluzioni automatizzate e consulenze specializzate proviene da Netpatrol.

Il phishing non è solo un problema tecnico: è una minaccia umana. Secondo il Verizon Data Breach Investigations Report 2023, il 74% delle violazioni di dati aziendali coinvolge un elemento di social engineering, e il phishing è spesso la porta d’ingresso principale. Le email di phishing, che sembrano autentiche comunicazioni aziendali, sono progettate per ingannare i dipendenti e portarli a cliccare su link dannosi o rivelare informazioni sensibili.

Perché la formazione aziendale è cruciale

Come ci ricorda il mese sulla cybersecurity, la formazione aziendale rappresenta la prima linea di difesa contro il phishing. Mentre i firewall e i sistemi di sicurezza possono bloccare molte minacce, il fattore umano rimane purtroppo l’oggetto del social engineering. Come mostrano anche i dati (studio di Proofpoint), nel 2023 più del 85% degli attacchi phishing andati a buon fine sono stati dovuti all’errore umano. Educare i dipendenti a riconoscere e gestire potenziali comunicazioni di phishing o altro tipo di truffa (come il Man in the Middle) rimane quindi essenziale per ridurre al minimo questi rischi.

Le sessioni di formazione dovrebbero includere esercitazioni pratiche, simulazioni di attacchi di phishing, e spiegazioni su come riconoscere i segnali di allarme più comuni: link sospetti, errori grammaticali nelle email, richieste urgenti di informazioni sensibili. L’obiettivo è quello di creare consapevolezza e di fornire ai dipendenti gli strumenti per identificare e segnalare potenziali minacce.

I Benefici della simulazione di attacchi di phishing

Simulare attacchi di phishing è una delle tecniche più efficaci per preparare i dipendenti. Attraverso simulazioni periodiche, le aziende possono valutare il livello di preparazione del proprio personale e identificare eventuali punti deboli. Studi recenti mostrano che aziende che conducono simulazioni di phishing regolari riescono a ridurre il tasso di clic su email sospette del 70% entro il primo anno di formazione.

Le simulazioni aiutano anche a creare una cultura aziendale della sicurezza, in cui i dipendenti si sentono coinvolti e responsabili della protezione dei dati aziendali. Quando i dipendenti comprendono l’impatto potenziale di un singolo clic sbagliato, la loro attenzione ai dettagli e la loro capacità di discernere le minacce aumentano notevolmente.

Inizia oggi il tuo programma di simulazione di phishing

Non aspettare una crisi aziendale. Previeni i rischi e insegna ai tuoi dipendenti come riconoscere tentativi di phishing e social engineering. Contattaci oggi, saremo lieti di spiegarti come funzionano le nostre simulazioni di phishing e corsi di formazione!

Statistiche sul phishing nel 2023

Nel 2023, è stato registrato un aumento significativo degli attacchi di phishing mirati. Secondo Statista, il numero di attacchi phishing è cresciuto del 27% rispetto all’anno precedente, con oltre 3,4 miliardi di email di phishing rilevate solo nella prima metà dell’anno. Le PMI (Piccole e Medie Imprese) sono state particolarmente colpite, a causa della mancanza di risorse adeguate per la formazione e la cybersecurity.

Inoltre, un report di IBM Security rivela che il costo medio di una violazione dei dati causata da un attacco di phishing si aggira intorno ai 4,5 milioni di dollari. Questi numeri sottolineano l’importanza di investire nella formazione, poiché la prevenzione è sempre più conveniente rispetto ai costi di una violazione.

Come implementare una formazione efficace

Per essere efficace, la formazione aziendale sulla cybersecurity deve essere continua e coinvolgente. Oltre alle simulazioni, è utile adottare moduli di e-learning che permettano ai dipendenti di apprendere al proprio ritmo, quiz periodici per valutare la loro comprensione, e workshop interattivi per rispondere a domande e chiarire dubbi specifici.

Una buona pratica è anche quella di coinvolgere il top management, rendendoli partecipi nelle iniziative di cybersecurity. Ricordiamo inoltre che con l’introduzione della Direttiva NIS2, il top management sarà soggetto a obblighi di formazione specifica in materia di sicurezza e dovrà assicurare che anche i dipendenti siano formati adeguatamente. Non bisogna vederlo però come una scocciatura: quando i leader aziendali mostrano interesse e partecipazione, è più probabile che anche il resto del personale prenda la questione con la dovuta serietà.

Conclusione

Ottobre, il mese della cybersecurity inaugurato ogni anno dall’ENISA e dalla Commissione Europea, è un momento ideale per rafforzare le difese aziendali. La formazione è la chiave per ridurre il rischio di violazioni e per creare una cultura della sicurezza che coinvolga tutti, dai dipendenti al management. Ricordiamoci che la sicurezza inizia da ciascuno di noi: una email sospetta ignorata oggi potrebbe evitare un attacco domani. #ThinkB4UClick è più di uno slogan, è una chiamata all’azione per una maggiore consapevolezza e responsabilità.

L'articolo Ottobre: Mese della Cybersecurity – L’importanza della Formazione Aziendale contro il Phishing proviene da Netpatrol.

Tuttavia, nonostante il tentativo del legislatore di scatenare con la legge una serie di effetti positivi sul mercato digitale, un elemento che spesso blocca le aziende, oltre a questioni di risorse economiche, è il fattore umano. È facile concentrarsi sulle soluzioni tecnologiche e sulla preparazione di nuove e scintillanti procedure operative, ma alla base di ogni processo aziendale ci sono sempre delle persone con le loro idee, attitudini, competenze e anche difetti.

Con questo breve contributo vogliamo esplorare l’idea di un approccio più umano-centrico alla Governance, Risk & Compliance nel settore della cybersecurity, come elemento saliente per integrare con successo i nuovi requisiti previsti dalla NIS2. L’obiettivo è mostrare come il coinvolgimento attivo delle persone possa portare a un sistema sostenibile e adattato alla realtà dell’organizzazione, creando sinergie tra esperti di sicurezza e dipendenti.

La Direttiva NIS2 e l’Articolo 21: misure di gestione del rischio

La Direttiva NIS2 è un quadro che in qualche modo cerca di portare nel panorama normativo le best practices internazionali sulla sicurezza delle informazioni, come quelle previste dalla ISO 27001 o da altri framework di cybersicurezza. Pertanto, il percorso di compliance richiesto è sufficientemente complesso.

Tra i suoi vari articoli, l’articolo 21 in particolare prevede misure dettagliate per la gestione del rischio, indirizzando le organizzazioni a implementare una serie di strategie e procedure specifiche, come a titolo esemplificativo:

1. Politiche di analisi dei rischi e di sicurezza dei sistemi informatici: La direttiva sottolinea l’importanza di politiche ben strutturate per l’analisi dei rischi e la protezione dei sistemi informatici. La creazione di un processo di analisi costante permette di identificare i punti deboli dell’organizzazione e mitigare i rischi prima che possano trasformarsi in incidenti reali.
2. Gestione degli incidenti: La capacità di rispondere efficacemente a un incidente di sicurezza è fondamentale. La NIS2 richiede procedure chiare e ben definite per l’individuazione, la gestione e la mitigazione degli incidenti.
3. Continuità operativa e gestione delle crisi: La continuità operativa, come la gestione del backup e il ripristino dei dati, è essenziale per garantire che l’azienda possa continuare a operare anche in caso di attacchi o disastri. La NIS2 richiede che le organizzazioni sviluppino piani di emergenza e strategie di recupero.
4. Sicurezza della catena di approvvigionamento: La sicurezza non riguarda solo i sistemi interni di un’azienda, ma anche la catena di fornitori e partner esterni. La direttiva sottolinea l’importanza di valutare i rischi derivanti dalle relazioni commerciali, creando un ecosistema sicuro.
5. Pratiche di igiene informatica e formazione continua: Uno dei pilastri della NIS2 è la formazione continua del personale sulle buone pratiche di sicurezza informatica. Senza un’adeguata consapevolezza dei rischi e delle procedure corrette, nessun sistema potrà essere veramente sicuro.

L’Approccio Umano-Centrico alla cybersecurity: mettere le persone al centro

Nei processi di Governance, Risk & Compliance alla NIS2, la tecnologia è solo un mezzo; le persone sono la chiave del successo.

Quasi nessuna azienda oggi ha al suo interno un team con le competenze necessarie per portare avanti un percorso di questo tipo. Ciò significa, per molti, trovarsi a lavorare con consulenti esterni – esperti di queste materie ma inesperti per tutto ciò che riguarda la specifica realtà aziendale. Si verrà così a creare un contesto in cui da una parte ci saranno i dipendenti, esperti della propria azienda, e dall’altra i consulenti, esperti di cybersicurezza e NIS2. Entrambi i gruppi dovranno conoscersi nel tempo e trovare un modo per lavorare insieme, tenendo in considerazione i reciproci punti di forza e debolezze.

L’approccio umano-centrico è un elemento nevralgico per la buona riuscita di qualsiasi progetto di Governance, Risk & Compliance che richieda l’intervento di consulenti esterni. Senza questo, ogni speranza di implementare correttamente un sistema capace di sostenere il carico della NIS2 rischia di esser vana. L’approccio umano-centrico richiede un coinvolgimento attivo e una cooperazione tra le varie componenti aziendali e i consulenti, in particolare per alcuni aspetti fondamentali:

• Collaborazione e coinvolgimento attivo: La cybersecurity non dovrebbe essere una realtà distante dai dipendenti. Sedersi attorno a un tavolo di discussione, coinvolgendo i consulenti e il personale operativo, è essenziale per immaginare insieme e poi adattare le misure di sicurezza alla realtà specifica dell’azienda. Comprendere le sfide quotidiane dei dipendenti e trovare insieme soluzioni pratiche rende l’implementazione della sicurezza informatica più fluida e sostenibile nel corso del tempo. Le riunioni di lavoro sulla NIS2 dovrebbero coinvolgere in prima persona i dipendenti che conoscono a fondo i processi aziendali, soprattutto se riguardano le persone, come le risorse umane. La NIS2 richiede un approccio incentrato sul rischio: la conoscenza dell’azienda e la capacità di pianificare scenari realistici sono fondamentali, e ciò richiede una collaborazione tra i vari team aziendali e i consulenti chiamati a portare in azienda la loro competenza.
• L’Umano come catalizzatore del cambiamento: La collaborazione tra persone con competenze diverse, dai tecnici agli operatori sul campo, è la vera forza trainante di un progetto di sicurezza ben riuscito. In questo modo, le persone diventano catalizzatori del cambiamento, contribuendo attivamente alla costruzione di una cultura della sicurezza. Ognuno fa la sua parte, per ciò che gli compete e soprattutto per ciò che gli interessa. Pensare che la sicurezza sia qualcosa da relegare ai tecnici è sbagliato e dannoso: nessuno è escluso, e tutti possono essere “campioni” aziendali per rendere l’azienda un luogo (fisico e digitale) meno pericoloso per tutti, proprio come accade per la sicurezza sul lavoro.

Formazione continua come accrescimento reciproco

La formazione, certamente un punto centrale di ogni progetto di cybersicurezza, deve essere intesa come un processo di apprendimento bidirezionale, dove il consulente apprende le dinamiche dell’azienda e il personale acquisisce competenze di sicurezza. Questo scambio permette di adattare la formazione alle reali esigenze operative. Invece di limitarsi a sessioni di formazione frontali e unidirezionali (che rimangono comunque utili), un approccio umano-centrico potrebbe essere quello di optare per workshop pratici e discussioni interattive che incoraggino i partecipanti a condividere esperienze e idee.

Questa formazione più partecipativa e inclusiva può aiutare a creare un ambiente di apprendimento più dinamico, in cui ogni dipendente può contribuire con la propria esperienza lavorativa e comprendere meglio le necessità di sicurezza. Così facendo, ognuno si sentirà emancipato e più responsabilizzato nel portare avanti il proprio pezzettino di cyber-igiene. La partecipazione proattiva potrà anche determinare il successo o l’insuccesso di azioni di gestione delle crisi in caso di incidente di sicurezza: avere personale formato e pronto ad agire in caso di incidente può fare la differenza tra un disastro informatico e una pronta risoluzione del problema (anche nel caso in cui il problema sia risolto grazie a consulenze esterne).

ISO 27001 e l’importanza della Leadership

Un parallelo interessante con questo approccio umano-centrico può essere tracciato con la ISO 27001, uno standard di gestione della sicurezza delle informazioni che sottolinea l’importanza del coinvolgimento attivo della leadership. Così come nella NIS2, la ISO 27001 richiede che la Leadership aziendale si impegni proattivamente a supportare la gestione della sicurezza delle informazioni, definendo le priorità e le risorse necessarie. Questo coinvolgimento permette di creare una cultura aziendale in cui la sicurezza non è percepita come un onere o come una semplice voce di spesa, ma come parte integrante del modo di lavorare.

La formazione non deve essere solo un obbligo da rispettare, ma un’occasione di crescita personale e professionale. Capire come le persone lavorano, interagiscono e percepiscono la sicurezza informatica è la chiave per una formazione efficace e coinvolgente. Anche la Leadership aziendale dovrebbe partecipare ai momenti di formazione, ed anzi dare il buon esempio.

Inoltre, come già menzionato, ogni azienda è unica e ha bisogno di soluzioni di Governance, Risk & Compliance che siano adatte alle proprie esigenze specifiche. Un approccio umano-centrico governato da una Leadership presente e proattiva permette di sviluppare politiche di sicurezza su misura, che tengano conto delle risorse, delle competenze e delle esigenze dell’organizzazione. È fondamentale in questo senso riuscire a creare un canale di comunicazione aperto e continuativo tra tutti i livelli aziendali e tra Leadership e consulenti esterni, cosicché ognuno possa dare il proprio contributo attivo alla buona riuscita del progetto.

Conclusione

La Direttiva NIS2 e la ISO 27001 rappresentano linee guida essenziali per la gestione della sicurezza informatica, ma la loro implementazione non può essere efficace senza il coinvolgimento delle persone.

In definitiva, è il fattore umano a fare la differenza. Troppe volte progetti ambiziosi e ben fatti sulla carta rimangono lettera morta a causa del poco coinvolgimento delle persone, o della scarsa connessione tra consulenti e Leadership aziendale. Migliorare la cybersecurity in azienda, e rispettare gli stringenti standard qualitativi di leggi come la NIS2, richiede certamente un approccio umano-centrico. Solo così si potrà costruire una base solida per un sistema di governance della cybersicurezza sostenibile ed efficace.

L'articolo L’approccio umano-centrico alla NIS2 proviene da Netpatrol.

Minacce in rapida evoluzione

L’agenzia ENISA ha individuato sette tipologie principali di minacce che hanno dominato il panorama tra il 2023 e il 2024:

• Ransomware
• Malware
• Ingegneria sociale
• Minacce ai dati
• Attacchi Denial of Service (DDoS)
• Manipolazione delle informazioni
• Attacchi alla supply chain

Per ogni azienda che si affida alla tecnologia e gestisce dati sensibili, conoscere queste minacce è cruciale per prendere decisioni informate in materia di sicurezza. Le tensioni geopolitiche hanno aggravato la situazione, con un aumento degli attacchi informatici legati a conflitti regionali e attività di hacktivismo. Gli attacchi non solo sono aumentati in termini di volume, ma anche in sofisticazione, con una crescente attenzione agli attacchi che puntano alle infrastrutture digitali e alla continuità operativa delle organizzazioni.

Analisi delle principali minacce alla sicurezza aziendale nel 2024

1. Ransomware: una minaccia persistente

Il ransomware continua a essere una delle minacce più critiche per le aziende. Nel 2024, questa tipologia di attacco è stata segnalata come la più comune e devastante. Gli attaccanti prendono in ostaggio dati critici o sistemi aziendali e richiedono un riscatto per ripristinarne l’accesso. Tuttavia, non si tratta solo di una questione economica: il ransomware compromette anche la fiducia dei clienti e la reputazione aziendale.

Le tecniche di estorsione multiple stanno diventando una norma, con gli aggressori che minacciano non solo di bloccare l’accesso ai dati, ma anche di divulgarli pubblicamente se il riscatto non viene pagato. Questa doppia estorsione può mettere le aziende di fronte a una scelta devastante: pagare o rischiare gravi danni alla loro immagine.

2. Malware: una costante minaccia alla sicurezza dei dati

Il malware rimane una minaccia significativa, spesso utilizzato come punto di ingresso per attacchi più complessi. L’evoluzione del Malware-as-a-Service (MaaS) permette anche a criminali meno esperti di lanciare attacchi sofisticati, rendendo il malware una minaccia ancora più diffusa. Questo fenomeno ha visto un aumento particolare nei malware utilizzati per raccogliere informazioni sensibili, come credenziali e dati aziendali critici.

Le aziende devono prestare particolare attenzione ai loro sistemi di difesa, assicurandosi che siano aggiornati e capaci di rilevare anche le minacce più recenti.

3. Ingegneria sociale: l’anello debole è l’utente

Uno degli strumenti più utilizzati dagli attaccanti è l’ingegneria sociale, che sfrutta la componente umana per indurre errori e violare sistemi altrimenti ben protetti. Le tecniche come il phishing, lo spear-phishing e il vishing (attacchi via telefono) continuano a ingannare i dipendenti, portandoli a rivelare informazioni riservate o a compiere azioni che compromettono la sicurezza dell’azienda.

La crescente sofisticazione di queste tecniche le rende sempre più difficili da rilevare, specialmente perché gli attacchi utilizzano spesso piattaforme di comunicazione legittime come Slack, Telegram o email aziendali.

4. Minacce ai dati: tra violazioni e fughe di informazioni

Le violazioni dei dati (data breach) rappresentano una delle maggiori preoccupazioni per le aziende. Nel 2024, l’ENISA segnala un aumento delle violazioni dovute a errori umani, configurazioni errate e attacchi mirati. La distinzione tra data breach (violazione deliberata) e data leak (fuga accidentale) è fondamentale per capire la natura del rischio.

Le aziende che gestiscono grandi quantità di dati personali o sensibili devono rafforzare i loro sistemi di protezione e assicurarsi che le misure di prevenzione siano allineate alle normative vigenti, come il GDPR.

5. Attacchi DDoS: minaccia alla continuità operativa

Gli attacchi Denial of Service (DDoS) sono diventati un metodo sempre più comune per interrompere la disponibilità di servizi critici. Nel 2024, ENISA segnala che gli attacchi DDoS continuano a crescere in termini di volume e intensità, sfruttando servizi di DDoS-for-Hire che consentono a chiunque di lanciare attacchi su larga scala.

Per le aziende che fanno affidamento su infrastrutture digitali per la loro operatività quotidiana, questi attacchi rappresentano un rischio significativo. Le interruzioni prolungate possono avere conseguenze devastanti sia in termini di produttività che di reputazione.

L’importanza della protezione proattiva

Il rapporto ENISA 2024 sottolinea l’importanza di adottare un approccio proattivo alla cybersecurity. Le aziende non possono più permettersi di reagire solo a posteriori agli attacchi. Devono invece implementare strategie preventive, investire in tecnologie di rilevamento avanzato e formare costantemente i propri dipendenti.

Alcune misure chiave che ogni manager dovrebbe considerare includono:

• Governance della cybersicurezza: Una gestione accurata dell’organizzazione interna, sia dal punto organizzativo che tecnologico, è il punto di partenza per fare chiarezza e assicurare un buon livello di cyber-igiene e mitigazione dei rischi.
• Monitoraggio continuo delle minacce: L’adozione di soluzioni di monitoraggio in tempo reale è essenziale per individuare anomalie nel traffico di rete e nei comportamenti degli utenti.
• Aggiornamenti e patching: È fondamentale mantenere aggiornati tutti i sistemi e applicare tempestivamente le patch di sicurezza, specialmente per le vulnerabilità note sfruttate dagli attaccanti.
• Backup regolari e test di ripristino: Nel contesto di attacchi ransomware e DDoS, avere un sistema di backup affidabile e testato regolarmente può fare la differenza tra una ripresa rapida e una crisi aziendale prolungata.
• Formazione del personale: Gli attacchi di ingegneria sociale si basano su errori umani. La formazione costante e la sensibilizzazione dei dipendenti su come riconoscere minacce come phishing e spear-phishing sono essenziali.

La supply chain come bersaglio

Un altro aspetto critico evidenziato nel rapporto ENISA è la crescente vulnerabilità della supply chain. Gli attacchi alla supply chain, in cui gli attori malevoli sfruttano le vulnerabilità dei fornitori o dei partner, sono in aumento. Questo tipo di attacco è particolarmente insidioso perché anche se un’azienda ha implementato misure di sicurezza rigorose, può essere compromessa attraverso terze parti con livelli di sicurezza inferiori.

I manager devono adottare un approccio collaborativo alla sicurezza informatica, garantendo che tutti i fornitori e partner con cui collaborano rispettino gli stessi standard di sicurezza, ad esempio richiedendo certificazioni di sicurezza come la ISO 27001.

Conclusioni

Il rapporto ENISA Threat Landscape 2024 offre un quadro chiaro e allarmante delle minacce a cui le aziende sono esposte oggi. Per i manager aziendali, la chiave per affrontare queste sfide risiede nell’adozione di un approccio proattivo e nell’investimento in soluzioni di cybersecurity avanzate.

Affidarsi a un partner di consulenza specializzato può fare la differenza, garantendo che l’azienda sia preparata a fronteggiare le minacce attuali e future, proteggendo così non solo i dati, ma anche la reputazione e la continuità operativa. Il Rapporto ENISA 2024 ci ricorda che la prevenzione è la miglior difesa.

L'articolo Il panorama delle minacce cybersecurity nel 2024 secondo il Rapporto ENISA: cosa c’è da sapere proviene da Netpatrol.

Nuova Funzionalità: segnalazioni telefoniche

Una delle più recenti e interessanti novità di Acara è l’implementazione di un canale telefonico dedicato per le segnalazioni. Gli utenti ora hanno la possibilità di effettuare segnalazioni vocali tramite un numero di telefono specifico. Questo rende la piattaforma ancora più accessibile, soprattutto per coloro che preferiscono o necessitano di un contatto telefonico anziché utilizzare i canali online.

Sicurezza e Riservatezza al primo posto

La caratteristica che distingue questa nuova funzione è che le segnalazioni audio vengono automaticamente cifrate e archiviate all’interno della piattaforma, garantendo la massima sicurezza e riservatezza. Le segnalazioni telefoniche vengono trattate con lo stesso rigore e protezione delle segnalazioni inviate tramite web, assicurando che ogni comunicazione rimanga protetta da eventuali intercettazioni o accessi non autorizzati durante tutto il ciclo di vita dell’informazione.

Integrazione perfetta tra canali di segnalazione

Un altro punto di forza di Acara è la sua capacità di integrare perfettamente i diversi canali di comunicazione. Con l’aggiunta delle segnalazioni telefoniche, gli utenti possono scegliere il metodo più adatto alle loro esigenze, che sia un modulo web o una chiamata vocale, con la certezza che tutti i canali offrono lo stesso livello di protezione e privacy.

Versatilità e Adattamento

Questo aggiornamento rafforza ulteriormente la posizione di Acara come leader nella gestione del whistleblowing. Grazie alla sua crescente flessibilità e alla continua espansione delle funzionalità, Acara si adatta perfettamente alle esigenze di aziende di ogni settore, garantendo un processo sicuro e conforme alle normative vigenti in materia di segnalazioni.

Conclusioni

Con Acara, Net Patrol Italia dimostra un impegno costante verso l’innovazione, offrendo un sistema che non solo risponde alle necessità attuali, ma si evolve per soddisfare le future sfide nel campo della sicurezza e della gestione delle segnalazioni. Grazie alla recente implementazione delle segnalazioni telefoniche, Acara si posiziona come una delle soluzioni più complete e sicure sul mercato.

Restate aggiornati per ulteriori sviluppi e novità che continueranno a migliorare l’esperienza di utilizzo della piattaforma.

L'articolo Acara continua a crescere: nuove funzionalità per le segnalazioni telefoniche proviene da Netpatrol.

Ecco allora che ci siamo messi al lavoro insieme all’illustratrice Marta Peressini per creare uno strumento di comunicazione diverso e più interessante. Il risultato, è un bel fumetto che spiega nel dettaglio il modo in cui sono trattati i dati dell’utente!

Leggi qui l’informativa completa!

L'articolo Una privacy policy diversa proviene da Netpatrol.

La necessità di un piano di Disaster Recovery

Un incidente, sia esso causato da errori umani, guasti hardware, attacchi cibernetici o calamità naturali, può avere conseguenze devastanti sulle aziende – sia di servizi che produttive. La perdita di dati o di sistemi critici non solo interrompe il lavoro quotidiano, ma può anche avere implicazioni finanziarie significative, oltre che danneggiare la reputazione di un’azienda.

Un piano di Disaster Recovery mira a preparare l’organizzazione a rispondere efficacemente a tali eventi, minimizzando l’impatto e creando i presupposti per ripristinare rapidamente le normali attività.

L’importanza di avere un piano di risposta agli incidenti (Incident Response)

Parallelamente, avere un piano di Incident Response significa essere in grado di identificare prontamente un incidente, essere capaci di valutarne l’estensione e le implicazioni, nonché riuscire a risolvere le problematiche nel miglior modo possibile e nel minor tempo possibile. In un’epoca in cui anche solo un attacco di phishing portato a segno (ad esempio con un’infezione ransomware) può causare danni estremamente pervasivi e gravi, avere una strategia di Incident Response è fondamentale.

Con un piano di Incident Response è possibile gestire diversi tipi di incidenti di sicurezza, quali malware, sicurezza delle e-mail, sicurezza delle reti, sicurezza delle applicazioni web, sicurezza del cloud, e incidenti legati alle minacce interne (es. dipendenti o ex-dipendenti).

Un piano Incident Response efficace non solo aiuta a mitigare il danno causato da un attacco informatico, ma contribuisce anche a prevenirne la ricorrenza, attraverso l’analisi post-incidente. Inoltre, un piano di Incident Response può essere una misura di mitigazione valutata favorevolmente dalle autorità in caso di violazione di dati personali.

Componenti chiave di DR e IR

I piani di Disaster Recovery e Incident Response dovrebbero includere:

• Valutazione dei rischi: Identificazione dei sistemi e dati critici per l’azienda, delle minacce potenziali e valutazione dell’impatto sulle operazioni aziendali.
• Strategie di recupero: Definizione delle procedure per il ripristino dei sistemi critici e dei dati perduti in modo tempestivo.
• Comunicazione: Un piano di comunicazione per informare le parti interessate, inclusi dipendenti, clienti e partner, durante e dopo un incidente di sicurezza.
• Formazione e consapevolezza: Formazione regolare dei dipendenti sulle migliori pratiche di sicurezza e simulazioni di incidenti per prepararsi a rispondere in modo efficace.
• Revisione e aggiornamento continui: I piani di DR e IR devono essere periodicamente rivisti e aggiornati per riflettere i cambiamenti nell’ambiente tecnologico e nelle minacce alla sicurezza.

Benefici di un piano DR e IR ben strutturato

Investire in un piano di Disaster Recovery e Incident Response ben concepito offre numerosi vantaggi:

• Continuità aziendale: Garantisce che le operazioni aziendali possano proseguire con il minimo disagio in caso di disastro.
• Riduzione del downtime: Minimizza il tempo di inattività, limitando le perdite finanziarie e preservando la reputazione aziendale.
• Conformità normativa: Aiuta a soddisfare gli obblighi legali e normativi relativi alla protezione dei dati.
• Pace della mente: Fornisce tranquillità sapendo che l’azienda è preparata ad affrontare disastri e incidenti di sicurezza.

Oltre la pianificazione

Pianificare è fondamentale, ma sono necessarie anche le competenze. Per questo, assistiamo i nostri clienti anche in fase di incidente grazie a competenze specialistiche e personale certificato EC-Council Incident Handler. Non ignorare l’importanza di avere un piano di Disaster Recovery e Incident Response, ne va del successo a lungo termine della tua azienda. Contattaci e parliamone insieme!

L'articolo Disaster Recovery e Incident Response: vivi bene la sicurezza proviene da Netpatrol.

La Direttiva NIS 2 è entrata in vigore a gennaio 2023, e gli Stati Membri avranno tempo fino al 17 ottobre 2024 per recepire le sue disposizioni nel diritto nazionale. Infatti, contrariamente ai Regolamenti (come il GDPR), la Direttiva ha bisogno di essere ratificata e recepita dagli Stati.

Un Rimedio ai Limiti della Precedente Direttiva

Lo scopo della Direttiva NIS 2 è superare i limiti della precedente, ampliando di molto l’ambito di applicazione.

La Direttiva NIS (Network and Information Security) originale, sebbene pionieristica, ha mostrato ben presto i suoi limiti, in particolare riguardo alla portata e all’efficacia dell’esperimento normativo. La NIS 2 cerca quindi di porre rimedio a queste lacune, estendendo l’ambito di applicazione a un numero maggiore di settori e imponendo requisiti più severi e dettagliati per garantire la sicurezza delle informazioni, delle reti e dei sistemi.

La NIS 2 si applicherà a tutti i settori della precedente NIS (Energia, Salute, Acquedotti, Infrastrutture digitali, Settore finanziario e bancario, Trasporti) più i seguenti:

Un Approccio Basato sul Multirischio

La novità più significativa introdotta dalla Direttiva NIS 2 risiede nel suo approccio basato sul multirischio, come delineato nell’Articolo 21. Questo approccio richiede che i soggetti a cui si applica la direttiva adottino misure tecniche, operative e organizzative adeguate e proporzionate per gestire i rischi per la sicurezza dei sistemi e delle reti informatiche. Inoltre, devono essere preparati a prevenire o ridurre al minimo l’impatto degli incidenti, non solo per i destinatari dei loro servizi ma anche per l’intero ecosistema digitale in cui operano.

Le Misure di Governance della Cybersicurezza

Le disposizioni della Direttiva NIS 2 delineano un ampio spettro di misure di governance della cybersicurezza, che comprendono:

• Politiche di analisi dei rischi e di sicurezza dei sistemi informatici: un impegno continuo nell’identificazione, valutazione e trattamento dei rischi per la sicurezza.
• Politiche di gestione degli incidenti: procedure chiare e efficaci per rilevare, rispondere e recuperare da incidenti di sicurezza.
• Continuità operativa: strategie per assicurare che le operazioni critiche possano continuare o essere ripristinate rapidamente in caso di interruzioni maggiori, incluso il backup dei dati, il disaster recovery e il crisis management.
• Sicurezza della catena di approvvigionamento: misure per garantire che i partner e i fornitori rispettino standard di sicurezza adeguati.
• Sicurezza nell’acquisizione, sviluppo e manutenzione dei sistemi ICT e di rete: enfasi sulla sicurezza fin dalle prime fasi dello sviluppo dei sistemi e durante tutto il loro ciclo di vita.
• Valutazione dell’efficacia delle misure di mitigazione: strategie e procedure per testare e valutare l’efficacia delle misure di sicurezza adottate.
• Pratiche di igiene informatica di base e formazione in materia di cybersicurezza: programmi di formazione e consapevolezza per i dipendenti su pratiche di sicurezza essenziali.
• Politiche e procedure per l’uso di crittografia: l’adozione di standard crittografici forti per proteggere dati sensibili e comunicazioni.
• Sicurezza delle risorse umane e strategie di controllo degli accessi: misure per assicurare che solo il personale autorizzato possa accedere a informazioni critiche.
• Uso di soluzioni di autenticazione multifattore o di autenticazione continua: l’implementazione di metodi di autenticazione robusti per mitigare il rischio di accessi non autorizzati.

Metti in primo piano la sicurezza

Per le realtà a cui si rivolge la NIS 2, e per i loro fornitori, l’adeguamento a questa nuova realtà non è solo un obbligo legale ma un’opportunità per rafforzare la propria postura di sicurezza in un mondo sempre più interconnesso e dipendente dalle tecnologie digitali.

Contattaci oggi per avere al tuo fianco una squadra di esperti di cybersecurity che può sostenerti sia nella cura della governance che in attività di formazione e analisi tecnica delle vulnerabilità dei sistemi.

L'articolo La Direttiva NIS 2: le novità per la aziende dell’Unione Europea proviene da Netpatrol.

Uno dei rischi maggiori per la sicurezza delle informazioni aziendali proviene dalle campagne di phishing, un tipo di attacco informatico che utilizza email ingannevoli per indurre i dipendenti a rivelare informazioni sensibili. Studi recenti hanno evidenziato una statistica allarmante: circa il 20% dei dipendenti nelle aziende cade vittima di queste trappole, mettendo in serio pericolo sia i dati che il patrimonio dell’azienda.

La soluzione? Un percorso formativo specifico e mirato attraverso il nostro servizio Phishing & Training.

Riconoscere gli attacchi di phishing

Il phishing si basa sull’inganno. Gli aggressori spesso inviano email che sembrano provenire da fonti affidabili, come banche, fornitori di servizi o perfino colleghi e amministratori delegati.

Queste email possono contenere link dannosi, file infetti o truffe per convincere i dipendenti a comunicare dati sensibili, come le loro password ai sistemi aziendali. Il nostro servizio di Phishing & Training è progettato per insegnare ai tuoi dipendenti come riconoscere e reagire a questi tentativi di phishing.

Formazione phishing continua e analisi dell’apprendimento

La formazione non è un evento una tantum, ma un processo continuo. Con il nostro programma di Phishing & Training, progettiamo simulazioni periodiche di phishing, accompagnate da training specifico, per mantenere elevata la consapevolezza dei tuoi dipendenti. Questo approccio non solo migliora le competenze individuali, ma rinforza anche la cultura della sicurezza all’interno dell’azienda.

Personalizzazione del training

Ogni azienda ha le sue specificità e pertanto il nostro servizio di Phishing & Training è altamente personalizzabile. Sviluppiamo scenari e simulazioni di phishing in base alle particolarità del tuo settore, dei sistemi usati dalla tua azienda e anche in base alle abitudini lavorative dei tuoi dipendenti. Così possiamo garantire un’esperienza di apprendimento coinvolgente e diretta.

Perché scegliere il nostro Servizio Phishing & Training

La formazione aiuta, ma fino a un certo punto. Gli attacchi di phishing hanno successo perché i dipendenti non sono abituati ad averci a che fare. Quale modo migliore per aiutarli, se non con vere e proprie simulazioni?

Con il nostro servizio Phishing & Training avrai:

1. Training pratico: aiuta i tuoi dipendenti a riconoscere attacchi subdoli e pericolosi, con vere simulazioni di phishing che cercheranno in tutti i modi di coglierli in fallo.
2. Analisi dell’apprendimento: Verificare nel corso del tempo la capacità di identificare i tentativi di phishing, grazie all’analisi dei dati delle campagne di phishing.
3. Formazione proattiva: aiuta chi è in difficoltà con corsi di formazione mirati on-demand pensati appositamente per loro.
4. Cultura aziendale: migliora la sensibilità sulla sicurezza, incentivando i dipendenti a mantenere sempre alta l’attenzione contro le minacce digitali.

Non lasciare che il phishing diventi una minaccia per la tua azienda. Contattaci oggi per iniziare un percorso di formazione phishing che faccia al caso tuo!

L'articolo Campagne Phishing e Training: proteggi il tuo patrimonio aziendale proviene da Netpatrol.

Ma quali sono le novità introdotte con il D.Lgs. 24/2023? Rivediamole insieme.

Ricordiamo, innanzitutto, che il D.Lgs. 24/2023 recepisce la direttiva europea 2019/1937, la quale ha come obiettivo il rafforzamento delle tutele riconosciute ai c.d. whistleblowers, ossia i soggetti che segnalano gli illeciti di cui vengono a conoscenza nel contesto lavorativo.

Prima importante novità del decreto 24/2023 è sicuramente il campo di applicazione: la normativa, infatti, non si applica più solamente al settore pubblico, ma anche a quello privato, coinvolgendo tutte quelle aziende che hanno impiegato, nel corso dell’ultimo anno, una media di almeno 50 lavoratori subordinati o, anche al di sotto di tale soglia, qualora svolgano attività in determinati settori (ad esempio nei settori dei servizi, prodotti e mercati finanziari o prevenzione del riciclaggio) o abbiano adottato un modello di organizzazione e gestione di cui al d.lgs. 231/2001. È quindi evidente come la normativa interessi gran parte delle aziende.

L’altra importante novità riguarda l’obbligo, posto in capo a tali soggetti, di attivare un canale di segnalazione che garantisca la riservatezza dell’identità del segnalante, della persona coinvolta o menzionata nella segnalazione, del contenuto della segnalazione e della relativa documentazione. La gestione di tale canale di segnalazione interno può essere affidata ad un soggetto o ufficio interno, nonché ad un soggetto esterno, i quali devono garantire tutta una serie di attività, tra cui:

• Rilasciare al segnalante l’avviso di ricevimento della segnalazione entro sette giorni dalla ricezione,
• Mantenere le interlocuzioni con il segnalante, richiedendo, laddove necessario, eventuali integrazioni;
• Dare diligente seguito alle segnalazioni;
• Fornire riscontro alle segnalazioni entro tre mesi dall’avviso di ricevimento o, in mancanza, entro tre mesi dalla scadenza del termine di sette giorni dalla presentazione della segnalazione;
• Mettere a disposizione informazioni chiare sul canale, sulle procedure e sui presupposti per effettuare le segnalazioni interne, nonché per quelle esterne.

Infatti, è ammessa la possibilità di rivolgersi direttamente all’ANAC (attraverso una segnalazione, appunto, esterna) quando:

1. L’azienda non ha attivato alcun canale di segnalazione interno – a prescindere dal fatto che esso sia obbligatorio o meno – o quando il suddetto canale non è conforme;
2. Quando la segnalazione non ha avuto seguito;
3. Quando il segnalante ha fondati motivi di ritenere che alla segnalazione interna non sarebbe dato efficace seguito o dalla stessa potrebbe derivare un rischio di ritorsione;
4. Quando il segnalante ha fondato motivo di ritenere che la violazione possa costituire un pericolo di imminente o palese per il pubblico interesse.

Infine, il segnalante potrà anche decidere di effettuare una divulgazione pubblica, sempre al ricorrere di determinate condizioni (ad esempio quando non viene dato riscontro alla segnalazione esterna).

Il D.Lgs. 24/2023 prevede un obbligo di riservatezza in capo ai soggetti che ricevono le segnalazioni: queste ultime, infatti, non possono essere utilizzate oltre quanto necessario a dare un adeguato seguito alle stesse e, non solo l’identità del segnalante ma anche tutte quelle informazioni da cui possa in qualche modo desumersi tale identità, non possono essere rivelate, a meno che non vi sia un consenso espresso del segnalante, essendo inoltre sottratte anche all’accesso agli atti amministrativi e al diritto di accesso civico generalizzato. Allo stesso modo, l’identità delle persone coinvolte è soggetta al medesimo obbligo di riservatezza fino a conclusione del procedimento.

È la normativa stessa che poi sottolinea la profonda interconnessione tra la disciplina del whistleblowing e la normativa in materia di protezione dei dati personali. È infatti evidente che se, da un lato, è fondamentale tutelare la riservatezza del segnalante, altrettanto vale per le informazioni aziendali che potrebbero essere ricomprese nelle segnalazioni. Ecco che allora sarà onere dell’azienda dotarsi di un canale di segnalazione in grado di garantire tali aspetti, utilizzando misure tecniche ed organizzative tali da assicurare un livello di sicurezza adeguato. Ma non solo. La norma richiede infatti che i rischi derivanti dal trattamento siano sottoposti a valutazione d’impatto e che siano disciplinati i rapporti con eventuali fornitori esterni, sottoscrivendo quindi le eventuali nomine a responsabile del trattamento.

Il decreto si occupa anche di definire i termini di conservazione delle segnalazioni e relativa documentazione, prevedendo che le stesse debbano essere conservate per il tempo necessario alla gestione della segnalazione, e comunque non oltre 5 anni dalla data di comunicazione dell’esito finale della procedura.

Il canale di segnalazione prescelto dalle aziende dovrà quindi combinare tutti questi aspetti, dimostrando così di essere compliant sia alla normativa di settore che al GDPR. È proprio per venire in contro a tali esigenze che Net Patrol ha sviluppato ACARA, piattaforma di whistleblowing pensata appositamente per una gestione delle segnalazioni tale da soddisfare tutte le normative in gioco.

ACARA ti permette infatti di trattare le tue segnalazioni in sicurezza, garantendo la riservatezza del segnalante e delle informazioni.

L'articolo E tu, sei in regola con la nuova normativa sul whistleblowing? proviene da Netpatrol.