Cybersecurity nel settore legale: presentate le Linee Guida dell’IBA

lunedì 15 ottobre, 2018
Mattia Castellano

In occasione della prima conferenza annuale dell’IBA in Italia, sono state presentate a Roma le Linee Guida per la Cybersecurity.

Nel documento si afferma che «La minaccia di attacchi cyber su vasta scala contro gli studi legali è un rischio reale», segnalando come le law firm siano nel mirino degli attacchi a causa dell’alto valore commerciale delle informazioni trattate e una diffusa scarsa attenzione ai rischi di natura cyber.

Le linee guida, rilevanti sia per i singoli professionisti che per aziende di grandi dimensioni, si articolano in tre aree: tecnologia, processi organizzativi e formazione del personale. Ogni area contiene più controlli: per ciascuno di essi è indicata una preferenza sulla esistenza o meno della contromisura (O = opzionale, A = suggerito, D= desiderato, E = aspettato) in funzione della grandezza dell’organizzazione.

Tecnologia

Similarmente ai più comuni framework di Cybersecurity, l’IBA suggerisce delle contromisure tecniche, tra le quali: tenere aggiornati i sistemi software; implementare sistemi di protezione specifici per computer e mobile; utilizzare connessioni internet sicure; implementare meccanismi di protezione a livello web e le mail; cifrare i dati e i dispositivi sui quali transitano o permangono; assicurarsi che i provider di servizi cloud adottino le best practices di sicurezza informatica; assicuraresi una corretta gestione del controllo degli accessi; segmentare la rete; monitorare e verificare i log; implementare meccanismi di whitelisting/blacklisting; assicurarsi che i dispositivi mobili e/o removibili siano protetti con strumenti anti-malware;

Processi organizzativi

Come ricorda l’IBA, la maggioranza degli attacchi cyber riesce ad andare a segno a causa di un errore umano. La cybersecurtity dovrebbe essere supportata da «una chiara struttura di governance, che sia attivamente sostenuta dai partner e dai senior manager». Le linee guida suggeriscono di definire e implementare l’utilizzo di credenziali forti (ad esempio l’autenticazione a due fattori); definire ruoli e responsabilità; identificare e classificare i dati sensibili o particolari; condurre delle valutazioni periodiche di rischio cyber (inclusi Vulnerability Assessment e Penetration Test); definire e implementare delle policy di cybersecurity; definire, implementare e testare dei piani di Business Continuity e Disaster Recovery; assicurare la conformità aziendale agli obblighi di legge; assicurare una corretta gestione dei rischi dei sistemi in outsourcing totale o parziale; condurre attività di sensibilizzazione, formazione e valutazione del personale sulle tematiche di sicurezza delle informazioni; valutare la stipula di assicurazioni per proteggersi dai rischi di natura cyber; contribuire alla condivisione di conoscenza Cyber, mediante iniziative come quella avviata in UK Cyber Security Information Sharing Partnership (CiSP).

Formazione

Le persone, a causa della scarsa familiarità con le tematiche di cybersecurity, sono l’anello debole del meccanismo. «È determinante che lo staff comprenda quali sono le forme più comuni di attacco e riceva formazione su come gestirle», ricorda l’IBA La formazione dovrebbe coprire i temi della cybersecurity spiegandone i principi e l’importanza, esemplificando le minacce più comuni (malware, ransomware, email di phishing, DoS, furto d’identità, exploit zero-day, …) e gli accorgimenti più efficaci (non cliccare su link dalla fonte dubbia, non utilizzare reti Wi-Fi pubbliche, …).