Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

Sicurezza informatica, cioé disponibilità, integrità e riservatezza dei dati

pittogramma Zerouno

Metodologie

Sicurezza informatica, cioé disponibilità, integrità e riservatezza dei dati

21 Mar 2018

di Redazione

Protezione dei dati e sicurezza informatica aziendale: dopo una breve introduzione sulla situazione della sicurezza IT in Italia e nel mondo, ecco quali sono le attività fondamentali da compiere, oltre alle metodologie e tecniche da utilizzare perché un’impresa possa proteggere il proprio patrimonio di informazioni


Indice degli argomenti

Premesso che una sicurezza aziendale totale, garantita al 100%, è un’utopia, è comunque sempre bene ricordare che non esiste protezione senza una “politica della security”, intesa come disegno strategico tale da definire, organizzare la riservatezza e integrità informatica e gestire tutti gli aspetti a essa collegati, da quelli tecnici a quelli di management e di business, incluse la confidenzialità e disponibilità dei dati.

Ciò significa che non è pensabile, per un’impresa che voglia proteggere i propri asset, guardare alla sicurezza informatica come un’attività “one time” ma come un insieme di attività che tenga conto, per esempio, di azioni quali l’identificazione delle aree critiche, la gestione dei rischi, dei sistemi e della rete, delle vulnerabilità e degli incidenti, il controllo degli accessi, la gestione della privacy e della compliance, la valutazione dei danni eccetera.

La definizione di sicurezza informatica, prima di tutto, deve far rima con disponibilità e integrità dei dati e riservatezza, oltre che delle informazioni, degli accessi.

Qui di seguito sono dunque esplicitati i tre aspetti che focalizzano l’attenzione sulla corretta e adeguata gestione della sicurezza.

  • Disponibilità dei dati, ossia salvaguardia del patrimonio informativo nella garanzia di accesso, usabilità e confidenzialità dei dati. Da un punto di vista di gestione della sicurezza significa ridurre a livelli accettabili i rischi connessi all’accesso alle informazioni (intrusioni, furto di dati, ecc.).
  • Integrità dei dati, intesa come garanzia che l’informazione non subisca modifiche o cancellazioni a seguito di errori o di azioni volontarie, ma anche a seguito di malfunzionamenti o danni dei sistemi tecnologici.
  • Riservatezza informatica cioè gestione della sicurezza in modo tale da mitigare i rischi connessi all’accesso o all’uso delle informazioni in forma non autorizzata

Il panorama della sicurezza informatica in Italia e nel mondo

A livello mondiale, il cybercrime è risultato la prima causa di attacchi gravi ai sistemi informatici nel 2017 (76% del totale) per un danno complessivo stimabile in 500 miliardi di dollari (figura 1). In particolare, sono cresciuti, secondo l’ultimo Rapporto Clusit, gli attacchi d’information warfare (+24%) e di spionaggio con finalità politiche, industriali e di proprietà intellettuale (+46%) mentre è in calo l’hacktivism (-50%) ossia gli attacchi sostenuti da finalità ideologiche. Rispetto allo scorso anno, si sono sperimentati più attacchi nei settori della ricerca/education (+29%), della vendita di software/hardware (+21%), del banking & Finance (+11%) e sanità (+10%). Meno bersagliati dello scorso anno i fornitori di servizi online e cloud (-47%), GDO/retail (-17%) e la pubblica amministrazione (-19%). Nel 2017 sono cresciuti enormemente (+353%) gli attacchi classificati come “multiple targets” ossia rivolti a bersagli casuali, senza limiti territoriali, portati avanti con grandi mezzi e logiche industriali. Clusit calcola che le sole attività truffaldine a danno dei privati cittadini – estorsioni, furti di denaro e di dati personali – abbiano colpito nel 2017 circa un miliardo di persone con un danno stimato in 180 miliardi di dollari.

Distribuzione degli attaccanti 2014-2017Fonte: Rapporto Clusit 2018

Analizzando i mezzi usati dai cybercriminali per portare avanti i loro attacchi, Clusit rileva la preferenza per soluzioni semplici e basso costo.

Il malware è risultata la principale tecnica di attacco del 2017, in crescita del 96% rispetto al 2016 e in linea con il trend registrato precedentemente (+116% tra 2015-2016). I malware vengono usati anche in associazione con altri attacchi (i multiple threat sono cresciuti del 6% nel 2017), seguiti dal phishing e social engineering (+34%). Il 20% dei malware è ormai dedicato ai sistemi mobili, con preferenza per la piattaforma Android (13% del totale) ma con presenza non trascurabile anche su Apple (4%).

Alcuni metodi classici di attacco risultano positivamente in calo: SQL injection (-80%), distributed denial-of-service (DDoS) (-67%), exploit di vulnerabilità note (-7%).

Per quanto riguarda l’Italia, nel Rapporto è stato sottolineato l’aumento dell’11% degli attacchi totali. Tra i malware in crescita nel 2017 ci sono stati i “miners”, software usati per generare criptovalute, come i bitcoin, sfruttando in modo parassitario la potenza delle macchine infettate.

Lo spyware Gozi copre oggi il 17% dei malware rilevati sulla rete italiana, seguito da Nivdort (16%) e ZeroAccess (8%) benché gli ultimi due siano noti rispettivamente dal 2007 e 2011.

Nel 2017 c’è stato l’ingresso di Mirai che trasforma i sistemi in botnet controllate da remoto, già usato per compiere alcuni dei maggiori attacchi di distributed denial-of-service del 2017.

Piccole imprese che usano centralini digitali non correttamente configurati stanno oggi sperimentando furti di traffico VOIP, e attacchi volti a generare traffico illecito verso numerazioni a tariffazione speciale.

Per avere un’idea della maturità delle aziende italiane rispetto a queste tematiche viene in aiuto il Barometro Cybersecurity 4.0, presentato da NetConsulting cube su un panel qualificato di 50 tra le imprese top nei settori delle telecomunicazioni, dell’energy/utilities, delle banche, dell’industria, delle assicurazioni, così come dei servizi/trasporti e della Gdo, nonché di alcuni enti locali della pubblica amministrazione.

È stato così possibile delineare il Cybersecurity 4.0 Maturity Model una mappa, cioè, dei posizionamenti attuali delle imprese intervistate, sia sul piano della governance che su quello tecnologico (figura 2). Emerge che il 16% delle grandi aziende risulta ancora in una situazione di rischio: non hanno un assetto organizzativo, né un modello di governance adeguato a gestire la sicurezza digitale sia al proprio interno sia all’esterno. E neppure dispongono al 100% di quelle tecnologie e di quegli strumenti che consentano di avere un approccio di tipo predittivo delle possibili minacce e non soltanto reattivo nei confronti degli attacchi in corso. C’è poi un terzo d’imprese che si sta attrezzando sul piano tecnologico, e anche velocemente, ma deve ancora progredire in fatto di governance: nel complesso, quindi, quasi la metà del campione si colloca ancora nelle due aree di minore maturità della matrice. Soprattutto per queste aziende, l’entrata in vigore del GDPR dovrebbe costituire una spinta molto forte: non solo per rafforzare le proprie difese per la protezione dei dati, in primis di quelli personali dei clienti e/o consumatori, ma anche per implementare complessivamente il modello organizzativo di gestione della cybersecurity.

Barometro cybersecurity Il Maturity Model delle organizzazioni intervistate
Il Maturity Model delle organizzazioni intervistateFonte: Net Consulting Cube

Sicurezza dei dati informatici, cosa fare per la protezione del patrimonio di informazioni

I dati sono uno dei beni più preziosi per ogni business: analizzati e gestiti in modo efficace, infatti, possono avere un impatto positivo su molti aspetti operativi, dal marketing alle vendite. Ecco perché mettere in atto puntuali strategie di protezione dei dati è fondamentale per il successo di ogni azienda.

Affidarsi al parere degli esperti può pertanto essere utile per capire con chiarezza da dove iniziare. Di seguito i (primi) sei passi fondamentali da compiere, soprattutto alla luce delle nuove direttive.

  1. Sapere quali sono i dati da proteggere (e dove sono). Capire di quali dati dispone la propria organizzazione, dove si trovano e chi ne è responsabile è fondamentale per la costruzione di una buona strategia di data protection.
  2. Formare i dipendenti. La privacy e la sicurezza dei dati sono una parte fondamentale del nuovo GDPR, quindi è fondamentale che il personale sia pienamente consapevole dell’importanza di questo processo. Statisticamente, infatti, gli esperti rilevano che i problemi di sicurezza IT più comuni e rovinosi sono proprio dovuti a errori umani. Ad esempio, la perdita o il furto di una chiavetta USB o di un portatile contenente informazioni sensibili relative all’attività aziendale potrebbe seriamente danneggiare la reputazione dell’organizzazione, o addirittura portare a severe sanzioni pecuniarie.
  3. Creare un elenco dei dipendenti che hanno accesso ai dati sensibili. Proprio perché l’errore umano è foriero di molti problemi relativi alla sicurezza dei dati, mantenere un controllo serrato su chi, tra i dipendenti, può accedere a quali informazioni è estremamente importante. Occorre ridurre al minimo i privilegi e concedere l’accesso solo ai dati di cui ogni risorsa ha effettivamente bisogno. Inoltre, l’inserimento di watermark (il marchio digitale che identifica l’autore di un file video, audio o di un’immagine, mediante un’invisibile trama di bit contenente le informazioni sul copyright, ndr) nei file può aiutare a prevenire il furto di dati da parte del personale e permette di identificare la fonte in caso di violazione. Questa pratica prevede l’aggiunta al database di record di rilevamento unici (i cosiddetti seed) che offrono la possibilità di monitorare il modo in cui i dati vengono utilizzati e tracciare il loro percorso, anche nel caso in cui vengano spostati al di fuori del controllo diretto dell’organizzazione.
  4. Effettuare un’analisi dei rischi. Gli esperti consigliano di effettuare regolari valutazioni del rischio per individuare eventuali potenziali pericoli per i dati dell’organizzazione. Con questa prassi dovrebbero essere esaminati tutti i tipi di minaccia identificabili (sia digitali che fisici): dalla violazione dei dati online, alle interruzioni di corrente. In questo modo è possibile identificare eventuali punti deboli nel sistema di sicurezza aziendale, stabilire le priorità e formulare quindi un preciso piano d’azione per evitare danni, riducendo così il rischio di dover poi far fronte a una violazione ben più costosa.
  5. Installare il software di protezione affidabili ed eseguire scansioni regolari. Una delle misure più importanti per la protezione dei dati è anche una delle più semplici. Con un buon sistema di prevenzione attiva e scansioni regolari è infatti possibile ridurre al minimo la minaccia di una perdita di dati per mano di criminali informatici. Investire in un buon software antivirus e antimalware – sempre all’interno di una più completa strategia di sicurezza informatica – aiuterà a non far cadere le informazioni sensibili nelle mani sbagliate.
  6. Eseguire regolarmente il backup dei dati più importanti e sensibili. Effettuare un backup regolare è una pratica spesso trascurata, ma secondo gli esperti poter contare su una continuità di accesso alle informazioni rappresenta una dimensione fondamentale della sicurezza IT. Se si considera quanto tempo e quali sforzi potrebbero essere necessari per recuperare i dati perduti, appare subito chiaro come gestire una strategia di backup sia una mossa vincente.

Quali tecnologie usare per la protezione dei dati? Ecco le 20 individuate da Forrester

Con l’abbattimento delle barriere entro le quali vengono generate, trasferite e utilizzate sempre più ingenti moli di dati sensibili relative a business e persone, l’approccio alla sicurezza (ferma restando la necessità di proteggere gli asset all’interno delle reti aziendali, con dispositivi di difesa perimetrale) non può che essere prima di tutto data-centric. Ne è sempre più convinta la società di analisi Forrester, che nel report TechRadar: Data Security and Privacy, Q4 2017 fa il punto su venti tecnologie scelte dalla società di analisi in quanto hanno tutte la caratteristiche di mirare alla protezione dei dati, in alcuni casi integrando la sicurezza nel dato stesso: una security che il dato si può portare con sé anche quando “viaggia” all’esterno dell’azienda: in una email, in una conversazione attraverso un software di communication e collaboration, nel cloud, in laptop o dispositivi di archiviazione rimovibili.

Come prassi nella metodologia TechRadar, Forrester inserisce le tecnologie analizzate in diverse fasi di evoluzione. Da segnalare, prima di iniziare ad affrontarle, che Forrester sottolinea il fatto che spesso molte di queste tecnologie si trovano implementate all’interno di differenti soluzioni di security e non – o non solo – come soluzioni stand-alone. Questo fa sì che diversi prodotti di security oggi presenti sul mercato, acquistati e implementati separatamente dalle aziende, presentino delle sovrapposizioni di queste tecnologie (overlapping).

1. Tecnologie nella fase di Creazione

La prima delle fasi in cui si trovano le tecnologie analizzate nel report è quella di Creazione (Creation). Ricadono in questa categoria le Blockchain data integrity solutions e i tool di Secrets management.

  • Le blockchain si configurano con contenitori in cui i dati si scrivono una volta sola (append-only), non sono ripudiabili, sono replicati in diversi store distribuiti, ma possono essere acceduti solo da chi ne ha diritto in quanto sono crittografati. Fra i vendor di soluzioni blockchain Forrester segnala Acronis, GuardTime, IBM, Thales eSecurity e Tierion.
  • Gli strumenti di secret management sono utilizzati per memorizzare centralmente e mettere in sicurezza informazioni confidenziali su applicazioni. Esempi sono API (Application programming interface), chiavi crittografiche, password, certificati secure socket layer (SSL) e credenziali di utenti. Queste soluzioni consentono di definire, assegnare, monitorare e revocare i diritti di accesso alle informazioni segrete. Secondo Forrester sono molto utili agli sviluppatori per rendere sicura la trasmissione di questi dati segreti tra applicazioni, compresi i container, anche quando si muovono verso e da ambienti cloud e durante i processi di DevOps. Fra i fornitori di soluzioni di secrets management, la società di analisi cita Confidant, Conjur, Docker, Hashicorp, IBM, KeyWhiz, Knox e Thales e-Security.

2. Tecnologie nella fase di Sopravvivenza

Le tecnologie nella fase di Sopravvivenza (Survival) sono strumenti innovativi, da poco usciti dallo stadio precedente di Creazione, che vantano già una certa distribuzione commerciale e implementazione. Forrester inserisce in questa categoria 4 tipologie di soluzioni: Consent/data subject rights management, Data discovery and flow mapping, Data privacy management solutions e Secure communications. Vediamole molto in breve.

  • Le soluzioni per il Consent/data subject rights management consentono alle aziende di identificare, segmentare, mascherare e cancellare singoli gruppi di dati strutturati e non strutturati in funzione di determinate esigenze. Per assolvere a questi compiti, le aziende devono sapere con chi condividono dei dati ed eventualmente poter attuare delle azioni su di essi anche se si trovano al di fuori dei firewall aziendali. I fornitori segnalati da Forrester sono: BigID, ConsentCheq, Evidon, IBM, Kudos, OneTrust, Proteus-Cyber, TrustArc e trust-hub.
  • Le tecnologie di Data discovery and flow mapping permettono di esaminare più risorse e repository alla scoperta di dati sensibili, quali numeri di carte di credito o, nel caso per esempio degli Usa, numeri di previdenza sociale. Per Forrester queste tecnologie hanno come prodotti “adiacenti”, ma non in grado di svolgere le stesse funzioni in ambito security e privacy dei dati, le soluzioni di storage optimization e data discovery. Fra i vendor di tecnologie di Data discovery and flow mapping si segnalano Active Navigation, ALEX Solutions, AvePoint, BigID, Covertix, Dataguise, Global IDs, Ground Labs, Heureka Software, IBM, Nuix, OneTrust, Spirion, TITUS, trust-hub e Varonis.
  • Con la denominazione Data privacy management solutions si intendono tecnologie che aiutano a gestire, fare scalare, documentare e analizzare (nel senso di audit) processi legati a programmi di protezione della privacy. Forrester segnala i seguenti vendor: Nymity, OneTrust, Proteus-Cyber e TrustArc.
  • Le soluzioni di Secure communications hanno come obiettivo fornire, in modo più sicuro, controllabile e standardizzato a livello aziendale, quelle funzionalità di comunicazione che oggi gli utenti trovano in servizi consumer quali Snapchat e WhatsApp. Fornitori inclusi da Forrester: CellTrust, Confide, Dispel, KoolSpan, Signal, Silent Circle, Vaporstream e Wickr.

3. Tecnologie nella fase di Crescita

Sono 7 le tecnologie che TechRadar: Data Security and Privacy, Q4 2017 inserisce fra quelle nello stadio di Crescita (Growth), che si raggiunge quando la diversificazione e la robustezza delle soluzioni sono ormai in grado di soddisfare le esigenze di un mercato molto ampio. In maggioranza si tratta di tecnologie già ben conosciute, con un vasto numero di vendor, per cui ci limiteremo a una trattazione più succinta.

  • La prima è quella dell’Application-level encryption. L’obiettivo principale di questa tecnologia è rendere possibile la crittografia dei dati laddove questi sono generati e processati nelle applicazioni. Le soluzioni di Application-level encryption aiutano gli sviluppatori a integrare l’encryption e il key management nello sviluppo di nuove applicazioni e prima del loro rilascio.
  • La seconda tecnologia in Growth è la Big Data encryption, l’evoluzione di quella che precedentemente la società di analisi chiamava database encryption and masking. L’innovazione riflette la crescita dell’importanza dei big data, memorizzati in appositi store.
  • Crescono anche le tecnologie per la Cloud data protection (Cdp), che permettono di verificare e rinforzare la sicurezza dei dati che risiedono sui cloud (anche per obiettivi di compliance),
  • e quelle di Data access government, tool che aiutano a chiudere il gap di visibilità e controllo fra le identità (di chi accede) e i dati. Fra gli obiettivi, permettere ai responsabili della sicurezza e della privacy di continuare a gestire efficacemente i privilegi a fronte di volumi di dati che crescono in modo esponenziale.
  • Ricadono nella fase Growth anche tecnologie specificatamente dedicate alla Data classification, che risultano critiche per il successo di altre soluzioni di data security, come quelle di Data loss prevention (DLP), di rights management e di encryption.
  • Ecco quindi le tecnologie di Enterprise key management (EKM), che consentono di memorizzare, distribuire, rinnovare e ritirare chiavi crittografiche in ambienti di grandi dimensioni con diversi prodotti di encryption utilizzati.
  • Ultima tecnologia citata in questa parte del report è la Tokenization, che permette agli utenti di applicazioni critiche (come quelle di pagamento) di accedere in una prima fase solo con l’ID e la password, e quindi di dover inserire un codice valido sono una volta ricevuto via sms o generato da un device fisico.

4. Tecnologie nella fase di Equilibrio

Troviamo, infine, nella categoria delle tecnologie di data security e privacy che Forrester definisce nella fase di Equilibrio (Equilibrium), quelle utilizzate da decenni e con ampi ecosistemi di fornitori e integratori:

  • l’Archiving (i sistemi storage, che consentono una sicurezza maggiore della memorizzazione dei dati in luoghi parcellizzati),
  • la Data loss prevention (costituita da una varietà di soluzioni per impedire la fuoriuscita fraudolenta di dati da email server, siti web, pc e dispositivi mobili),
  • l’Email encryption, l’Enterprise rights management (ERM; soluzioni che controllano l’uso, la circolazione e la compartimentazione di documenti prodotti in un’azienda),
  • la File-level encryption,
  • la Full disk encryption
  • i Managed file transfer.

Il ruolo dei sistemi di identity and access management

La protezione delle informazioni e delle applicazioni aziendali sui dispositivi mobili, come smartphone e tablet (soprattutto con la diffusione del fenomeno BYOD), può ormai essere solo garantita attraverso un ecosistema sofisticato, sicuro e affidabile di controllo delle identità. È il parere degli esperti di TechTarget che, in particolare, fanno riferimento ai sistemi di identity and access management (IAM).

I sistemi IAM cercano da sempre di rispondere a quesiti fondamentali per la sicurezza IT aziendale: “chi ha accesso a cosa e perché?” e “come rafforzare le policy di accesso?”. Gli esperti concordano nel dire che ogni azienda dovrebbe essere in grado di rispondere a queste domande in modo rapido e corretto, ma che, purtroppo, nella realtà non è ancora così. Solitamente, infatti, implementare un sistema IAM maturo risulta troppo complesso e costoso. D’altro canto, però, i costi derivanti da un attacco rischiano di essere ancora più gravosi. I sistemi IAM, infatti, impediscono agli hacker di accedere ai privilegi, alle applicazioni e ai dati sensibili degli utenti una volta che hanno compromesso le credenziali di un dipendente.

L’identity and access management aiuta inoltre a soddisfare i requisiti di conformità relative a separazione dei ruoli, applicando policy di accesso per account e dati sensibili, e facendo sì che gli utenti non dispongano di privilegi eccessivi.

Non solo: secondo gli esperti i sistemi IAM possono anche ridurre i costi di helpdesk (con modalità self-service di reimpostazione delle password e aggiornamento dei profili) e migliorare la produttività dei dipendenti (consentendo un log-in veloce, ad esempio utilizzando il single sign-on).

Il sistema di identity and access management fornisce anche preziose informazioni sulle modalità con cui dipendenti e clienti sono entrati nelle applicazioni (chi ha effettuato il log-in, quando e a quali dati ha avuto accesso): queste informazioni possono essere utilizzate non solo per motivi di sicurezza, ma anche per comprendere i modelli tipici di interazione, analizzando come lavorano i dipendenti e come si comportano i clienti in merito ad acquisti e modalità di interazione via sito o app. Conoscere e comprendere questi aspetti rappresenta la chiave per semplificare, migliorare e ottimizzare le esperienze d’uso di dipendenti e clienti, apportando una migliore agilità aziendale e un maggiore vantaggio competitivo per il business.

Redazione

Nel corso degli anni ZeroUno ha esteso la sua originaria focalizzazione editoriale, sviluppata attraverso la rivista storica, in un più ampio sistema di comunicazione oggi strutturato in rivista, portale www.zerounoweb.it e una linea di incontri con gli utenti.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

LinkedIn

Twitter

Whatsapp

Facebook

Link

Articolo 1 di 4