Oggi più che mai, la sicurezza informatica ha lo scopo di proteggere il dato, mettendolo al centro di ogni sua strategia. Non si tratta più, dunque, di proteggere “un sistema”, una rete, una serie di reti o di infrastrutture, ma di prendersi cura del dato a prescindere da dove sia archiviato. Per due ragioni fondamentali.
La prima: non esistono più infrastrutture definite e quindi pronte a essere protette in modo tradizionale. La seconda: i dati hanno valore inestimabile, in aumento esponenziale da oltre un decennio e questo è il motivo per cui si parla di patrimonio informativo aziendale. Un patrimonio da proteggere grazie ad apposite soluzioni di sicurezza informatica.
Indice degli argomenti
Analisi del sistema
Spesso sottovalutata, questa fase consente di tracciare la struttura più intima del sistema che contiene il patrimonio informativo aziendale. Se è vero, infatti, che il focus ora è quello di proteggere il dato, occorre innanzitutto capire dove e come si andranno a collocare le tecnologie di protezione. Una prima analisi di questo tipo richiede di lavorare a livello documentale, sia intervistando chi ha idea e installato l’infrastruttura tecnologica, sia raccogliendo la documentazione su apparecchi e soluzioni tecnologiche presenti. A questa analisi, tuttavia, è bene accompagnarne una “sul campo”, con osservazione dal vivo di tutta la struttura e, possibilmente, un’attività di topology mapping che, a mo’ di sonda, rilevi e tracci come le informazioni si muovono all’interno del sistema. Solo a questo punto, conoscendo dispositivi e connessioni dell’infrastruttura, è possibile procedere a un’analisi preventiva delle vulnerabilità.
Vulnerability assessment
Come può un controllo preventivo configurarsi come soluzione per proteggere il patrimonio informativo aziendale? Il dubbio, lecito, spiega in realtà l’efficacia di una moltitudine di attacchi che si basano sulle vulnerabilità di reti, webapp e sistemi cloud. Una buona politica di sicurezza informatica impone la necessità di vulnerability assessment che individuino i punti deboli delle infrastrutture che contengono i dati più preziosi. Tema di rilievo anche in virtù della GDPR, il test delle vulnerabilità, oggi, è un’operazione disponibile anche in modalità SaaS, a costi accessibili, e che quindi può essere eseguita con una certa frequenza e regolarità. Diventa però essenziale, in caso di esiti positivi, dare seguito alle segnalazioni e mitigare eventuali problemi riscontrati.
Controllo degli accessi
Più che una tecnologia, un modello di sicurezza informatica che viene sviluppato in modo diverso a seconda del vendor di turno. Il concetto, tuttavia, è il medesimo: dal momento in cui l’esfiltrazione di un dato richiede di accedere a quel dato, occorre creare una barriera efficace agli accessi non autorizzati. Un problema enorme e che si palesa in modi diversi. Per esempio, tramite il furto delle credenziali di accesso di un utente, oppure col cracking delle medesime, oppure con attacchi fisici a una rete. Ecco perché la buona sicurezza informatica, in un contesto di protezione del patrimonio informativo aziendale, richiede sistemi di autenticazione efficaci e muti-fattorial (multi-fattoriali ? ), evitando le vetuste password: SMS, OTP, white list, MAC address. Le alternative non mancano e sono molto più efficaci.
Crittografia
Altro tema portante della GDPR, la crittografia è uno strumento così banale, disponibile e low cost da essere spesso ignorato. Di base, si trovano soluzioni di crittografia per qualsiasi sistema e budget, quindi non esistono scusanti quando non impiegate. Tuttavia, in ambito aziendale, occorre sfruttare tecnologie di comprovata efficacia, in particolare nell’utilizzo di algoritmi che sappiano resistere a tecniche di cracking. La scelta non manca e spazia da tool appositamente sviluppati per crittografare interi dischi fissi, per arrivare a quelli integrati in molti pacchetti di sicurezza. I fattori da considerare, nella scelta, sono tre: come anticipato, il tipo di crittografia; la velocità di codifica dei dati e le funzioni di salvataggio di codici e password. Perché una crittografia mal implementata, a volte, può trasformarsi in un boomerang.
Network analysis
Un ombrello di soluzioni di sicurezza informatica che, fondamentalmente, si può suddividere in due grossi filoni: da una parte l’efficientamento delle prestazioni di una rete e, dall’altro, l’analisi del traffico per motivi di sicurezza. Nel secondo caso, si scelgono soluzioni interne o esterne, da affidare per esempio a SOC specializzati o MSP, con le quali si verifica il tipo di traffico dati che entra ed esce dai dispositivi aziendali, mettendolo in correlazione anche alla fascia oraria e all’intensità. Il risultato è una lunga serie di log da scremare e analizzare, filtrando e analizzando in modo approfondito quelle che possono essere eventuali criticità. È una delle armi più efficaci nella lotta all’esfiltrazione dei dati aziendali, in particolare quelli causati da attacchi APT (Advanced Persistent Threat).
Awareness
Con dati che parlano di oltre il 90% di attacchi informatici basati su social engineering, è chiaro che parte del lavoro di protezione del dato passi per una piena consapevolezza, da parte di dipendenti e collaboratori, del loro ruolo anche in questo settore. La cyber security awareness diventa, per questo, uno strumento di difesa efficace e versatile, a patto di considerarlo come un’attività continuativa. Occorre stilare programmi di formazione ad hoc, tenuti da professionisti qualificati e inserendo anche lezioni pratiche e simulazioni. E con l’accortezza di estendere la formazione a chiunque abbia accesso all’infrastruttura aziendale, visto che chiunque può diventare obiettivo dei criminali informatici e delle loro trappole di ingegneria sociale. Idealmente, una cyber security awareness efficace coinvolge tutti i componenti di un’azienda, nel corso di tutto l’anno e con frequenza regolare. Perché le minacce incombono h24, 365 giorni l’anno.
