Cos'è la sicurezza informatica?

La tecnologia e le migliori pratiche di sicurezza informatica proteggono i sistemi critici e le informazioni sensibili da un volume sempre crescente di minacce in continua evoluzione

Un circuito stampato e le sue numerose connessioni

Cos'è la sicurezza informatica?

La sicurezza informatica è la pratica per proteggere i sistemi critici e le informazioni sensibili dagli attacchi digitali. Conosciuta anche come sicurezza IT (information technology), le misure della sicurezza informatica sono concepite per combattere le minacce in sistemi in rete e applicazioni, indipendentemente dal fatto che tali minacce provengano dall'interno o dall'esterno di un'organizzazione.

Nel 2020, il costo medio di una violazione dei dati era di 3,86 milioni di dollari a livello globale e di 8,64 milioni di dollari negli Stati Uniti. Questi costi includono la scoperta e la risposta alla violazione, il costo dei tempi di inattività e della perdita di entrate e il danno a lungo termine alla reputazione di un'azienda e al suo marchio. I criminali informatici prendono di mira le informazioni di identificazione personale (PII) dei clienti, vale a dire, nomi, indirizzi, numeri di identificazione nazionale (ad esempio, il numero di previdenza sociale negli Stati Uniti, i codici fiscali in Italia) e informazioni sulla carta di credito; quindi vendono questi record in mercati digitali sotterranei. Le PII compromesse spesso portano a una perdita di fiducia dei clienti, all'imposizione di sanzioni regolamentari e persino ad azioni legali.

La complessità dei sistemi di sicurezza, creata da varie tecnologie e dalla mancanza di competenze interne, può amplificare questi costi. Ma le organizzazioni con una strategia di sicurezza informatica completa, governata dalle migliori pratiche e automatizzata mediante analisi avanzate, intelligenza artificiale (AI) e machine learning, possono combattere le minacce informatiche in modo più efficace e ridurre il ciclo di vita e l'impatto delle violazioni quando si verificano.


Domini di sicurezza informatica

Una forte strategia di sicurezza informatica prevede livelli di protezione per difendersi dalla criminalità informatica, compresi gli attacchi informatici che tentano di accedere, modificare o distruggere i dati, estorcere denaro agli utenti o all'organizzazione o mirano a interrompere le normali operazioni aziendali. Le contromisure dovrebbero riguardare:

  • Sicurezza delle infrastrutture critiche: pratiche per la protezione dei sistemi informatici, delle reti e di altre risorse su cui la società fa affidamento per la sicurezza nazionale, la salute economica e/o la sicurezza pubblica. Il National Institute of Standards and Technology (NIST) ha creato un framework di sicurezza informatica per aiutare le organizzazioni in quest'area, mentre il Department of Homeland Security (DHS) degli Stati Uniti fornisce ulteriori indicazioni.

  • Sicurezza della rete - misure di sicurezza per proteggere una rete di computer da intrusi, comprese le connessioni sia cablate che wireless (Wi-Fi).

  • Sicurezza dell'applicazione: processi che consentono di proteggere le applicazioni che operano in locale e nel cloud. La sicurezza dovrebbe essere integrata nelle applicazioni in fase di progettazione, con considerazioni su come vengono gestiti i dati, autenticazione dell'utente, ecc.

  • Sicurezza nel cloud: in particolare, un vero confidential computing che crittografa i dati cloud inattivi (in storage), in movimento (durante il viaggio da, verso e all'interno del cloud) e in uso (durante l'elaborazione) per supportare la privacy dei clienti, i requisiti aziendali e gli standard di conformità normativa.

  • Informazioni di sicurezza: misure di protezione dei dati, come il Regolamento generale sulla protezione dei dati, o GDPR, che proteggono i dati più sensibili da accessi, esposizioni o furti non autorizzati.

  • Formazione dell'utente finale: creare la consapevolezza della sicurezza in tutta l'organizzazione per rafforzare la sicurezza degli endpoint. Ad esempio, gli utenti possono essere addestrati a eliminare allegati di e-mail sospetti, a evitare l'utilizzo di dispositivi USB sconosciuti, ecc.

  • Pianificazione di disaster recovery/business continuity: strumenti e procedure per rispondere a eventi non pianificati, come disastri naturali, interruzioni di corrente o incidenti di sicurezza informatica, con un'interruzione minima delle operazioni chiave.

  • Sicurezza di storage: IBM FlashSystem® offre una solida resilienza dei dati con numerose protezioni. Sono incluse la crittografia e copie dei dati immutabili e isolate. Queste rimangono nello stesso pool in modo che possano essere rapidamente ripristinate per supportare il ripristino, riducendo al minimo l'impatto di un attacco informatico.

  • Sicurezza mobile: IBM Security MaaS360 con Watson  ti consente di gestire e proteggere la tua forza lavoro mobile  con sicurezza delle app, sicurezza delle app container e posta mobile sicura.

Miti pericolosi sulla sicurezza informatica

Il volume degli incidenti di sicurezza informatica è in aumento in tutto il mondo, ma continuano a persistere idee sbagliate, inclusa l'idea che:

  • I criminali informatici sono estranei. In realtà, le violazioni della sicurezza informatica sono spesso il risultato di insider malintenzionati, che lavorano per se stessi o insieme ad hacker esterni. Questi insider possono far parte di gruppi ben organizzati, sostenuti da stati nazionali.
  • I rischi sono noti. In effetti, la superficie di rischio è ancora in espansione, con migliaia di nuove vulnerabilità segnalate in applicazioni e dispositivi vecchi e nuovi. E le opportunità di errore umano, in particolare da parte di dipendenti o imprenditori negligenti che causano involontariamente una violazione dei dati, continuano ad aumentare.
  • I vettori di attacco sono contenuti. I criminali informatici trovano continuamente nuovi vettori di attacco, inclusi sistemi Linux, tecnologia operativa (OT), dispositivi Internet of Things (IoT) e ambienti cloud.
  • Il mio settore è al sicuro. Ogni settore ha la sua quota di rischi per la sicurezza informatica, con avversari informatici che sfruttano le necessità delle reti di comunicazione all'interno di quasi tutte le organizzazioni governative e del settore privato. Ad esempio, gli attacchi ransomware (vedi sotto) prendono di mira più settori che mai, inclusi i governi locali e le organizzazioni no profit, e sono aumentate anche le minacce alle supply chain, ai siti Web ".gov" e alle infrastrutture critiche.

Minacce informatiche comuni

Sebbene i professionisti della sicurezza informatica lavorino duramente per colmare le lacune nella sicurezza, gli aggressori sono sempre alla ricerca di nuovi modi per sfuggire all'attenzione dell'IT, eludere le misure di difesa e sfruttare i punti deboli emergenti. Le ultime minacce alla sicurezza informatica stanno dando una nuova svolta alle minacce "conosciute", sfruttando gli ambienti di lavoro da casa, gli strumenti di accesso remoto e i nuovi servizi cloud. Queste minacce in evoluzione includono:

Malware

Il termine "malware" si riferisce a varianti di software dannoso, come worm, virus, cavalli di Troia e spyware, che forniscono accesso non autorizzato o danneggiano un computer. Gli attacchi malware sono sempre più "senza file" e progettati per aggirare i metodi di rilevamento familiari, come gli strumenti antivirus, che eseguono scansioni per rilevare allegati di file dannosi.

Leggi il Threat Intelligence Index del 2022 sul malware

ransomware

Ransomware è un tipo di malware che blocca file, dati o sistemi e minaccia di cancellare o distruggere i dati o rendere pubblici dati privati o sensibili, a meno che non venga pagato un riscatto ai criminali informatici che hanno lanciato l'attacco. I recenti attacchi ransomware hanno preso di mira i governi statali e locali, che sono più facili da violare rispetto alle organizzazioni, e li hanno messo sotto pressione per il pagamento di riscatti per ripristinare applicazioni e siti Web su cui i cittadini fanno affidamento.

Phishing/ingegneria sociale

Phishing è una forma di ingegneria sociale che induce gli utenti a fornire le proprie PII o informazioni sensibili. Nelle truffe di phishing, e-mail o messaggi di testo sembrano provenire da un'azienda legittima che richiede informazioni sensibili, come i dati della carta di credito o le informazioni di accesso. L'FBI ha notato un aumento del phishing legato alla pandemia, dovuto alla crescita del lavoro a distanza.

Minacce interne

Dipendenti attuali o precedenti, partner commerciali, appaltatori o chiunque abbia avuto accesso in passato a sistemi o reti, possono essere considerati una minaccia interna se abusano delle loro autorizzazioni di accesso. Le minacce interne possono essere invisibili alle tradizionali soluzioni di sicurezza come firewall e sistemi di rilevamento delle intrusioni, che si concentrano sulle minacce esterne.

Attacchi DDoS (Distributed Denial of Service)

Un attacco DDoS tenta di mandare in crash un server, un sito Web o una rete sovraccaricandolo di traffico, in genere proveniente da più sistemi coordinati. Gli attacchi DDoS travolgono le reti aziendali tramite il SNMP (Simple Network Management Protocol), utilizzato per modem, stampanti, switch, router e server.

APT (advanced persistent threat)

In un APT, un intruso o un gruppo di intrusi si infiltra in un sistema e non viene rilevato per un lungo periodo di tempo. L'intruso lascia intatte reti e sistemi in modo da spiare attività commerciali e rubare dati sensibili evitando l'attivazione di contromisure difensive. La recente violazione dei sistemi del governo degli Stati Uniti da parte di Solar Winds è un esempio di APT.

Attacchi man-in-the-middle

Man-in-the-middle è un attacco di intercettazione, in cui un criminale informatico intercetta e trasmette messaggi tra due parti al fine di rubare dati. Ad esempio, su una rete Wi-Fi non protetta, un utente malintenzionato può intercettare i dati trasmessi tra il dispositivo dell'ospite e la rete.


Tecnologie e best practice chiave per la sicurezza informatica

Le seguenti best practice e tecnologie possono aiutare la tua organizzazione a implementare una forte sicurezza informatica che riduce la tua vulnerabilità agli attacchi informatici e protegge i tuoi sistemi informativi critici, senza interferire con l'esperienza dell'utente o del cliente:

  • Identità e gestione degli accessi (IAM) definisce i ruoli e i privilegi di accesso per ciascun utente, nonché le condizioni in base alle quali vengono concessi o negati i propri privilegi. Le metodologie IAM includono il single sign-on, che consente a un utente di accedere a una rete una volta senza reinserire le credenziali durante la stessa sessione, l'autenticazione a più fattori, che richiede due o più credenziali di accesso, account utente privilegiati, che concedono privilegi amministrativi solo a determinati utenti e la gestione del ciclo di vita degli utenti, che controlla l'identità e i privilegi di accesso di ciascun utente dalla registrazione iniziale fino al ritiro. Gli strumenti IAM possono inoltre offrire ai professionisti della sicurezza informatica una visibilità più approfondita sulle attività sospette eseguite sui dispositivi degli utenti finali, inclusi gli endpoint a cui non possono accedere fisicamente. Questo aiuta a velocizzare le indagini e i tempi di risposta per isolare e contenere i danni di una violazione.

  • Una piattaforma completa per la sicurezza dei dati protegge le informazioni sensibili in più ambienti, inclusi gli ambienti multicloud ibridi. Le migliori piattaforme di sicurezza dei dati forniscono visibilità automatizzata e in tempo reale sulle vulnerabilità dei dati, nonché un monitoraggio continuo che individua vulnerabilità dei dati e rischi prima che diventino violazioni dei dati; dovrebbero anche semplificare la conformità alle normative sulla privacy dei dati del governo e del settore. Anche i backup e la crittografia sono vitali per mantenere i dati al sicuro.

  • SIEM (Security information and event management) aggrega e analizza i dati degli eventi di sicurezza per rilevare automaticamente le attività sospette degli utenti e attivare una risposta preventiva o correttiva. Oggi le soluzioni SIEM includono metodi di rilevamento avanzati come l'analisi del comportamento degli utenti e l'intelligenza artificiale (AI). SIEM può assegnare automaticamente la priorità alla risposta alle minacce informatiche in linea con gli obiettivi di gestione del rischio della tua organizzazione. E molte organizzazioni stanno integrando i loro strumenti SIEM con piattaforme di orchestrazione, automazione e risposta della sicurezza (SOAR) che automatizzano e accelerano ulteriormente la risposta delle organizzazioni agli incidenti di sicurezza informatica e risolvono molti incidenti senza l'intervento umano.

Strategia di sicurezza Zero Trust

Le aziende oggi sono connesse come mai prima d'ora. I sistemi, gli utenti e i dati vivono e operano in ambienti diversi. La sicurezza perimetrale non è più adeguata, ma l'implementazione dei controlli di sicurezza all'interno di ogni ambiente crea complessità. Il risultato in entrambi i casi è una protezione ridotta per le risorse più importanti. Una strategia zero trust presuppone il compromesso e imposta i controlli per convalidare l'autenticità e lo scopo di ogni utente, dispositivo e connessione nell'azienda. Per avere successo nell'esecuzione di una strategia zero trust, le organizzazioni hanno bisogno di un modo per combinare le informazioni di sicurezza al fine di generare il contesto (sicurezza del dispositivo, posizione, ecc.) che informa e applica i controlli di convalida.


Sicurezza informatica e IBM

IBM Security offre uno dei portafogli più avanzati e integrati di prodotti e servizi per la sicurezza aziendale. Il portafoglio, supportato dalla ricerca IBM X-Force® di fama mondiale, fornisce soluzioni di sicurezza per aiutare le organizzazioni a portare la sicurezza nella loro attività, in modo che possano prosperare di fronte all'incertezza.

Per assistenza con la valutazione del rischio, il rilevamento degli incidenti e la risposta alle minacce, consulta:

Per le ultime strategie, tendenze e approfondimenti sulla sicurezza informatica degli esperti di IBM Security, visita il  sito di IBM Security Intelligence  (il collegamento si trova al di fuori di ibm.com).


Soluzioni

IBM Cloud Pak® for Security

Integra gli strumenti di sicurezza per ottenere insight sulle minacce nei diversi ambienti multicloud ibridi.


Intelligenza artificiale (IA) e sicurezza informatica

L'intelligenza artificiale sta cambiando il gioco della sicurezza informatica, analizzando enormi quantità di dati sui rischi per accelerare i tempi di risposta e aumentare le operazioni di sicurezza con risorse insufficienti.


IBM Security® QRadar®

Scopri l'analisi della sicurezza intelligente per ottenere informazioni dettagliate sulle minacce più critiche.


Sicurezza Zero Trust

Le organizzazioni si stanno rivolgendo a soluzioni di sicurezza zero trust per proteggere i propri dati e le proprie risorse rendendole accessibili solo su base limitata e nelle giuste circostanze.


Soluzioni di sicurezza cloud

L'integrazione del cloud nel programma di sicurezza aziendale esistente non significa solo aggiungere alcuni controlli o soluzioni per un utilizzo specifico. Richiede una valutazione delle risorse e delle esigenze aziendali per sviluppare un nuovo approccio alla cultura e alla strategia di sicurezza del cloud.


Soluzioni per la sicurezza dei dati

Proteggi i dati aziendali in più ambienti, rispetta le normative sulla privacy e semplifica la complessità operativa.


UEM (Unified Endpoint Management - gestione unificata degli endpoint)

Avere una visione e un controllo permanenti essenzialmente di tutti i dispositivi mobili, app e contenuti. Esegui analisi di sicurezza basate sull'AI e garantisci la sicurezza su tutte le piattaforme.