Per sicurezza delle informazioni, o "InfoSec", si intende la protezione delle informazioni importanti di un'organizzazione - dati e file digitali, documenti cartacei, supporti fisici, persino discorsi tenuti da persone - contro l'accesso, la divulgazione, l'uso o l'alterazione non autorizzati. La sicurezza delle informazioni digitali, detta anche sicurezza dei dati, riceve oggi la maggiore attenzione da parte dei professionisti della sicurezza informatica ed è l'oggetto di questo articolo.
I dati sono alla base di gran parte dell'economia mondiale. I criminali informatici riconoscono il valore di questi dati e gli attacchi informatici che mirano a rubare informazioni sensibili - o nel caso del ransomware, a tenere in ostaggio i dati - sono diventati più comuni, dannosi e costosi. Secondo il Report Cost of a Data Breach 2021di IBM, nel biennio 2020-2021 le violazioni dei dati hanno causato in media una perdita di affari paria 4,24 milioni di dollari.
Per chi la subisce, una violazione dei dati rappresenta un danno su più livelli. Il tempo di inattività imprevisto porta alla perdita di business. Quando le informazioni sensibili dei clienti vengono esposte, spesso una società perde clienti e subisce danni significativi e talvolta irreparabili alla propria reputazione. Il furto di proprietà intellettuale può danneggiare la redditività di un'azienda ed ridurre il suo vantaggio competitivo.
Le vittime di una violazione dei dati possono anche incorrere in multe o sanzioni legali. Le normative dei governi, come il Regolamento generale sulla protezione dei dati (GDPR), e quelle di settore, come l'Health Insurance Portability and Accounting Act (HIPAA), obbligano le aziende a proteggere le informazioni sensibili dei loro clienti; la mancata osservanza di questa indicazione può comportare multe elevate. Equifax ha accettato di pagare almeno 575 milioni di dollari di multe alla Federal Trade Commission (FTC), al Consumer Financial Protection Bureau (CFPB) e a tutti i 50 Stati come risultato della violazione dei dati del 2017; nell'ottobre 2021, British Airways è stata multata per 26 milioni di dollari per violazioni del GDPR in merito a una violazione dei dati del 2018.
Non sorprende che le aziende stiano investendo più che mai nella tecnologia e nei talenti della sicurezza informatica. Gartner stima che la spesa per le tecnologie e i servizi per la sicurezza delle informazioni e la gestione del rischio nel 2021 ha raggiunto il valore di 150,4 miliardi di dollari, con un aumento del 12,4% rispetto al 2020. I Chief Information Security Officer (CISO), che supervisionano gli sforzi per la sicurezza delle informazioni, sono diventati un punto fermo dei vertici aziendali. Inoltre, sta aumentando la domanda di analisti della sicurezza informatica in possesso di certificazioni avanzate, come la certificazione Certified Information Systems Security Professional (CISSP) di (ISC)². Il Bureau of Labor Statistics prevede che l'occupazione degli analisti con queste certificazioni crescerà del 33% entro il 2030.
La pratica della sicurezza informatica si basa su principi decennali e in continua evoluzione che definiscono gli standard per la sicurezza dei sistemi informativi e la riduzione dei rischi.
Introdotta nel 1977, la triade CIA ha lo scopo di guidare le organizzazioni nella scelta delle tecnologie, delle politiche e delle pratiche per la protezione dei propri sistemi informativi - l'hardware, il software e le persone coinvolte nella produzione, nella memorizzazione, nell'uso e nello scambio di dati all'interno dell'infrastruttura informatica (IT) dell'azienda. Gli elementi della triade sono:
Riservatezza (Confidentiality ): garantire che le parti non possano accedere a dati a cui non sono autorizzate ad accedere. La riservatezza definisce un continuum, dagli insider privilegiati con accesso a gran parte dei dati dell'azienda, agli esterni autorizzati a visualizzare solo le informazioni che il pubblico è autorizzato o a cui è concesso visualizzare.
Integrità (Integrity): garantire che tutte le informazioni contenute nei database aziendali siano complete e accurate e non siano state manomesse. L'integrità si applica a tutto, dall'impedire agli avversari di alterare intenzionalmente i dati, all'impedire agli utenti decisi di alterare intenzionalmente o non intenzionalmente i dati in modo non autorizzato.
Disponibilità (Availability): assicurare che gli utenti possano accedere alle informazioni per le quali sono autorizzati, quando ne hanno bisogno. La disponibilità impone che le misure e le politiche di sicurezza delle informazioni non interferiscano mai con l'accesso autorizzato ai dati.
Il processo continuo per ottenere e mantenere la riservatezza, l'integrità e la disponibilità dei dati all'interno di un sistema informativo è noto come "sicurezza delle informazioni".
I professionisti della sicurezza delle informazioni applicano i principi della sicurezza delle informazioni ai sistemi informativi creando programmi di sicurezza delle informazioni. Si tratta di raccolte di condizioni, protezioni e piani per la sicurezza delle informazioni che mirano a garantire la sicurezza delle informazioni.
La creazione di un programma di sicurezza delle informazioni inizia in genere con una valutazione del rischio informatico. Controllando ogni aspetto del sistema delle informazioni di un'azienda, i professionisti della sicurezza delle informazioni possono comprendere l'esatto rischio che corrono e scegliere le misure di sicurezza e le tecnologie più appropriate per mitigare i rischi. Una valutazione del rischio informatico di solito comporta:
Identificazione delle vulnerabilità. Una vulnerabilità è una qualsiasi debolezza dell'infrastruttura della tecnologia informatica (IT) che gli avversari possono sfruttare per ottenere un accesso non autorizzato ai dati. Ad esempio, gli hacker possono sfruttare dei bug nei programmi informatici per introdurre malware o codici maligni in un sito o servizio altrimenti legittimo.
Anche gli utenti umani possono costituire delle vulnerabilità in un sistema informatico. Ad esempio, i criminali informatici possono manipolare gli utenti per indurli a condividere informazioni sensibili attraverso attacchi di social engineering come il phishing.
Per scoprire queste vulnerabilità, i professionisti della sicurezza informatica ricorrono spesso a test di penetrazione, ovvero alla simulazione di un attacco al proprio sistema informatico.
Individuazione delle minacce. Una minaccia è tutto ciò che può compromettere la riservatezza, l'integrità o la disponibilità di un sistema informatico.
Una minaccia informatica è una minaccia che sfrutta una vulnerabilità digitale. Ad esempio, un attacco denial-of-service (DoS) è una minaccia informatica in cui i criminali informatici sommergono di traffico parte del sistema informatico di un'azienda, causandone il blocco.
Le minacce possono anche essere di natura fisica. I disastri naturali, gli assalti fisici o armati e persino i guasti sistemici dell'hardware sono considerati minacce al sistema informatico di un'azienda.
I Data Security Services di IBM aiutano le organizzazioni fornendo strategia di sicurezza dei dati, data discovery, prevenzione della perdita di dati, governance della sicurezza dei dati e monitoraggio della sicurezza dei database.
I Servizi di sicurezza delle applicazioni di IBM trasformano DevOps in DevSecOps offrendo formazione sulla sicurezza delle applicazioni, servizi di modellazione delle minacce alle applicazioni e altro ancora.
Inizia a usare le soluzioni di sicurezza dei dati IBM