Home
topics
Sicurezza delle informazioni
Data di aggiornamento: 26 luglio 2024
Autori: Jim Holdsworth, Matthew Kosinski
La sicurezza delle informazioni (InfoSec) è la protezione di informazioni importanti contro l'accesso, la divulgazione, l'uso, l'alterazione o l'interruzione non autorizzati. Aiuta a garantire che i dati sensibili di un'organizzazione siano disponibili per gli utenti autorizzati, rimangano riservati e mantengano la loro integrità.
Gli asset informativi, che possono includere dati finanziari, riservati, personali o sensibili, devono essere protetti. Questi asset possono assumere la forma di file e dati digitali, documenti cartacei, supporti fisici e persino linguaggio umano. Durante l'intero ciclo di vita dei dati, l'InfoSec supervisiona funzioni quali infrastruttura, software, test, audit e archiviazione.
Basata su principi decennali, la sicurezza delle informazioni si evolve continuamente per proteggere ambienti sempre più ibridi e multicloud da un panorama di minacce in continua evoluzione. Data la continua evoluzione di queste minacce, più team devono collaborare per aggiornare sia la tecnologia che i processi utilizzati in questa difesa.
La sicurezza delle informazioni digitali, detta anche sicurezza dei dati, riceve oggi la maggiore attenzione da parte dei professionisti della sicurezza informatica ed è l'oggetto di questo articolo.
I termini sicurezza delle informazioni, sicurezza IT, cybersecurity e sicurezza dei dati sono spesso (ed erroneamente) utilizzati in modo intercambiabile. Anche se questi ambiti si sovrappongono e si influenzano a vicenda, differiscono principalmente per il loro ambito.
La sicurezza delle informazioni è un termine generico che comprende gli sforzi di un'organizzazione per proteggere le informazioni. Comprende la sicurezza degli asset IT fisici, la endpoint security, la crittografia dei dati, la sicurezza di rete e molto altro.
La sicurezza IT si occupa anche della protezione degli asset IT fisici e digitali e dei data center, ma non include la protezione per l'archiviazione di file cartacei e altri supporti. Si concentra sugli asset tecnologici piuttosto che sulle informazioni stesse.
La cybersecurity si concentra sulla protezione dei sistemi informativi digitali. L'obiettivo è contribuire a proteggere i dati e gli asset digitali dalle minacce informatiche. Pur essendo molto ampia, la cybersecurity ha un ambito ristretto, perché non si occupa della protezione dei dati cartacei o analogici.
La sicurezza dei dati è la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita. Include la physical security dell'hardware e dei dispositivi di storage, insieme ai controlli amministrativi e di accesso. Include anche la sicurezza logica delle applicazioni software, nonché politiche e procedure organizzative.
Preparati e rispondi agli attacchi informatici con maggiore velocità ed efficacia con l'IBM® Security X-Force Threat Intelligence Index.
I dati alimentano gran parte dell'economia mondiale e i criminali informatici ne conoscono il valore. Gli attacchi informatici che puntano a rubare informazioni sensibili, o nel caso di ransomware, tengono in ostaggio i dati, sono diventati più comuni, dannosi e costosi. Le pratiche e i principi di InfoSec possono contribuire a proteggere i dati da queste minacce.
Secondo il report Cost of a Data Breach Report di IBM, il costo totale medio di una violazione dei dati ha raggiunto un nuovo massimo di 4,45 milioni di dollari nel 2023. Tale cifra è in aumento del 15,3% rispetto ai 3,86 milioni di USD del report del 2020.
Per chi la subisce, una violazione dei dati rappresenta un danno su più livelli. Tempi di inattività imprevisti portano alla perdita di opportunità commerciali. Quando le informazioni sensibili dei clienti vengono esposte, spesso una società perde clienti e subisce danni significativi e talvolta irreparabili alla propria reputazione. Il furto di proprietà intellettuale può danneggiare la redditività di un'azienda e ridurre il suo vantaggio competitivo.
Le vittime di una violazione dei dati possono anche incorrere in multe o sanzioni legali. Le normative governative, come la General Data Protection Regulation (GDPR) e le normative di settore, come l'Health Insurance Portability and Accountability Act (HIPAA), richiedono alle aziende di proteggere le informazioni sensibili dei propri clienti. La mancata osservanza di queste norme può comportare pesanti sanzioni.
Le aziende stanno investendo più che mai nella tecnologia e nei talenti della sicurezza informatica. Secondo il report Cost of a Data Breach Report, il 51% delle organizzazioni prevede di aumentare gli investimenti in sicurezza dopo una violazione.
Le principali aree identificate per ulteriori investimenti includevano la pianificazione e il test di risposta agli incidenti (IR), la formazione dei dipendenti e le tecnologie di rilevamento e risposta alle minacce. Le organizzazioni che hanno effettuato investimenti significativi nella security AI e nell'automazione, hanno registrato una riduzione dei costi di 1,76 milioni di dollari per le violazioni di dati rispetto alle organizzazioni che non utilizzavano le funzionalità di security AI e automazione.
I Chief Information Security Officer (CISO), che supervisionano gli sforzi per la sicurezza delle informazioni, sono diventati un punto fermo dei vertici aziendali.
Inoltre, sta aumentando la domanda di analisti della sicurezza informatica in possesso di certificazioni avanzate, come la certificazione Certified Information Systems Security Professional (CISSP) di ISC2. Il Bureau of Labor Statistics prevede che l'occupazione degli analisti della sicurezza informatica crescerà del 32% entro il 2032.1
Le pratiche di sicurezza delle informazioni si basano su una serie di principi decennali in continua evoluzione:
- La triade CIA
- Garanzia di sicurezza delle informazioni
- Non ripudio
Proposta per la prima volta dal National Institute of Standards and Technology (NIST) nel 1977, la triade CIA ha lo scopo di guidare le organizzazioni nella scelta di tecnologie, politiche e pratiche per la protezione dei loro sistemi informatici. Gli elementi della triade della CIA includono:
- Riservatezza
- Integrità
- Disponibilità
Riservatezza significa garantire che le parti non possano accedere ai dati a cui non sono autorizzate ad accedere.
La riservatezza definisce un continuum di utenti, dagli insider privilegiati con accesso a gran parte dei dati dell'azienda, agli esterni autorizzati a visualizzare solo le informazioni che il pubblico è autorizzato o a cui è concesso visualizzare.
Le informazioni personali devono rimanere private. I dati sensibili sono riservati. Se una persona non autorizzata ottiene una password per accedere a dati protetti, sta compiendo una violazione della riservatezza.
Integrità significa garantire che tutte le informazioni contenute all'interno dei database aziendali siano complete e accurate.
Gli sforzi per l'integrità mirano a impedire alle persone di manomettere i dati, ad esempio mediante aggiunte, alterazioni o cancellazioni non autorizzate. L'integrità dei dati si applica per impedire sia agli avversari di alterare intenzionalmente i dati, sia agli utenti ben intenzionati di alterare i dati in modo non autorizzato.
Disponibilità significa garantire che gli utenti possano accedere alle informazioni per le quali sono autorizzati quando ne hanno bisogno.
La disponibilità impone che le misure e le politiche di sicurezza delle informazioni non interferiscano con l'accesso autorizzato ai dati. Gran parte della disponibilità è semplice, come ad esempio lavorare per garantire la solidità dell'hardware e del software per impedire che i siti di un'organizzazione vadano in tilt.
Il processo continuo per ottenere la riservatezza, l'integrità e la disponibilità dei dati all'interno di un sistema informativo è noto come "sicurezza delle informazioni".
Il non ripudio significa che un utente non può negare (ovvero ripudiare) di aver effettuato una transazione, come l'alterazione di dati o l'invio di un messaggio, perché ha dovuto superare l'autenticazione per eseguire la transazione.
Sebbene non faccia tecnicamente parte della triade CIA, il non ripudio combina aspetti di riservatezza e integrità delle informazioni. Il non ripudio implica garantire che solo gli utenti autorizzati lavorino con i dati e che possano utilizzare o modificare i dati solo in modi autorizzati.
I professionisti della sicurezza delle informazioni applicano i principi di InfoSec ai sistemi informativi creando programmi di sicurezza delle informazioni. Questi programmi sono raccolte di politiche, protezioni e piani per la sicurezza delle informazioni che mirano a garantire la sicurezza delle informazioni.
I componenti principali di un programma di sicurezza informatica possono essere:
- Valutazione del rischio
- Identificazione delle vulnerabilità
- Identificazione delle minacce
- Pianificazione della risposta agli incidenti
Una valutazione del rischio per la sicurezza delle informazioni esamina ogni aspetto del sistema informatico di un'azienda. La valutazione aiuta i professionisti della sicurezza informatica a comprendere esattamente i rischi a cui vanno incontro e a scegliere le misure di sicurezza e le tecnologie più appropriate per attenuarli.
Una vulnerabilità è una qualsiasi debolezza dell'infrastruttura informatica (IT) che gli avversari possono sfruttare per ottenere un accesso non autorizzato ai dati. Ad esempio, gli hacker possono sfruttare dei bug nei programmi informatici per introdurre malware o codici maligni in un sito o servizio altrimenti legittimo.
Anche gli utenti umani possono costituire delle vulnerabilità in un sistema informatico. Ad esempio, i criminali informatici possono manipolare gli utenti per indurli a condividere informazioni sensibili attraverso attacchi di ingegneria sociale come il phishing.
Una minaccia è tutto ciò che può compromettere la riservatezza, l'integrità o la disponibilità di un sistema informatico.
Una minaccia informatica è una minaccia che sfrutta una vulnerabilità digitale. Ad esempio, un attacco denial-of-service (DoS) è una minaccia informatica in cui i criminali informatici sommergono di traffico parte del sistema informatico di un'azienda, causandone il blocco.
Le minacce possono anche essere di natura fisica. I disastri naturali, gli assalti fisici o armati e persino i guasti sistemici dell'hardware sono considerati minacce al sistema informatico di un'azienda.
Un piano di risposta agli incidenti (IRP) in genere guida gli sforzi di un'organizzazione nella risposta agli incidenti.
I team di risposta agli incidenti di sicurezza informatica (CSIRT) spesso creano ed eseguono IRP con la partecipazione degli stakeholder di tutta l'organizzazione. I membri del CSIRT possono includere il Chief Information Security Officer (CISO), il Chief AI Officer (CAIO), il Security Operations Center (SOC), il personale IT e i rappresentanti del settore legale, della gestione del rischio e di altre discipline non tecniche.
Gli IRP descrivono in dettaglio le misure di mitigazione che un'organizzazione adotta quando viene rilevata una minaccia significativa. Sebbene gli IRP varino in base alle organizzazioni che li creano e alle minacce che prendono di mira, i passaggi più comuni includono:
- Riunire il team di sicurezza, virtualmente o di in presenza.
- Verificare l'origine della minaccia.
- Agire per contenere la minaccia e fermarla il prima possibile.
- Determinare l'eventuale presenza di danni.
- Informare le parti interessate all'interno dell'organizzazione, gli stakeholder e i partner strategici.
I programmi di sicurezza informatica utilizzano diversi strumenti e tecniche per affrontare minacce specifiche. Gli strumenti e le tecniche comuni di InfoSec includono:
- Crittografia
- Prevenzione della perdita di dati (DLP)
- EDR (Endpoint Detection and Response)
- Firewall
- Sistemi di rilevazione delle intrusioni (IDS) e prevenzione delle intrusioni (IPS)
- Sistemi di gestione della sicurezza delle informazioni (ISMS)
- Security Information and Event Management (SIEM)
- Security operations centers (SOC)
- Misure di autenticazione forti
- Threat intelligence
- Analisi del comportamento di utenti ed entità (UEBA)
La crittografia utilizza algoritmi per oscurare le informazioni in modo che solo le persone con il permesso e la capacità di decifrarle possano leggerle.
Le strategie e gli strumenti di DLP consentono di tenere traccia dell'utilizzo e del movimento dei dati all'interno di una rete e di applicare politiche di sicurezza granulari per prevenire perdite e fughe di dati.
Le soluzioni EDR monitorano continuamente i file e le applicazioni su ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate.
Un firewall è un software o hardware che impedisce al traffico sospetto di entrare o uscire da una rete lasciando passare il traffico legittimo. I firewall possono essere distribuiti ai margini di una rete o utilizzati internamente per dividere una rete più grande in sottoreti più piccole. Se una parte della rete viene compromessa, agli hacker viene impedito di accedere al resto.
Un IDS è uno strumento per la sicurezza di rete che monitora il traffico di rete e i dispositivi in entrata alla ricerca di attività sospette o violazioni delle politiche di sicurezza. Un IPS monitora il traffico di rete alla ricerca di potenziali minacce e le blocca automaticamente. Molte organizzazioni utilizzano un sistema combinato chiamato sistema di rilevamento e prevenzione delle intrusioni (IDPS).
Un ISMS include linee guida e processi che aiutano le organizzazioni a proteggere i dati sensibili e a rispondere a una violazione dei dati. Disporre di linee guida aiuta anche a garantire la continuità in caso di un importante turnover del personale. ISO/IEC 27001 è un ISMS ampiamente utilizzato.
I sistemi SIEM aiutano i team di sicurezza aziendali a rilevare le anomalie del comportamento degli utenti e utilizzano l'intelligenza artificiale (AI) per automatizzare molti dei processi manuali connessi al rilevamento delle minacce e alla risposta agli incidenti.
Un SOC unifica e coordina tutte le tecnologie e le operazioni di cybersecurity sotto un team di professionisti della sicurezza IT dedicati al monitoraggio della sicurezza dell'infrastruttura IT 24 ore su 24.
L'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA) sono metodi di verifica dell'identità in cui gli utenti devono fornire più prove per dimostrare la propria identità e ottenere l'accesso a risorse sensibili.
La threat intelligence aiuta i team di sicurezza a essere più proattivi, consentendo loro di intraprendere azioni efficaci e basate sui dati per prevenire gli attacchi informatici prima che si verifichino.
L'UEBA è un software di sicurezza che utilizza l'analisi comportamentale e il machine learning per identificare comportamenti anomali e potenzialmente pericolosi di utenti e dispositivi.
Le organizzazioni devono affrontare un lungo elenco di potenziali minacce alla sicurezza delle informazioni.
- Attacchi informatici
- Errore di un dipendente
- Endpoint security inefficace
- Minacce interne
- Configurazioni errate
- Ingegneria sociale
Questi attacchi possono tentare di compromettere i dati di un'organizzazione da diverse direzioni, tra cui attacchi APT (Advanced Persistent Threat), botnet (reti di robot), DDoS (distributed denial-of-service), attacchi di download "drive-by" (che scaricano automaticamente codice dannoso), malware, phishing, ransomware, virus e worm.
Le persone possono perdere apparecchiature mobili contenenti informazioni sensibili, visitare siti web pericolosi su apparecchiature aziendali o utilizzare password facili da decifrare.
Qualsiasi laptop, dispositivo mobile o PC può essere un punto di ingresso nel sistema IT di un'organizzazione in assenza di adeguate soluzioni antivirus o di endpoint security.
Ci sono due tipi di minacce interne.
- Gli insider malevoli sono dipendenti, partner o altri utenti autorizzati che compromettono intenzionalmente la sicurezza delle informazioni di un'organizzazione, per tornaconto personale o per ripicca.
- Gli insider negligenti sono utenti autorizzati che compromettono involontariamente la sicurezza non seguendo le best practice di sicurezza.
Secondo il report X-Force Threat Intelligence Index , il 32% degli incidenti legati alla sicurezza riguarda l'uso di strumenti legittimi. Gli incidenti includono furto di credenziali, ricognizione, accesso remoto ed esfiltrazione dei dati.
Le organizzazioni si affidano a varie piattaforme e strumenti IT, tra cui opzioni di storage dei dati basate sul cloud, infrastructure as a service (IaaS), integrazioni software as a service (SaaS) e applicazioni web di vari fornitori. Configurazioni errate di uno di questi asset possono comportare rischi per la sicurezza.
Inoltre, modifiche interne o apportate dal provider possono portare a un "deriva della configurazione", in cui impostazioni valide diventano obsolete.
L' X-Force Threat Intelligence Index ha rilevato che durante i test di penetrazione, il rischio più osservato nelle applicazioni web negli ambienti client è stata la configurazione errata della sicurezza, che rappresenta il 30% del totale.
Gli attacchi di ingegneria sociale inducono i dipendenti a divulgare informazioni sensibili o password che aprono la porta ad atti dannosi.
Può anche accadere che, nel tentativo di promuovere un'organizzazione attraverso i social media, i dipendenti possano erroneamente divulgare troppe informazioni personali o aziendali che possono essere utilizzate dagli aggressori.
I vantaggi di un solido programma InfoSec possono aiutare i team di intere organizzazioni:
- Continuità aziendale
- Conformità
- Riduzione dei costi
- Maggiore efficienza
- Tutela della reputazione
- Riduzione del rischio
Le informazioni aziendali critiche possono essere protette e archiviate in modo più efficace, così da essere disponibili in caso di riavvio dopo un incidente di sicurezza.
Le normative sulla privacy e sulla protezione dei dati, come HIPAA e PCI-DSS, spesso richiedono la protezione delle informazioni sensibili. La sicurezza delle informazioni aiuta a garantire la conformità e a ridurre la responsabilità legale o la possibilità di incorrere in sanzioni.
Un sistema di sicurezza di livello aziendale consente alle organizzazioni di disporre di misure adeguate per diversi livelli di dati, con la possibilità di evitare spese eccessive per la sicurezza dei dati meno sensibili.
I dipendenti sono in grado di gestire le informazioni in modo appropriato quando i dati sono etichettati in modo più chiaro in base alla riservatezza e quando sono in atto processi più sicuri.
Le violazioni di sicurezza sono dannose per gli affari. Gli incidenti di sicurezza potrebbero comportare un costo immediato, ma anche una perdita di fiducia da parte dell'opinione pubblica.
Grazie a un sistema e a piani di risposta agli incidenti, le misure di sicurezza informatica possono contribuire a prevenire incidenti di sicurezza e attacchi informatici, come violazioni dei dati e minacce denial-of-service (DoS).
È possibile applicare misure di autenticazione per contribuire a proteggere dati personali e aziendali sensibili, tra cui dati finanziari e segreti commerciali. È possibile predisporre piani di disaster recovery per un recupero più rapido dagli incidenti di sicurezza.
Oltre alle minacce dirette alla sicurezza informatica, le organizzazioni devono affrontare molteplici sfide quando creano e gestiscono una strategia e un sistema InfoSec solidi.
- Autocompiacimento
- Complessità
- Connessioni globali
- Inflessibilità
- Integrazioni di terze parti
Con un nuovo sistema in atto, si potrebbe avere la tendenza ad andarsene, soddisfatti di aver portato a termine il compito. Ma le tecniche di hacking vengono continuamente affinate per stare al passo con le nuove misure di sicurezza. La manutenzione e l'attività di protezione dei dati sono raramente complete e sono necessari miglioramenti costanti ai controlli di sicurezza.
L'evoluzione completa dell'ambiente tecnologico richiede un sistema sofisticato e un team IT completamente aggiornato per gestire questi sistemi sempre più complessi. Questo include lo scambio sicuro di informazioni con l'Internet of Things (IoT) e tutti i dispositivi mobili.
La complessità può far perdere tempo: alcuni team IT scoprono che il loro impegno principale è quello di riconfigurare e mantenere continuamente il loro sistema di sicurezza.
Le aziende di tutto il mondo potrebbero utilizzare sistemi informatici diversi, avere diversi livelli di sicurezza delle informazioni e operare in base a normative diverse. Tutto ciò rende sempre più difficile lo scambio sicuro di dati a livello globale.
Bloccare tutte le informazioni potrebbe bloccare ogni progresso aziendale. Il difficile equilibrio consiste nell'avere un flusso di dati costruttivo all'interno di un'organizzazione, mantenendo i dati al sicuro all'interno dell'organizzazione e utilizzandoli in modo appropriato.
A seconda del loro livello di sicurezza, l'integrazione dei sistemi informativi con un fornitore terzo o un altro partner commerciale potrebbe essere difficile o creare nuovi rischi per la sicurezza.
Come proteggere i dati nei cloud ibridi e semplificare i requisiti di conformità.
Protezione completa e critica per i dati aziendali, le applicazioni e l'AI.
Soluzioni di cybersecurity basate sull'AI che si evolvono con la tua azienda.
Scopri come sta cambiando il panorama della sicurezza odierno e come affrontare le sfide e attingendo alla resilienza dell'AI generativa.
Più i team di sicurezza conoscono i diversi tipi di minacce alla cybersecurity, più efficacemente possono prevenire e rispondere agli attacchi informatici.
La sicurezza dei dati è la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita.
Note a piè di pagina
1 Occupational Outlook Handbook: Information Security Analysts (link esterno a ibm.com), US Bureau of Labor Statistics,17 aprile 2024.