Cos'è la sicurezza delle informazioni (InfoSec)?

Gli asset informativi, che possono includere dati finanziari, riservati, personali o sensibili, devono essere protetti. Questi asset possono assumere la forma di file e dati digitali, documenti cartacei, supporti fisici e persino linguaggio umano. Durante l'intero ciclo di vita dei dati, l'InfoSec supervisiona funzioni quali infrastruttura, software, test, audit e archiviazione.

Basata su principi decennali, la sicurezza delle informazioni si evolve continuamente per proteggere ambienti sempre più ibridi e multicloud da un panorama di minacce in continua evoluzione. Data la continua evoluzione di queste minacce, più team devono collaborare per aggiornare sia la tecnologia che i processi utilizzati in questa difesa.

La sicurezza delle informazioni digitali, detta anche sicurezza dei dati, riceve oggi la maggiore attenzione da parte dei professionisti della sicurezza informatica ed è l'oggetto di questo articolo.

I termini sicurezza delle informazioni, sicurezza IT, cybersecurity e sicurezza dei dati sono spesso (ed erroneamente) utilizzati in modo intercambiabile. Anche se questi ambiti si sovrappongono e si influenzano a vicenda, differiscono principalmente per il loro ambito.

• La sicurezza delle informazioni è un termine generico che comprende gli sforzi di un'organizzazione per proteggere le informazioni. Comprende la sicurezza degli asset IT fisici, la endpoint security, la crittografia dei dati, la sicurezza di rete e molto altro.

• La sicurezza IT si occupa anche della protezione degli asset IT fisici e digitali e dei data center, ma non include la protezione per l'archiviazione di file cartacei e altri supporti. Si concentra sugli asset tecnologici piuttosto che sulle informazioni stesse.

• La cybersecurity si concentra sulla protezione dei sistemi informativi digitali. L'obiettivo è contribuire a proteggere i dati e gli asset digitali dalle minacce informatiche. Pur essendo molto ampia, la cybersecurity ha un ambito ristretto, perché non si occupa della protezione dei dati cartacei o analogici.

• La sicurezza dei dati è la pratica di proteggere le informazioni digitali da accessi non autorizzati, danneggiamento o furto durante l'intero ciclo di vita. Include la physical security dell'hardware e dei dispositivi di storage, oltre ai controlli amministrativi e di accesso. Include anche la sicurezza logica delle applicazioni software, nonché policy e procedure organizzative.

I dati alimentano gran parte dell'economia mondiale e i criminali informatici ne conoscono il valore. Gli attacchi informatici che puntano a rubare informazioni sensibili, o nel caso di ransomware, tengono in ostaggio i dati, sono diventati più comuni, dannosi e costosi. Le pratiche e i principi di InfoSec possono contribuire a proteggere i dati da queste minacce.

Secondo il Report Cost of a Data Breach di IBM® , il costo totale medio di una violazione dei dati è di 4,44 milioni di dollari.

Per chi la subisce, una violazione dei dati rappresenta un danno su più livelli. Tempi di inattività imprevisti portano alla perdita di opportunità commerciali. Quando le informazioni sensibili dei clienti vengono esposte, spesso una società perde clienti e subisce danni significativi e talvolta irreparabili alla propria reputazione. Il furto di proprietà intellettuale può danneggiare la redditività di un'azienda ed ridurre il suo vantaggio competitivo.

Le vittime di una violazione dei dati possono anche incorrere in multe o sanzioni legali. Le normative governative, come la General Data Protection Regulation (GDPR) e le normative di settore, come l'Health Insurance Portability and Accountability Act (HIPAA), richiedono alle aziende di proteggere le informazioni sensibili dei propri clienti. La mancata osservanza di queste norme può comportare pesanti sanzioni.

Le aziende stanno investendo in tecnologie e talenti per la sicurezza delle informazioni. Secondo il report Cost of a Data Breach Report, il 51% delle organizzazioni prevede di aumentare gli investimenti in sicurezza dopo una violazione.

Tra le principali aree individuate per investimenti aggiuntivi rientrano la pianificazione e i test della risposta agli incidenti, gli strumenti per la sicurezza dei dati e le tecnologie di rilevamento e risposta alle minacce. Le organizzazioni che hanno effettuato ingenti investimenti nell'AI per la sicurezza e nell'automazione hanno registrato costi di violazione dei dati inferiori di 820.000 USD rispetto alla media.

I Chief Information Security Officer (CISO), che supervisionano gli sforzi per la sicurezza delle informazioni, sono diventati un punto fermo dei vertici aziendali.

Inoltre, sta aumentando la domanda di analisti della sicurezza informatica in possesso di certificazioni avanzate, come la certificazione Certified Information Systems Security Professional (CISSP) di ISC2. Il Bureau of Labor Statistics prevede che l'occupazione degli analisti della sicurezza informatica crescerà del 32% entro il 2032.¹

Le pratiche di sicurezza delle informazioni si basano su una serie di principi decennali in continua evoluzione:

• La triade CIA
• Garanzia di sicurezza delle informazioni
• Non ripudio

Proposta per la prima volta dal National Institute of Standards and Technology (NIST) nel 1977, la triade CIA ha lo scopo di guidare le organizzazioni nella scelta di tecnologie, politiche e pratiche per la protezione dei loro sistemi informatici. Gli elementi della triade della CIA includono:

• Riservatezza
• Integrità
• Disponibilità

Riservatezza significa garantire che le parti non possano accedere ai dati a cui non sono autorizzate ad accedere.

La riservatezza definisce un continuum di utenti, dagli insider privilegiati con accesso a gran parte dei dati dell'azienda, agli esterni autorizzati a visualizzare solo le informazioni che il pubblico è autorizzato o a cui è concesso visualizzare.

Le informazioni personali devono rimanere private. I dati sensibili sono riservati. Se una persona non autorizzata ottiene una password per accedere a dati protetti, sta compiendo una violazione della riservatezza.

Integrità significa garantire che tutte le informazioni contenute all'interno dei database aziendali siano complete e accurate.

Gli sforzi per l'integrità mirano a impedire alle persone di manomettere i dati, ad esempio mediante aggiunte, alterazioni o cancellazioni non autorizzate. L'integrità dei dati si applica per impedire sia agli avversari di alterare intenzionalmente i dati, sia agli utenti ben intenzionati di alterare i dati in modo non autorizzato.

Disponibilità significa garantire che gli utenti possano accedere alle informazioni per le quali sono autorizzati quando ne hanno bisogno.

La disponibilità impone che le misure e le politiche di sicurezza delle informazioni non interferiscano con l'accesso autorizzato ai dati. Gran parte della disponibilità è semplice, come ad esempio lavorare per garantire la solidità dell'hardware e del software per impedire che i siti di un'organizzazione vadano in tilt.

Il processo continuo per ottenere la riservatezza, l'integrità e la disponibilità dei dati all'interno di un sistema informativo è noto come "sicurezza delle informazioni".

Il non ripudio significa che un utente non può negare (ovvero ripudiare) di aver effettuato una transazione, come l'alterazione di dati o l'invio di un messaggio, perché ha dovuto superare l'autenticazione per eseguire la transazione.

Sebbene non faccia tecnicamente parte della triade CIA, il non ripudio combina aspetti di riservatezza e integrità delle informazioni. Il non ripudio implica garantire che solo gli utenti autorizzati lavorino con i dati e che possano utilizzare o modificare i dati solo in modi autorizzati.

I professionisti della sicurezza delle informazioni applicano i principi di InfoSec ai sistemi informativi creando programmi di sicurezza delle informazioni. Questi programmi sono raccolte di politiche, protezioni e piani per la sicurezza delle informazioni che mirano a garantire la sicurezza delle informazioni.

I componenti principali di un programma di sicurezza informatica possono essere:

• Valutazione del rischio
• Identificazione delle vulnerabilità
• Identificazione delle minacce
• Pianificazione della risposta agli incidenti

Una valutazione del rischio per la sicurezza delle informazioni esamina ogni aspetto del sistema informatico di un'azienda. La valutazione aiuta i professionisti della sicurezza informatica a comprendere esattamente i rischi a cui vanno incontro e a scegliere le misure di sicurezza e le tecnologie più appropriate per attenuarli.

Una vulnerabilità è una qualsiasi debolezza dell'infrastruttura informatica (IT) che gli avversari possono sfruttare per ottenere un accesso non autorizzato ai dati. Ad esempio, gli hacker possono utilizzare al meglio i bug di un programma informatico per introdurre malware o codice dannoso in un'app o un servizio altrimenti legittimo.

Anche gli utenti umani possono costituire delle vulnerabilità in un sistema informatico. Ad esempio, i criminali informatici possono manipolare gli utenti per indurli a condividere informazioni sensibili attraverso attacchi di ingegneria sociale come il phishing.

Una minaccia è tutto ciò che può compromettere la riservatezza, l'integrità o la disponibilità di un sistema informatico. 

Una minaccia informatica è una minaccia che sfrutta una vulnerabilità digitale. Ad esempio, un attacco denial-of-service (DoS) è una minaccia informatica in cui i criminali informatici sommergono di traffico parte del sistema informatico di un'azienda, causandone il blocco. 

Le minacce possono anche essere fisiche. I disastri naturali, gli assalti fisici o armati e persino i guasti sistemici dell'hardware sono considerati minacce al sistema informatico di un'azienda.

Un piano di risposta agli incidenti (IRP) in genere guida gli sforzi di un'organizzazione nella risposta agli incidenti.

I team di risposta agli incidenti di sicurezza informatica (CSIRT) spesso creano ed eseguono IRP con la partecipazione degli stakeholder di tutta l'organizzazione. I membri del CSIRT possono includere il Chief Information Security Officer (CISO), il Chief AI Officer (CAIO), il Security Operations Center (SOC), il personale IT e i rappresentanti del settore legale, della gestione del rischio e di altre discipline non tecniche.

Gli IRP descrivono in dettaglio le misure di mitigazione che un'organizzazione adotta quando viene rilevata una minaccia significativa. Sebbene gli IRP varino in base alle organizzazioni che li creano e alle minacce che prendono di mira, i passaggi più comuni includono:

• Riunire il team di sicurezza, virtualmente o di in presenza.
  
  
• Verificare l'origine della minaccia.
  
  
• Agire per contenere la minaccia e fermarla il prima possibile.
  
  
• Determinare l'eventuale presenza di danni.
  
  
• Informare le parti interessate all'interno dell'organizzazione, gli stakeholder e i partner strategici.

I programmi di sicurezza informatica utilizzano diversi strumenti e tecniche per affrontare minacce specifiche. Gli strumenti e le tecniche comuni di InfoSec includono:

• Crittografia
• Prevenzione della perdita di dati (DLP)
• EDR (Endpoint Detection and Response)
• Firewall
• Sistemi di rilevazione delle intrusioni (IDS) e prevenzione delle intrusioni (IPS)
• Sistemi di gestione della sicurezza delle informazioni (ISMS)
• Security Information and Event Management (SIEM)
• Security operations centers (SOC)
• Misure di autenticazione forti
• Threat intelligence
  
• Analisi del comportamento di utenti ed entità (UEBA)

La crittografia utilizza algoritmi per oscurare le informazioni in modo che solo le persone con il permesso e la capacità di decifrarle possano leggerle.

Le strategie e gli strumenti di DLP consentono di tenere traccia dell'utilizzo e del movimento dei dati all'interno di una rete e di applicare politiche di sicurezza granulari per prevenire perdite e fughe di dati.

Le soluzioni EDR monitorano continuamente i file e le applicazioni su ogni dispositivo, alla ricerca di attività sospette o dannose che indichino malware, ransomware o minacce avanzate.

Un firewall è un software o hardware che impedisce al traffico sospetto di entrare o uscire da una rete lasciando passare il traffico legittimo. I firewall possono essere distribuiti ai margini di una rete o utilizzati internamente per dividere una rete più grande in sottoreti più piccole. Se una parte della rete viene compromessa, agli hacker viene impedito di accedere al resto.

Un IDS è uno strumento di sicurezza della rete che monitora il traffico di rete e i dispositivi in entrata per individuare attività sospette o violazioni delle politiche di sicurezza. Un IPS monitora il traffico di rete alla ricerca di potenziali minacce e le blocca automaticamente. Molte organizzazioni utilizzano un sistema combinato chiamato sistema di rilevamento e prevenzione delle intrusioni (IDPS).

Un ISMS include linee guida e processi che aiutano le organizzazioni a proteggere i dati sensibili e a rispondere a una violazione dei dati. Disporre di linee guida aiuta anche a garantire la continuità in caso di un importante turnover del personale. ISO/IEC 27001 è un ISMS ampiamente utilizzato.

I sistemi SIEM aiutano i team di sicurezza aziendali a rilevare le anomalie del comportamento degli utenti e utilizzano l'intelligenza artificiale (AI) per automatizzare molti dei processi manuali connessi al rilevamento delle minacce e alla risposta agli incidenti.

Un SOC unifica e coordina tutte le tecnologie e le operazioni di cybersecurity sotto un team di professionisti della sicurezza IT dedicati al monitoraggio della sicurezza dell'infrastruttura IT 24 ore su 24.

L'autenticazione a due fattori (2FA) e l'autenticazione a più fattori (MFA) sono metodi di verifica dell'identità in cui gli utenti devono fornire più prove per dimostrare la propria identità e ottenere l'accesso a risorse sensibili. 

La threat intelligence aiuta i team di sicurezza a essere più proattivi, consentendo loro di intraprendere azioni efficaci e basate sui dati per prevenire gli attacchi informatici prima che si verifichino.

L'UEBA è un software di sicurezza che utilizza l'analisi comportamentale e il machine learning per identificare comportamenti anomali e potenzialmente pericolosi di utenti e dispositivi.

Le organizzazioni devono affrontare un lungo elenco di potenziali minacce alla sicurezza delle informazioni.

• Attacchi informatici
• Errore di un dipendente
• Endpoint security inefficace
• Minacce interne
• Configurazioni errate
• Ingegneria sociale

Questi attacchi possono tentare di compromettere i dati di un'organizzazione da diverse direzioni, tra cui attacchi APT ( Advanced Persistent Threat), botnet (reti di robot), DDoS ( distributed denial-of-service), attacchi di download "drive-by" (che scaricano automaticamente codice dannoso), malware, phishing, ransomware, virus e worm.

Le persone possono perdere apparecchiature mobili contenenti informazioni sensibili, visitare siti web pericolosi su apparecchiature aziendali o utilizzare password facili da decifrare.

Qualsiasi laptop, dispositivo mobile o PC può essere un punto di ingresso nel sistema IT di un'organizzazione in assenza di adeguate soluzioni antivirus o di endpoint security.

Ci sono due tipi di minacce interne.

• Gli insider malevoli sono dipendenti, partner o altri utenti autorizzati che compromettono intenzionalmente la sicurezza delle informazioni di un'organizzazione, per tornaconto personale o per ripicca.
  
  
• Gli insider negligenti sono utenti autorizzati che compromettono involontariamente la sicurezza non seguendo le best practice di sicurezza.
  

Secondo il rapporto X-Force Threat Intelligence Index , un numero significativo di incidenti di sicurezza comporta un uso dannoso di strumenti legittimi. Gli incidenti includono furto di credenziali, ricognizione, accesso remoto e esfiltrazione dei dati.

Le organizzazioni si affidano a varie piattaforme e strumenti IT, tra cui opzioni di storage dei dati basate sul cloud, infrastructure as a service (IaaS), integrazioni software as a service (SaaS) e applicazioni web di vari fornitori. Configurazioni errate di uno di questi asset possono comportare rischi per la sicurezza.

Inoltre, modifiche interne o apportate dal provider possono portare a un "deriva della configurazione", in cui impostazioni valide diventano obsolete.

L'X-Force Threat Intelligence Index ha rilevato che durante i test di penetrazione, il rischio più osservato nelle applicazioni web negli ambienti client è stata la configurazione errata della sicurezza, che rappresenta il 30% del totale.

Gli attacchi di ingegneria sociale inducono i dipendenti a divulgare informazioni sensibili o password che aprono la porta ad atti dannosi.

Può anche accadere che, nel tentativo di promuovere un'organizzazione attraverso i social media, i dipendenti possano erroneamente divulgare troppe informazioni personali o aziendali che possono essere utilizzate dagli aggressori.

I vantaggi di un solido programma InfoSec possono aiutare i team di intere organizzazioni:

• Continuità delle operazioni aziendali
• Conformità
• Riduzione dei costi
• Maggiore efficienza
• Tutela della reputazione
• Riduzione del rischio

Oltre alle minacce dirette alla sicurezza informatica, le organizzazioni devono affrontare molteplici sfide quando creano e gestiscono una strategia e un sistema InfoSec solidi.

• Autocompiacimento
• Complessità
• Connessioni globali
• Inflessibilità
• Integrazioni di terze parti

Con un nuovo sistema in atto, si potrebbe avere la tendenza ad andarsene, soddisfatti di aver portato a termine il compito. Ma le tecniche di hacking vengono continuamente affinate per stare al passo con le nuove misure di sicurezza. La manutenzione e l'attività di protezione dei dati sono raramente complete e sono necessari miglioramenti costanti ai controlli di sicurezza.

L'evoluzione completa dell'ambiente tecnologico richiede un sistema sofisticato e un team IT completamente aggiornato per gestire questi sistemi sempre più complessi. Questo include lo scambio sicuro di informazioni con l'Internet of Things (IoT) e tutti i dispositivi mobili.

La complessità può far perdere tempo: alcuni team IT scoprono che il loro impegno principale è quello di riconfigurare e mantenere continuamente il loro sistema di sicurezza.

Le aziende di tutto il mondo potrebbero utilizzare sistemi informatici diversi, avere diversi livelli di sicurezza delle informazioni e operare in base a normative diverse. Tutto ciò rende sempre più difficile lo scambio sicuro di dati a livello globale.

Bloccare tutte le informazioni potrebbe bloccare ogni progresso aziendale. Il difficile equilibrio consiste nell'avere un flusso di dati costruttivo all'interno di un'organizzazione, mantenendo i dati al sicuro all'interno dell'organizzazione e utilizzandoli in modo appropriato.

A seconda del loro livello di sicurezza, l'integrazione dei sistemi informativi con un fornitore terzo o un altro partner commerciale potrebbe essere difficile o creare nuovi rischi per la sicurezza.