La sicurezza IT, ovvero la sicurezza informatica, è la pratica che consiste nel proteggere gli asset IT di un'organizzazione (sistemi informatici, reti, dispositivi digitali, dati) da accessi non autorizzati, violazioni dei dati, , attacchi informatici e altre attività dannose.
L'ambito della sicurezza IT è ampio e spesso coinvolge un insieme di tecnologie e soluzioni per la sicurezza. Questi lavorano insieme per affrontare le vulnerabilità nei dispositivi digitali, nelle reti di computer, nei server, nei database e nelle applicazioni software.
Gli esempi di sicurezza IT più comunemente citati includono le discipline di sicurezza digitale come la sicurezza degli endpoint, la sicurezza cloud, la sicurezza di rete e la sicurezza delle applicazioni. Ma la sicurezza IT include anche misure di sicurezza fisiche (ad esempio serrature, carte d'identità, telecamere di sorveglianza) necessarie per proteggere edifici e dispositivi che ospitano dati e risorse IT.
La sicurezza IT viene spesso confusa con la cybersecurity, una disciplina più ristretta che è tecnicamente un sottoinsieme della sicurezza IT. La cybersecurity si concentra principalmente sulla protezione delle organizzazioni da attacchi digitali come ransomware, malware e phishing. La sicurezza IT serve l'intera infrastruttura tecnica di un'organizzazione, inclusi sistemi hardware, applicazioni software ed endpoint, come laptop e dispositivi mobili. La sicurezza informatica protegge inoltre la rete aziendale e i suoi vari componenti, come i data center fisici e quelli basati su cloud.
Ottieni insight dettagliati per gestire meglio il rischio di una violazione dei dati con l'ultimo report di Cost of a Data Breach.
Registrati per l'X-Force Threat Intelligence Index
Gli attacchi informatici e gli incidenti di sicurezza possono comportare un costo enorme in termini di perdite economiche, danni alla reputazione, sanzioni e, in alcuni casi, estorsioni e furti di asset.
Ad esempio, il report Cost of a Data Breach 2023 ha analizzato oltre 550 aziende che hanno subito una violazione dei dati nel periodo compreso tra marzo 2022 e marzo 2022. Il costo medio di una violazione dei dati per queste aziende è stato di 4,45 milioni di dollari, con un aumento del 2,3% rispetto ai risultati di uno studio simile dell'anno precedente e del 15,3% rispetto a uno studio del 2020. I fattori che contribuiscono ai costi includono molteplici aspetti, dalla notifica ai clienti, ai dirigenti e alle autorità di regolamentazione, alle sanzioni, alla perdita di guadagni durante i tempi di inattività fino alla perdita permanente di clienti.
Alcuni incidenti di sicurezza sono più costosi di altri. Un ransomware attacca la crittografia dei dati di un'organizzazione, rende inutilizzabili i sistemi e richiede un pagamento ransom costoso per una chiave di decrittografia per sbloccare i dati. Sempre più spesso, i criminali informatici chiedono un secondo riscatto per evitare di condividere i dati sensibili con il pubblico o con altri criminali informatici. Secondo la IBM Security Definitive Guide to Ransomware 2023, le richieste di riscatto hanno raggiunto importi a 7 e 8 cifre fino ad arrivare, in casi estremi, a 80 milioni di dollari.
Com’era prevedibile, gli investimenti nella sicurezza IT continuano a crescere. L’analista di settore Gartner® ha previsto che nel 2023 le organizzazioni spenderanno 188,3 miliardi di dollari in risorse e servizi per la sicurezza delle informazioni e la gestione del rischio. La previsione prevede inoltre che tale mercato continuerà a crescere nei prossimi anni, superando i 260 miliardi di dollari entro il 2026 (link esterno a ibm.com), seguendo il suo tasso di crescita annuale composto dell'11% a partire dal 2021.
La cloud security affronta le minacce informatiche esterne e interne all'infrastruttura, alle applicazioni e ai dati basati sul cloud di un'organizzazione. La cloud security si basa su un modello a responsabilità condivisa: in generale, il cloud service provider (CSP) è responsabile della sicurezza dell'infrastruttura con cui fornisce i servizi cloud e il cliente è responsabile della sicurezza di tutto ciò che esegue su tale infrastruttura. Tuttavia, i dettagli di questa responsabilità condivisa variano a seconda del cloud service.
La endpoint security protegge dagli attacchi informatici gli utenti finali e i dispositivi endpoint come desktop, laptop, telefoni cellulari e server. La endpoint security protegge inoltre le reti dai criminali informatici che tentano di utilizzare i dispositivi endpoint per sferrare attacchi informatici ai propri dati sensibili e ad altri asset.
La sicurezza di rete ha tre obiettivi principali: il primo obiettivo è prevenire l'accesso non autorizzato alle risorse di rete. Il secondo obiettivo mira a rilevare e bloccare gli attacchi informatici e le violazioni della sicurezza in tempo reale. Il terzo obiettivo garantisce che gli utenti autorizzati abbiano un accesso sicuro alle risorse di rete di cui hanno bisogno quando necessario.
La sicurezza delle applicazioni si riferisce alle misure adottate dagli sviluppatori durante la creazione di un'app. Questi passaggi affrontano potenziali vulnerabilità e proteggono i dati dei clienti e il loro codice da furti, perdite o compromissioni.
L'internet security protegge i dati e le informazioni sensibili trasmesse, memorizzate o elaborate da browser o app. L'internet security comprende una serie di pratiche e tecnologie di sicurezza che monitorano il traffico internet in entrata alla ricerca di malware e altri contenuti dannosi. Le tecnologie in quest'area includono meccanismi di autenticazione, gateway web, protocolli di crittografia e, soprattutto, firewall.
La sicurezza dell'Internet of Things (IoT) si concentra sulla prevenzione di sensori e dispositivi connessi a Internet, ad esempio telecamere Doorbell, elettrodomestici intelligenti, automobili moderne. L'IoT mira a impedire agli hacker di assumere il controllo di questi dispositivi. Impedisce inoltre agli hacker di utilizzare questi dispositivi per infiltrarsi nella rete di un'organizzazione. La sicurezza dell'operational technology (OT) si concentra più specificamente sui dispositivi connessi che monitorano o controllano i processi all'interno di un'azienda, ad esempio i sensori su una linea di assemblaggio automatizzata.
Ogni organizzazione è suscettibile alle minacce informatiche provenienti dall'interno e dall'esterno della propria organizzazione. Queste minacce possono essere intenzionali, come nel caso dei criminali informatici, o involontarie, come nel caso di dipendenti o collaboratori che aprono link dannosi o scaricano malware accidentalmente.
La sicurezza IT mira ad affrontare questa vasta gamma di rischi per la sicurezza e a tenere conto dei vari tipi di attori delle minacce e delle loro diverse motivazioni, tattiche e livelli di abilità.
Il malware è un software dannoso che può rendere inutilizzabili i sistemi infetti, distruggere dati, rubare informazioni e persino cancellare file critici per il sistema operativo.
I tipi di malware più noti includono:
Il ransomware è un malware che blocca i dati o il dispositivo della vittima e minaccia di tenerli bloccati o peggio, a meno che la vittima non paghi un riscatto all'autore dell'attacco. Secondo l'IBM® Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
Un trojan horse è un malware che induce le persone a scaricarlo mascherandosi come programma utile o nascondendosi all'interno di un software legittimo. Un trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un trojan dropper installa un ulteriore malware una volta che ha un punto d'appoggio.
Lo spyware raccoglie segretamente informazioni sensibili come nomi utente, password, numeri di carte di credito e altri dati personali e le trasmette all'hacker.
Un worm è un malware auto-replicante che può diffondersi automaticamente tra app e dispositivi.
Spesso definita "human hacking", l'ingegneria sociale manipola le vittime inducendole a intraprendere azioni che espongono informazioni sensibili, compromettono la sicurezza o minacciano il benessere finanziario della loro organizzazione.
Il phishing l'attacco di ingegneria sociale più noto e pervasivo. Gli attacchi di phishing utilizzano e-mail, messaggi di testo o telefonate fraudolente per ingannare le persone. Questi attacchi mirano a indurre le persone a condividere dati personali o accedere alle credenziali, scaricare malware, inviare denaro a criminali informatici o intraprendere altre azioni che potrebbero esporli ai crimini informatici. Tipi speciali di phishing includono:
Spear phishing: un attacco di phishing altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dati dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente.
Whale phishing:spear phishing che prende di mira dirigenti d'azienda o persone che hanno accesso a tante informazioni.
Business email compromise (BEC): truffe in cui i criminali informatici si manifestano come dirigenti, fornitori o soci aziendali fidati per indurre le vittime a trasferire denaro o a condividere dati sensibili.
Un'altra tattica di ingegneria sociale, il tailgating, è meno tecnica ma non meno pericolosa per la sicurezza IT: consiste nel seguire (o "tailing") un individuo con accesso fisico a un data center (ad esempio, qualcuno con un documento d'identità) e nell'intrufolarsi letteralmente dietro di lui prima che la porta si chiuda.
Un attacco DoS travolge un sito web, un'applicazione o un sistema con volumi di traffico fraudolento, rendendolo troppo lento da utilizzare o del tutto non utilizzabile per gli utenti legittimi. Un attacco DDoS (distributed denial-of-service) utilizza una rete di dispositivi infetti da malware connessi a Internet, chiamata botnet, per paralizzare o mettere fuori uso l'applicazione o il sistema di destinazione.
Uno strumento zero-day utilizza al meglio una falla nella sicurezza sconosciuta o non ancora risolta nel software, nell'hardware o nel firmware del computer. Il termine "zero-day" si riferisce al fatto che il fornitore del software o del dispositivo non ha nemmeno un giorno, ovvero non ha tempo, per correggere la falla, perché gli utenti malintenzionati possono già utilizzarla per ottenere l'accesso ai sistemi vulnerabili.
Le minacce interne provengono da dipendenti, partner e altri utenti con accesso autorizzato alla rete. Che siano involontarie (ad esempio, un fornitore terzo che ha indotto a lanciare malware) o dolose (ad esempio, un dipendente scontento che ha deciso di vendicarsi), le minacce interne sono difficili da affrontare. Un recente report di Verizon (link esterno a ibm.com) rivela che mentre le minacce esterne compromettono in media circa 200 milioni di record, le minacce che coinvolgono un autore interno hanno portato all'esposizione di ben 1 miliardo di record.
In un attacco MITM, un criminale informatico intercetta una connessione di rete e intercetta e ritrasmette i messaggi tra due parti per sottrarre i dati. Le reti Wi-Fi non protette sono un terreno di caccia per gli hacker che lanciano attacchi MITM.
Poiché le minacce alla sicurezza informatica continuano ad aumentare in termini di ferocia e complessità, le organizzazioni stanno implementando strategie di sicurezza IT che combinano una gamma di sistemi, programmi e tecnologie per la sicurezza.
Supervisionate da team di sicurezza esperti, queste pratiche e tecnologie per la sicurezza informatica possono aiutare a proteggere l'intera infrastruttura IT di un'organizzazione e a evitare o mitigare l'impatto di minacce informatiche note e sconosciute.
Poiché molti attacchi informatici, come gli attacchi di phishing, sfruttano le vulnerabilità umane, la formazione dei dipendenti è diventata un'importante linea di difesa dalle minacce interne.
La formazione sulla sensibilizzazione alla sicurezza insegna ai dipendenti a riconoscere le minacce alla sicurezza e ad adottare abitudini sicure sul posto di lavoro. Gli argomenti trattati includono spesso la conoscenza del phishing, la sicurezza delle password, l'importanza di eseguire aggiornamenti regolari del software e le questioni relative alla privacy, come la protezione dei dati dei clienti e di altre informazioni sensibili.
L' autenticazione a più fattori richiede una o più credenziali oltre a un nome utente e una password. L'implementazione dell'autenticazione a più fattori può impedire a un hacker di accedere alle applicazioni o ai dati sulla rete. Questa autenticazione funziona anche se l'hacker è in grado di rubare oppure ottenere il nome utente e la password di un utente legittimo.
L'autenticazione a più fattori è fondamentale per le organizzazioni che utilizzano sistemi single sign-on. Questi sistemi consentono agli utenti di accedere a una sessione una volta sola e di accedere a più applicazioni e servizi correlati durante quella sessione senza effettuare nuovamente l'accesso.
La risposta agli incidenti, talvolta chiamata risposta agli incidenti di cybersecurity, si riferisce ai processi e alle tecnologie di un'organizzazione per rilevare e rispondere alle minacce informatiche, alle violazioni della sicurezza e agli attacchi informatici. L'obiettivo della risposta agli incidenti è prevenire gli attacchi informatici prima che si verifichino e ridurre al minimo i costi e le interruzioni delle attività derivanti da eventuali attacchi informatici.
Numerose organizzazioni creano un piano di risposta formale agli incidenti (IRP) che definisce i processi e i software per la sicurezza che utilizzano per individuare, contenere e risolvere diversi tipi di attacchi informatici. Secondo il report Cost of a Data Breach 2003, per le organizzazioni che creano e testano regolarmente un IRP formale, il costo di una violazione dei dati è stato inferiore di 232.008 USD rispetto alla media di 4,45 milioni di USD.
Nessun singolo strumento di sicurezza può prevenire del tutto gli attacchi informatici. Tuttavia, diversi strumenti possono svolgere un ruolo nel mitigare i rischi, prevenire gli attacchi informatici e ridurre al minimo i danni quando si verifica un attacco.
Tra i software per la sicurezza più comuni che aiutano a rilevare e deviare gli attacchi informatici troviamo:
Strumenti per la sicurezza delle e-mail, tra cui software anti-phishing basati sull'AI, filtri antispam e gateway di e-mail sicuri
Software antivirus per neutralizzare spyware o malware che gli hacker potrebbero utilizzare per prendere di mira la sicurezza della rete e condurre ricerche, intercettare conversazioni o prendere il controllo di account di posta elettronica
Patch di sistema e software per eliminare le vulnerabilità tecniche comunemente sfruttate dagli hacker
Gateway web sicuri e altri strumenti di filtraggio web per bloccare siti dannosi spesso collegati a e-mail di phishing
Le soluzioni di rilevamento e risposta alle minacce utilizzano l'analisi, l'AI e l'automazione per aiutare i team di sicurezza a rilevare le minacce note e le attività sospette. Consentono ai team di sicurezza di agire per eliminare la minaccia o ridurne l'impatto. Queste tecnologie includono l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR),, la gestione degli incidenti e degli eventi di sicurezza (SIEM), il rilevamento e la risposta degli endpoint (EDR), il rilevamento e la risposta della rete (NDR) e il rilevamento e la risposta estesi (XDR).
- La sicurezza offensiva, chiamata anche "OffSec", fa riferimento a una serie di strategie di sicurezza proattive che utilizzano le tattiche degli avversari, ovvero le stesse tattiche utilizzate dai soggetti malintenzionati nel corso di attacchi reali, per rafforzare la sicurezza della rete anziché comprometterla.
Le operazioni di sicurezza offensive sono spesso eseguite da hacker etici, ovvero esperti di cybersecurity che utilizzano le proprie capacità di hacking per individuare e correggere le falle di un sistema IT. I metodi di sicurezza offensivi più comuni includono:
- Scansione delle vulnerabilità: utilizza gli stessi strumenti utilizzati dai criminali informatici per rilevare e identificare falle e punti deboli nella sicurezza dell'infrastruttura IT e delle applicazioni di un'organizzazione.
Test di penetrazione :lancio di un attacco informatico per individuare vulnerabilità e punti deboli nei sistemi informatici, nei workflow di risposta e nella consapevolezza degli utenti in materia di sicurezza. Alcune normative sulla privacy dei dati, come il PCI-DSS (Payment Card Industry Data Security Standard), richiedono l'esecuzione di test di penetrazione come requisito di conformità.
Red teaming: autorizzare un team di hacker etici a lanciare un attacco informatico simulato e mirato a un'organizzazione.
La sicurezza offensiva integra il software di sicurezza e altre misure di sicurezza difensive: scopre vie di attacco informatico sconosciute, o vettori, che altre misure di sicurezza potrebbero non rilevare. E produce i team di sicurezza delle informazioni che i team possono utilizzare per rafforzare le loro misure di sicurezza difensive.
Data la loro significativa sovrapposizione, i termini "sicurezza IT", "sicurezza delle informazioni" e "cybersecurity" sono spesso (ed erroneamente) utilizzati in modo intercambiabile. Si differenziano principalmente per l'ambito di applicazione.
- La sicurezza delle informazioni è la protezione dei file digitali e dei dati di un'organizzazione, dei documenti cartacei, dei supporti fisici e persino del linguaggio umano rispetto all'accesso, alla divulgazione, all'utilizzo o all'alterazione non autorizzati. La sicurezza delle informazioni ha l'ambito più ampio dei tre: esattamente come la sicurezza IT, riguarda la protezione degli asset IT fisici e dei data center. Inoltre, riguarda la sicurezza fisica delle strutture per la memorizzazione di file cartacei e altri supporti.
- La cybersecurity si concentra sulla protezione dei dati e degli asset digitali dalle minacce informatiche: azioni dannose da parte di attori esterni e interni e minacce accidentali poste da insider poco attenti. Pur essendo molto ampia, la cybersecurity ha l'ambito più ristretto dei tre, in quanto non riguarda la protezione di dati cartacei o analogici.
Proteggi l'infrastruttura e la rete da sofisticate minacce alla cybersecurity utilizzando competenze comprovate sulla sicurezza e soluzioni moderne. Queste soluzioni includono il rilevamento e la prevenzione delle intrusioni, la gestione della sicurezza degli endpoint e altro ancora.
Proteggi l'intera rete dalle minacce avanzate e dai malware, con soluzioni per la sicurezza di rete di nuova generazione in grado di riconoscere in modo intelligente anche le minacce sconosciute e di adattarsi per evitarle in tempo reale.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
Leggi come il software SIEM (gestione delle informazioni e degli eventi sulla sicurezza) aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.