I controlli di sicurezza sono parametri implementati per proteggere varie forme di dati e di infrastrutture importanti per un'organizzazione. Qualsiasi tipo di salvaguardia o contromisura utilizzato per evitare, rilevare, contrastare o ridurre al minimo i rischi per proprietà fisiche, informazioni, sistemi di computer o altri asset è considerato un controllo di sicurezza.

Dato il numero crescente degli attacchi informatici, oggi i controlli di sicurezza dei dati sono più importanti che mai. Secondo uno studio della Clark School presso l'Università del Maryland, negli Stati Uniti gli attacchi alla sicurezza informatica ora si verificano in media ogni 39 secondi e colpiscono un americano su tre ogni anno; il 43% di questi attacchi prende di mira le piccole aziende. Tra luglio 2018 e aprile 2019 il costo medio di una violazione dei dati negli Stati Uniti è stato di 8,2 milioni di dollari.

Allo stesso tempo aumentano le normative sulla riservatezza dei dati. Per questo è indispensabile per le imprese rinforzare le loro politiche di protezione dei dati; in caso contrario potrebbero essere colpite da sanzioni. L'anno scorso l'Unione Europea ha implementato le regole severe del suo Regolamento Generale sulla Protezione dei Dati (GDPR). Negli Stati Uniti il Consumer Privacy Act della California entrerà in vigore l'1 gennaio 2020, mentre parecchi altri stati attualmente stanno valutando misure analoghe.

Queste normative in genere prevedono l'imposizione di sanzioni drastiche per le aziende che non soddisfano i requisiti. Per esempio, di recente Facebook ha comunicato di attendere una multa di più di 3 miliardi di dollari dalla U.S. Federal Trade Commission in seguito a carenze delle politiche di protezione dei dati che hanno condotto a diverse violazioni dei dati.

Esistono diversi tipi di controlli di sicurezza che possono essere implementati per proteggere hardware, software, reti e dati da azioni ed eventi che potrebbero causare perdite o danni. Ad esempio:

• I controlli di sicurezza fisici includono cose come la chiusura del perimetro del centro elaborazione dati, blocchi, barriere, tessere per il controllo degli accessi, sistemi di controllo biometrico degli accessi, videocamere di sorveglianza e sensori di rilevazione delle intrusioni.
• I controlli di sicurezza digitali includono cose come nomi utente e password, autenticazione a due fattori, software antivirus e firewall.
• I controlli di sicurezza informatica includono tutto ciò che è specificamente progettato per impedire gli attacchi ai dati, comprese attenuazione DDoS e prevenzione delle intrusioni nei sistemi.
• I controlli di sicurezza cloud includono le misure che si prendono in collaborazione con un fornitore di servizi cloud per assicurare la protezione necessaria a dati e carichi di lavoro. Se la tua organizzazione esegue carichi di lavoro sul cloud, devi soddisfare i requisiti di sicurezza delineati dalle politiche aziendali o del gruppo e dalle normative del settore.

I sistemi dei controlli di sicurezza, compresi i processi e la documentazione che definiscono la realizzazione e la gestione continuativa di tali controlli, sono detti framework o standard.

I framework abilitano un'organizzazione a gestire costantemente i controlli di sicurezza su diversi tipi di asset in base a una metodologia generalmente accettata e collaudata. Tra i framework e gli standard più noti abbiamo i seguenti:

National Institute of Standards and Technology Cyber Security Framework

Nel 2014 il NIST (National Institute of Standards and Technology) ha creato un framework volontario per fornire alle organizzazioni indicazioni su come impedire gli attacchi informatici, rilevarli e rispondervi. I metodi e le procedure di valutazione sono utilizzati per determinare se i controlli di sicurezza di un'organizzazione vengono implementati correttamente, se operano come designato e se producono il risultato desiderato (soddisfacendo i requisiti di protezione dell'organizzazione). Il framework del NIST (National Institute of Standards and Technology) è costantemente aggiornato per mantenere il passo con gli avanzamenti della sicurezza informatica.

Controlli del Center for Internet Security

Il CIS (Center for Internet Security) ha sviluppato un elenco di azioni difensive ad alta priorità che costituiscono un punto di partenza "imperativo e prioritario" per ogni impresa che mira a impedire gli attacchi informatici. Secondo il SANS Institute, che ha sviluppato i controlli del CIS (Center for Internet Security), "i controlli del CIS sono efficaci perché derivano dai più comuni schemi d'attacco evidenziati nei più importanti rapporti sulle minacce e verificati entro una vastissima comunità di specialisti delle autorità di governo e del settore".

L'organizzazione può fare riferimento a questi e altri framework per sviluppare il proprio framework di protezione e le politiche di IT Security. Un framework ben sviluppato assicura che un'organizzazione faccia quanto segue:

• Applicare politiche di IT Security attraverso i controlli di sicurezza
• Informare dipendenti e utenti circa le linee guida della protezione
• Adempiere alle normative settoriali e di conformità
• Raggiungere l'efficienza operativa attraverso i controlli di sicurezza
• Valutare continuamente i rischi e affrontarli attraverso i controlli di sicurezza

Una soluzione di sicurezza è forte solo quanto il suo anello più debole. Devi pertanto prendere in considerazione più strati di controlli di sicurezza (alias una strategia di difesa profonda) per realizzare i controlli di sicurezza su gestione delle identità e degli accessi, dati, applicazioni, infrastruttura di rete o di server, protezione fisica e intelligence della protezione.

Una valutazione dei controlli di sicurezza è un'eccellente prima misura per determinare dove esistono eventuali vulnerabilità. Una valutazione dei controlli di sicurezza ti consente di valutare i controlli che hai attualmente in funzione, determinare se sono implementati correttamente, in uso come designato e conformi ai tuoi requisiti di sicurezza. La Special Publication 800-53 del NIST (National Institute of Standards and Technology) è stata creata dal NIST come parametro di valutazione per il successo delle valutazioni dei controlli di sicurezza. Le linee guida del NIST (National Institute of Standards and Technology) servono da approccio secondo le migliori pratiche che, quando applicate, possono aiutare a mitigare il rischio di una compromissione della sicurezza per la tua organizzazione. In alternativa, la tua organizzazione può anche creare la propria valutazione della sicurezza.

Alcune misure chiave per la creazione di una valutazione della sicurezza includono quanto segue:

• Determinare i sistemi di destinazione: Crea un elenco degli indirizzi IP che è necessario scansionare nella tua rete. L'elenco deve contenere gli indirizzi IP di tutti i sistemi e dispositivi connessi alla rete della tua organizzazione.
• Determinare le applicazioni di destinazione: Elenca le applicazioni e i servizi web da scansionare. Determinare il tipo di server delle applicazioni web, server web, database, componenti di terze parti e tecnologie usate per creare le applicazioni esistenti.
• Scansione e segnalazione delle vulnerabilità: Mantieni informati i team di rete e i team IT su tutte le attività di valutazione, perché una valutazione delle vulnerabilità può occasionalmente creare picchi di traffico di rete quando i server di destinazione si caricano di richieste. Inoltre, ottieni il pass-through non autenticato per gli IP scanner in tutta la rete dell'organizzazione e assicura che gli IP siano nell'elenco dei mittenti attendibili nei sistemi di prevenzione delle intrusioni e nei sistemi di rilevamento delle intrusioni. In caso contrario, lo scanner può attivare un avviso di traffico dannoso, con conseguente blocco del suo IP.

Leggi di più su come valutare la vulnerabilità di applicazioni e reti della tua impresa creando la tua valutazione di sicurezza.

Il Cloud IBM soddisfa le severe linee guida e politiche del settore e delle autorità di governo e adotta diverse misure per una maggiore protezione fisica: puoi quindi sentirti sicuro nel modernizzare le tue applicazioni, indipendentemente dalla tua posizione nel percorso verso il cloud.
Passa alla fase successiva:

• Scopri tutti i modi in cui i controlli di sicurezza del Cloud IBM aiutano a salvaguardare e monitorare le tue applicazioni cloud.
  
  
• Ulteriori informazioni sul Cloud IBM.

Inizia con un account IBM Cloud oggi stesso.