Cosa sono i controlli di sicurezza?

I controlli di sicurezza sono parametri implementati per proteggere diversi tipi di dati e infrastrutture importanti per un'organizzazione. Rientra in questa definizione qualsiasi tipo di protezione o contromisura messa in atto per evitare, rilevare, contrastare o ridurre al minimo i rischi per la sicurezza di proprietà fisiche, informazioni, sistemi informatici o altri asset.

Dato il crescente aumento di attacchi informatici, oggi i controlli sulla sicurezza dei dati sono più importanti che mai. Secondo uno studio condotto dalla Clark School dell'Università del Maryland, negli Stati Uniti si verifica un attacco alla sicurezza informatica in media ogni 39 secondi e ogni anno ne è vittima un americano su tre. Il 43% di questi attacchi riguarda le piccole imprese. Il danno economico causato dalla violazione dei dati negli Stati Uniti tra il marzo 2021 e il marzo 2022 ammonta a 9,44 milioni di dollari.

Allo stesso tempo, le normative sulla privacy dei dati sono in aumento, il che rende fondamentale per le aziende rafforzare le proprie politiche in materia di protezione dei dati o prepararsi a potenziali sanzioni. Lo scorso anno l'Unione europea ha implementato le rigide norme del Regolamento Generale sulla Protezione dei Dati (GDPR). Negli Stati Uniti, il Consumer Privacy Act della California è entrato in vigore il 1° gennaio 2020, mentre molti altri stati stanno attualmente valutando misure simili.

Queste normative in genere prevedono sanzioni severe per le aziende che non soddisfano i requisiti previsti. Per esempio, Facebook ha recentemente comunicato la sanzione di oltre 3 miliardi di dollari da parte della Federal Trade Commission per le carenze rilevate nelle politiche di protezione dei dati che hanno portato a diverse violazioni delle informazioni personali degli utenti.

Esistono diversi tipi di controlli di sicurezza che possono essere implementati per proteggere hardware, software, reti e dati da azioni ed eventi che potrebbero causare perdite o danni. Per esempio:

• I controlli di sicurezza fisica includono recinzioni perimetrali del data center, serrature, custodi, schede di controllo accessi, sistemi di controllo accessi biometrici, telecamere di sorveglianza e sensori di rilevamento delle intrusioni.
  
  
• I controlli di sicurezza digitali includono nomi utente e password, autenticazione a due fattori, software antivirus e firewall.
  
  
• I controlli di sicurezza informatica includono tutto ciò che è specificamente progettato per prevenire gli attacchi ai dati, tra cui la mitigazione degli attacchi DDoS e i sistemi di prevenzione delle intrusioni.
  
  
• I controlli di sicurezza del cloud includono le misure adottate in collaborazione con un provider del servizio cloud per garantire la protezione necessaria a dati e carichi di lavoro. Se la tua organizzazione esegue carichi di lavoro sul cloud, devi rispettare i requisiti di sicurezza delle politiche aziendali o di business e le normative del settore.

I sistemi di controllo di sicurezza, compresi i processi e la documentazione che definiscono l'implementazione e la gestione continua di questi controlli, sono definiti framework o standard.

I framework consentono a un'organizzazione di gestire in modo coerente i controlli di sicurezza su diversi tipi di risorse in base a una metodologia generalmente riconosciuta e testata. Di seguito sono indicati alcuni dei framework e degli standard più noti:

National Institute of Standards and Technology Cyber Security Framework

Nel 2014 il NIST (National Institute of Standards and Technology) ha creato un framework volontario per fornire alle organizzazioni una guida su come prevenire, rilevare e affrontare gli attacchi informatici. I metodi e le procedure di valutazione vengono utilizzati per determinare se i controlli di sicurezza di un'organizzazione sono implementati correttamente, funzionano come previsto e producono il risultato desiderato (nel rispetto dei requisiti di sicurezza dell'organizzazione). Il framework del NIST viene costantemente aggiornato in base ai progressi registrati nel campo della cybersecurity.

Controlli del Center for Internet Security

Il CIS (Center for Internet Security) ha ideato un elenco di azioni difensive ad alta priorità come punto di partenza "must-do, do-first" per ogni azienda che vuole prevenire gli attacchi informatici. Secondo il SANS Institute, che ha contribuito al loro sviluppo, "i controlli del CIS sono efficaci perché si basano sui modelli di attacco più comuni evidenziati nei principali report sulle minacce e controllati da una comunità molto ampia di professionisti del governo e del settore".

L'organizzazione può fare riferimento a questi e altri framework di sicurezza per sviluppare il proprio e stilare le politiche di sicurezza IT. Un framework ben sviluppato consente all'organizzazione di:

• Applicare le politiche di sicurezza IT tramite i controlli di sicurezza
• Istruire i dipendenti e gli utenti sulle linee guida per la sicurezza
• Rispettare le normative di settore e di conformità
• Raggiungere un'efficienza operativa tramite i controlli di sicurezza
• Valutare costantemente i rischi e gestirli tramite i controlli di sicurezza

Una soluzione di sicurezza è forte quanto il suo anello più debole. Devi quindi considerare più livelli di controlli di sicurezza (strategia nota anche come "difesa in profondità") per implementarli nella gestione dell'identità e degli accessi, nei dati, nelle applicazioni, nell'infrastruttura di rete o del server, nella sicurezza fisica e nell'intelligence della sicurezza.

Una valutazione dei controlli di sicurezza è un ottimo primo passo per determinare quali sono gli eventuali punti deboli. Consente di valutare i controlli attualmente in atto e determinare se sono implementati correttamente, funzionano come previsto e rispettano i requisiti di sicurezza. La pubblicazione speciale NIST 800-53 è stata sviluppata dal NIST come punto di riferimento per effettuare correttamente le valutazioni dei controlli di sicurezza. Le linee guida del NIST rappresentano un approccio di best practice che, se adottato, consente di ridurre il rischio di violazione della sicurezza per la tua organizzazione. In alternativa, l'organizzazione può anche creare una propria valutazione di sicurezza.

Di seguito sono indicati alcuni passaggi chiave per creare una valutazione di sicurezza:

• Determinare i sistemi di destinazione: crea un elenco di indirizzi IP da scansionare nella rete. L'elenco deve contenere gli indirizzi IP di tutti i sistemi e i dispositivi collegati alla rete dell'organizzazione.
  
  
• Determinare le applicazioni di destinazione: elenca le applicazioni Web e i servizi da scansionare. Determina il tipo di server delle applicazioni Web, il server Web, il database, i componenti di terze parti e le tecnologie utilizzate per creare le applicazioni esistenti.
  
  
• Eseguire la scansione delle vulnerabilità e segnalarle: mantieni informati tutti i gruppi di rete e i gruppi IT coinvolti nelle attività di valutazione. A volte una valutazione delle vulnerabilità può generare dei burst nel traffico di rete durante il caricamento di richieste nei server di destinazione. Inoltre, ottieni il pass-through non autenticato per gli IP dello scanner nella rete dell'organizzazione e assicurati che gli IP siano inseriti nella whitelist in IPS/IDS. In caso contrario, lo scanner può attivare un avviso di traffico dannoso, con conseguente blocco dell'IP.

Scopri di più su come valutare la vulnerabilità delle applicazioni e della rete della tua azienda creando una valutazione della sicurezza.