I controlli di sicurezza sono parametri implementati per proteggere diversi tipi di dati e infrastrutture importanti per un'organizzazione. Rientra in questa definizione qualsiasi tipo di protezione o contromisura messa in atto per evitare, rilevare, contrastare o ridurre al minimo i rischi per la sicurezza di proprietà fisiche, informazioni, sistemi informatici o altri asset.
Dato il crescente aumento di attacchi informatici, oggi i controlli sulla sicurezza dei dati sono più importanti che mai. Secondo uno studio condotto dalla Clark School dell'Università del Maryland, negli Stati Uniti si verifica un attacco alla sicurezza informatica in media ogni 39 secondi e ogni anno ne è vittima un americano su tre. Il 43% di questi attacchi riguarda le piccole imprese. Il danno economico causato dalla violazione dei dati negli Stati Uniti tra il marzo 2021 e il marzo 2022 ammonta a 9,44 milioni di dollari.
Allo stesso tempo, le normative sulla privacy dei dati sono in aumento, il che rende fondamentale per le aziende rafforzare le proprie politiche in materia di protezione dei dati o prepararsi a potenziali sanzioni. Lo scorso anno l'Unione europea ha implementato le rigide norme del Regolamento Generale sulla Protezione dei Dati (GDPR). Negli Stati Uniti, il Consumer Privacy Act della California è entrato in vigore il 1° gennaio 2020, mentre molti altri stati stanno attualmente valutando misure simili.
Queste normative in genere prevedono sanzioni severe per le aziende che non soddisfano i requisiti previsti. Per esempio, Facebook ha recentemente comunicato la sanzione di oltre 3 miliardi di dollari da parte della Federal Trade Commission per le carenze rilevate nelle politiche di protezione dei dati che hanno portato a diverse violazioni delle informazioni personali degli utenti.
Esistono diversi tipi di controlli di sicurezza che possono essere implementati per proteggere hardware, software, reti e dati da azioni ed eventi che potrebbero causare perdite o danni. Per esempio:
I sistemi di controllo di sicurezza, compresi i processi e la documentazione che definiscono l'implementazione e la gestione continua di questi controlli, sono definiti framework o standard.
I framework consentono a un'organizzazione di gestire in modo coerente i controlli di sicurezza su diversi tipi di risorse in base a una metodologia generalmente riconosciuta e testata. Di seguito sono indicati alcuni dei framework e degli standard più noti:
Nel 2014 il NIST (National Institute of Standards and Technology) ha creato un framework volontario per fornire alle organizzazioni una guida su come prevenire, rilevare e affrontare gli attacchi informatici. I metodi e le procedure di valutazione vengono utilizzati per determinare se i controlli di sicurezza di un'organizzazione sono implementati correttamente, funzionano come previsto e producono il risultato desiderato (nel rispetto dei requisiti di sicurezza dell'organizzazione). Il framework del NIST viene costantemente aggiornato in base ai progressi registrati nel campo della cybersecurity.
Il CIS (Center for Internet Security) ha ideato un elenco di azioni difensive ad alta priorità come punto di partenza "must-do, do-first" per ogni azienda che vuole prevenire gli attacchi informatici. Secondo il SANS Institute, che ha contribuito al loro sviluppo, "i controlli del CIS sono efficaci perché si basano sui modelli di attacco più comuni evidenziati nei principali report sulle minacce e controllati da una comunità molto ampia di professionisti del governo e del settore".
L'organizzazione può fare riferimento a questi e altri framework di sicurezza per sviluppare il proprio e stilare le politiche di sicurezza IT. Un framework ben sviluppato consente all'organizzazione di:
Una soluzione di sicurezza è forte quanto il suo anello più debole. Devi quindi considerare più livelli di controlli di sicurezza (strategia nota anche come "difesa in profondità") per implementarli nella gestione dell'identità e degli accessi, nei dati, nelle applicazioni, nell'infrastruttura di rete o del server, nella sicurezza fisica e nell'intelligence della sicurezza.
Una valutazione dei controlli di sicurezza è un ottimo primo passo per determinare quali sono gli eventuali punti deboli. Consente di valutare i controlli attualmente in atto e determinare se sono implementati correttamente, funzionano come previsto e rispettano i requisiti di sicurezza. La pubblicazione speciale NIST 800-53 è stata sviluppata dal NIST come punto di riferimento per effettuare correttamente le valutazioni dei controlli di sicurezza. Le linee guida del NIST rappresentano un approccio di best practice che, se adottato, consente di ridurre il rischio di violazione della sicurezza per la tua organizzazione. In alternativa, l'organizzazione può anche creare una propria valutazione di sicurezza.
Di seguito sono indicati alcuni passaggi chiave per creare una valutazione di sicurezza:
Scopri di più su come valutare la vulnerabilità delle applicazioni e della rete della tua azienda creando una valutazione della sicurezza.
IBM® Cloud with Red Hat offre il massimo della sicurezza sul mercato, della scalabilità aziendale e dell’innovazione aperta, per sfruttare tutto il potenziale di cloud e AI.
In occasione del suo diciassettesimo compleanno, il Report Cost of a Data Breach 2022 ha condiviso gli ultimi insight relativi al panorama in espansione delle minacce, fornendo consigli su come risparmiare tempo e ridurre le perdite.
Scopri cosa sono gli attacchi DDoS, come funzionano e in che modo influiscono sulle applicazioni e sull'esperienza dell'utente.