Sicurezza delle Informazioni (InfoSec): cos’è?

Consulenza Sistemi di Gestione Aziendale & Consulente Privacy & DPO

Sicurezza delle Informazioni (InfoSec): ecco cos’è

Sicurezza delle Informazioni: i principi generali

La Sicurezza delle Informazioni, spesso chiamata InfoSec, è un insieme di procedure e strumenti di sicurezza che offrono una protezione per le informazioni “critiche” possedute da un’azienda, tutelandole da un eventuale utilizzo improprio, da un accesso non autorizzato o da eventi dannosi o distruttivi.

Con il termine InfoSec ci si riferisce pertanto, alla sicurezza ambientale e fisica, al controllo degli accessi e alla sicurezza informatica. La norma ISO 27001 guida alla realizzazione di un sistema di gestione aziendale per la sicurezza delle informazioni attraverso una metodologia chiara ed esauriente.

Sicurezza delle Informazioni e i 3 pilastri su cui si fonda: Riservatezza, Integrità e Disposibilità (RID)

L’informazione (Information data) è la conoscenza o l’insieme di dati che hanno valore per un individuo o per un’organizzazione.

La riservatezza, l’integrità e la disponibilità sono le caratteristiche principali di una solida protezione delle informazioni, e si pongono alla base dell’infrastruttura di sicurezza di un’azienda. La riservatezza, l’integrità e la disponibilità delle informazioni sono i tre principi guida per l’implementazione di un piano InfoSec.

Le persone, infatti, desiderano che le proprie informazioni, come ad esempio i dati bancari o i dati relativi allo stato di salute, siano protetti ed al sicuro, in particolare che siano accessibili solo a poche e fidate persone (principio della Riservatezza), accurati e corretti (principio della Integrità) e disponibili in poco tempo (principio della Disponibilità).

Analogamente, pertanto, anche un’azienda ha una percezione di cosa si intende per sicurezza delle informazioni; per esempio preservare la segretezza dei progetti e delle ricerche (principio della Riservatezza), accuratezza e correttezza di tutti i dati economici e di produzione (principio della Integrità) e informazioni sempre disponibili all’occorrenza (principio della Disponibilità).

Le informazioni sono archiviate e trasmesse su supporti, questi ultimi possono essere analogici come ad esempio i supporti cartacei, o digitali come ad esempio i DVD, le chiavette USB, gli hard disk dei PC, ecc…). Un caso particolare di supporto analogico è l’uomo, che nella sua memoria conserva informazioni.

Pertanto, quando si parla di sicurezza delle informazioni, non ci si limita alla sola sicurezza informatica, ossia relativa alle informazioni in formato digitale e trattate dai sistemi dell’Information and Communication Technology (ICT), ma a tutti i sistemi utilizzati per raccogliere, modificare, conservare, trasmettere e distruggere le informazioni.

Riservatezza

La privacy è uno dei componenti più importanti dell’InfoSec, e le organizzazioni devono prendere provvedimenti al fine di consentire l’accesso alle informazioni ai soli utenti autorizzati. La crittografia dei dati, l’ autenticazione a più fattori e la prevenzione della perdita dei dati sono alcuni degli strumenti utilizzati dalle aziende per garantire la riservatezza dei dati.

Integrità

Le aziende devono mantenere la riservatezza dei dati per tutto il loro ciclo di vita. Le aziende con una InfoSec solida riconoscono l’importanza di disporre di dati affidabili e accurati, e non permettono a utenti non autorizzati di accedervi, alterarli o interferire in alcun modo. Strumenti come le autorizzazioni dei file, la gestione delle identità e i controlli degli accessi degli utenti contribuiscono a garantire l’integrità dei dati.

Disponibilità

InfoSec prevede la manutenzione dell’hardware fisico e l’aggiornamento regolare dei sistemi per garantire che gli utenti autorizzati godano dell’accesso sicuro e immediato ai dati di cui hanno bisogno.

Sicurezza delle Informazioni: gli elementi principali per una corretta gestione

  • Sicurezza delle applicazioni: criteri, procedure, strumenti e strategie che hanno l’obiettivo di proteggere le applicazioni e i loro dati;
  • Sicurezza del cloud: criteri, procedure, strumenti e strategie che hanno l’obiettivo di proteggere tutti gli aspetti del cloud, inclusi i sistemi, i dati, le applicazioni e l’infrastruttura;
  • Crittografia: un metodo basato su algoritmi per la protezione delle comunicazioni che ha l’obiettivo di assicurare che solo i destinatari previsti di un messaggio specifico siano in grado di visualizzarlo e decifrarlo;
  • Ripristino di emergenza: un metodo per ristabilire la funzionalità dei sistemi tecnologici in seguito a un disastro naturale, attacco informatico o altro evento dannoso;
  • Risposta agli incidenti: il piano di un’organizzazione per la risposta, la correzione e la gestione delle conseguenze di un attacco informatico, di una violazione dei dati o di un altro evento dannoso;
  • Sicurezza dell’infrastruttura: la sicurezza di tutta l’infrastruttura tecnologica di un’organizzazione, che include sia i sistemi hardware che il software;
  • Gestione delle vulnerabilità: il processo di un’organizzazione per identificare, valutare e correggere le vulnerabilità negli endpoint, nel software e nei sistemi;

Sicurezza delle Informazioni: le minacce più comuni

Attacco con minaccia persistente avanzata (ATP)

Un attacco informatico sofisticato che si verifica per un periodo prolungato, durante il quale un utente malintenzionato (o gruppo) non rilevato ottiene l’accesso alla rete e ai dati di un’azienda.

Botnet

Deriva dal termine “robot network”, ed è una rete di dispositivi collegati che un utente malintenzionato infetta con codice malevolo e controlla da remoto.

Attacco di tipo Distributed Denial-of-Service (DDoS)

Gli attacchi DDoS utilizzano le botnet per sovraccaricare il sito web o l’applicazione di un’organizzazione e provocare l’interruzione o la negazione del servizio a utenti validi o visitatori.

Attacco con download inconsapevole

Una porzione di codice malevolo che scarica automaticamente contenuti sul dispositivo di un utente dopo la visita a un sito web, rendendo l’utente vulnerabile a ulteriori minacce.

Kit di exploit

Un set completo di strumenti che utilizza exploit per rilevare le vulnerabilità e infettare dispositivi con malware.

Minaccia interna

La possibilità che una persona interna all’organizzazione sfrutti l’accesso autorizzato, intenzionalmente o no, e danneggi o renda vulnerabili i sistemi, le reti e i dati dell’organizzazione.

Attacco Man-in-the-middle (MitM)

Un utente malintenzionato interrompe una comunicazione o un trasferimento di dati imitando un utente valido per rubare dati o informazioni.

Attacco di phishing

Negli attacchi di phishing vengono imitati utenti reali o organizzazioni legittime per rubare informazioni tramite email, messaggi di testo o altri metodi di comunicazione.

Ransomware

Un attacco malware con estorsione che cripta le informazioni di un’organizzazione o di una persona e che blocca l’accesso fino al pagamento di un riscatto.

Ingegneria sociale

Attacchi informatici che hanno origine da un’interazione umana, in cui l’utente malintenzionato guadagna la fiducia della vittima con tecniche di baiting, scareware o phishing e raccoglie informazioni personali che utilizza per lanciare un attacco.

Attacco tramite social network

Attacchi informatici che prendono di mira le piattaforme social, sfruttandole come meccanismi di distribuzione o rubando informazioni e dati di utenti.

Virus e worm

Malware non rilevati che si possono replicare automaticamente sulla rete o il sistema di un utente.

Sicurezza delle informazioni: come rispondere alla minacce

Le aziende possono utilizzare i sistemi di gestione della sicurezza delle informazioni (ISMS) per standardizzare i controlli di sicurezza di un’organizzazione, definendo standard aziendali o personalizzati per garantire la InfoSec e la gestione dei rischi. Un approccio sistematico all’InfoSec ti aiuterà a proteggere in modo proattivo l’organizzazione dai rischi inutili e consentirà al tuo team di correggere le minacce in modo efficiente man mano che si presenteranno.

Se il tuo team viene avvisato della presenza di una minaccia alla InfoSec, è necessario seguire questi passaggi:

  • Riunirsi con il team e fare riferimento al piano di risposta agli incidenti;
  • Identificare l’origine della minaccia;
  • Eseguire le azioni necessarie per contenere e correggere la minaccia;
  • Valutare i danni subiti;
  • Notificare le parti necessarie.

Contattaci per richiedere un appuntamento o per approfondire maggiormente i nostri servizi di consulenza

COMPILA IL FORM
  • Sistema di Gestione per la Qualità ISO 9001
  • Sistema di Gestione Ambientale ISO 14001
  • Sistema di Gestione per la Sicurezza delle Informazioni ISO 27001
  • Sistema di Gestione per la Salute e Sicurezza nei luoghi di Lavoro ISO 45001
  • Sistema di Gestione per la Continuità Operativa ISO 22301
  • Sistema di Gestione per la Sicurezza dei Dati Personali ISO 27701
  • Sistema di Gestione Anticorruzione ISO 37001
  • Sistema di Gestione dei Servizi IT ISO 20000
  • Sistema di Gestione per la Parità di Genere UNi PdR/125
  • Consulenza Modello Organizzativo 231
  • Consulenza per la Responsabilità Sociale SA8000
  • Consulenza per la Sicurezza Alimentare ISO 22000
 


Studio Rabaioli

Consulenza Sistemi di Gestione Aziendale
Consulenza Privacy & Data Protection Officer

Lead auditor ISO/IEC 27001
Lead auditor UNI/Pdr 125
Auditor ISO 9001 | ISO 14001 | ISO 45001

P.IVA IT12279420017
Cod. fisc.: RBLPLA75H25L219U

Professione esercitata ai sensi della Legge 14 gennaio 2013, n.4 (G.U. n.22 del 26.01.2013)

Lo Studio è fornitore abilitato sul MEPA e su altri portali d'acquisto PA italiani.

Studio i Consulenza Privacy & DPO Paolo Rabaioli - Torino - socio membro Federprivacy - FP-14697

LinkedIn

Pivacy Policy | Cookies Policy


I nostri contatti :



Via Pio VII° 132/bis
10127 - Torino (TO)



posta@studiorabaioli.it



+39 334.59.18.696





Siamo partner di:



CIQUADRO MANAGEMENT Srl

CIQUADRO Management S.r.l.



Reconsult Srl

Reconsult S.r.l.

Consulenza Sistemi di Gestione Aziendali – Studio Rabaioli