Sicurezza delle Informazioni (InfoSec): ecco cos’è
Sicurezza delle Informazioni: i principi generali
La Sicurezza delle Informazioni, spesso chiamata InfoSec, è un insieme di procedure e strumenti di sicurezza che offrono una protezione per le informazioni “critiche” possedute da un’azienda, tutelandole da un eventuale utilizzo improprio, da un accesso non autorizzato o da eventi dannosi o distruttivi.
Con il termine InfoSec ci si riferisce pertanto, alla sicurezza ambientale e fisica, al controllo degli accessi e alla sicurezza informatica. La norma ISO 27001 guida alla realizzazione di un sistema di gestione aziendale per la sicurezza delle informazioni attraverso una metodologia chiara ed esauriente.
Sicurezza delle Informazioni e i 3 pilastri su cui si fonda: Riservatezza, Integrità e Disposibilità (RID)
L’informazione (Information data) è la conoscenza o l’insieme di dati che hanno valore per un individuo o per un’organizzazione.
La riservatezza, l’integrità e la disponibilità sono le caratteristiche principali di una solida protezione delle informazioni, e si pongono alla base dell’infrastruttura di sicurezza di un’azienda. La riservatezza, l’integrità e la disponibilità delle informazioni sono i tre principi guida per l’implementazione di un piano InfoSec.
Le persone, infatti, desiderano che le proprie informazioni, come ad esempio i dati bancari o i dati relativi allo stato di salute, siano protetti ed al sicuro, in particolare che siano accessibili solo a poche e fidate persone (principio della Riservatezza), accurati e corretti (principio della Integrità) e disponibili in poco tempo (principio della Disponibilità).
Analogamente, pertanto, anche un’azienda ha una percezione di cosa si intende per sicurezza delle informazioni; per esempio preservare la segretezza dei progetti e delle ricerche (principio della Riservatezza), accuratezza e correttezza di tutti i dati economici e di produzione (principio della Integrità) e informazioni sempre disponibili all’occorrenza (principio della Disponibilità).
Le informazioni sono archiviate e trasmesse su supporti, questi ultimi possono essere analogici come ad esempio i supporti cartacei, o digitali come ad esempio i DVD, le chiavette USB, gli hard disk dei PC, ecc…). Un caso particolare di supporto analogico è l’uomo, che nella sua memoria conserva informazioni.
Pertanto, quando si parla di sicurezza delle informazioni, non ci si limita alla sola sicurezza informatica, ossia relativa alle informazioni in formato digitale e trattate dai sistemi dell’Information and Communication Technology (ICT), ma a tutti i sistemi utilizzati per raccogliere, modificare, conservare, trasmettere e distruggere le informazioni.
Riservatezza
La privacy è uno dei componenti più importanti dell’InfoSec, e le organizzazioni devono prendere provvedimenti al fine di consentire l’accesso alle informazioni ai soli utenti autorizzati. La crittografia dei dati, l’ autenticazione a più fattori e la prevenzione della perdita dei dati sono alcuni degli strumenti utilizzati dalle aziende per garantire la riservatezza dei dati.
Integrità
Le aziende devono mantenere la riservatezza dei dati per tutto il loro ciclo di vita. Le aziende con una InfoSec solida riconoscono l’importanza di disporre di dati affidabili e accurati, e non permettono a utenti non autorizzati di accedervi, alterarli o interferire in alcun modo. Strumenti come le autorizzazioni dei file, la gestione delle identità e i controlli degli accessi degli utenti contribuiscono a garantire l’integrità dei dati.
Disponibilità
InfoSec prevede la manutenzione dell’hardware fisico e l’aggiornamento regolare dei sistemi per garantire che gli utenti autorizzati godano dell’accesso sicuro e immediato ai dati di cui hanno bisogno.
Sicurezza delle Informazioni: gli elementi principali per una corretta gestione
- Sicurezza delle applicazioni: criteri, procedure, strumenti e strategie che hanno l’obiettivo di proteggere le applicazioni e i loro dati;
- Sicurezza del cloud: criteri, procedure, strumenti e strategie che hanno l’obiettivo di proteggere tutti gli aspetti del cloud, inclusi i sistemi, i dati, le applicazioni e l’infrastruttura;
- Crittografia: un metodo basato su algoritmi per la protezione delle comunicazioni che ha l’obiettivo di assicurare che solo i destinatari previsti di un messaggio specifico siano in grado di visualizzarlo e decifrarlo;
- Ripristino di emergenza: un metodo per ristabilire la funzionalità dei sistemi tecnologici in seguito a un disastro naturale, attacco informatico o altro evento dannoso;
- Risposta agli incidenti: il piano di un’organizzazione per la risposta, la correzione e la gestione delle conseguenze di un attacco informatico, di una violazione dei dati o di un altro evento dannoso;
- Sicurezza dell’infrastruttura: la sicurezza di tutta l’infrastruttura tecnologica di un’organizzazione, che include sia i sistemi hardware che il software;
- Gestione delle vulnerabilità: il processo di un’organizzazione per identificare, valutare e correggere le vulnerabilità negli endpoint, nel software e nei sistemi;
Sicurezza delle Informazioni: le minacce più comuni
Attacco con minaccia persistente avanzata (ATP)
Un attacco informatico sofisticato che si verifica per un periodo prolungato, durante il quale un utente malintenzionato (o gruppo) non rilevato ottiene l’accesso alla rete e ai dati di un’azienda.
Botnet
Deriva dal termine “robot network”, ed è una rete di dispositivi collegati che un utente malintenzionato infetta con codice malevolo e controlla da remoto.
Attacco di tipo Distributed Denial-of-Service (DDoS)
Gli attacchi DDoS utilizzano le botnet per sovraccaricare il sito web o l’applicazione di un’organizzazione e provocare l’interruzione o la negazione del servizio a utenti validi o visitatori.
Attacco con download inconsapevole
Una porzione di codice malevolo che scarica automaticamente contenuti sul dispositivo di un utente dopo la visita a un sito web, rendendo l’utente vulnerabile a ulteriori minacce.
Kit di exploit
Un set completo di strumenti che utilizza exploit per rilevare le vulnerabilità e infettare dispositivi con malware.
Minaccia interna
La possibilità che una persona interna all’organizzazione sfrutti l’accesso autorizzato, intenzionalmente o no, e danneggi o renda vulnerabili i sistemi, le reti e i dati dell’organizzazione.
Attacco Man-in-the-middle (MitM)
Un utente malintenzionato interrompe una comunicazione o un trasferimento di dati imitando un utente valido per rubare dati o informazioni.
Attacco di phishing
Negli attacchi di phishing vengono imitati utenti reali o organizzazioni legittime per rubare informazioni tramite email, messaggi di testo o altri metodi di comunicazione.
Ransomware
Un attacco malware con estorsione che cripta le informazioni di un’organizzazione o di una persona e che blocca l’accesso fino al pagamento di un riscatto.
Ingegneria sociale
Attacchi informatici che hanno origine da un’interazione umana, in cui l’utente malintenzionato guadagna la fiducia della vittima con tecniche di baiting, scareware o phishing e raccoglie informazioni personali che utilizza per lanciare un attacco.
Attacco tramite social network
Attacchi informatici che prendono di mira le piattaforme social, sfruttandole come meccanismi di distribuzione o rubando informazioni e dati di utenti.
Virus e worm
Malware non rilevati che si possono replicare automaticamente sulla rete o il sistema di un utente.
Sicurezza delle informazioni: come rispondere alla minacce
Le aziende possono utilizzare i sistemi di gestione della sicurezza delle informazioni (ISMS) per standardizzare i controlli di sicurezza di un’organizzazione, definendo standard aziendali o personalizzati per garantire la InfoSec e la gestione dei rischi. Un approccio sistematico all’InfoSec ti aiuterà a proteggere in modo proattivo l’organizzazione dai rischi inutili e consentirà al tuo team di correggere le minacce in modo efficiente man mano che si presenteranno.
Se il tuo team viene avvisato della presenza di una minaccia alla InfoSec, è necessario seguire questi passaggi:
- Riunirsi con il team e fare riferimento al piano di risposta agli incidenti;
- Identificare l’origine della minaccia;
- Eseguire le azioni necessarie per contenere e correggere la minaccia;
- Valutare i danni subiti;
- Notificare le parti necessarie.