Guida alla sicurezza informatica aziendale, dall’Assessment allo Zero-Trust

La sicurezza informatica aziendale è una delle sfide chiave degli ultimi anni. Lo è sia per ragioni strutturali, legate alla centralità acquisita dal mondo IT, sia per ragioni contingenti, dovute alla frequenza sempre maggiore di attacchi informatici diretti alle aziende.

Se le soluzioni tecnologiche non mancano, uno dei più grandi scogli da superare resta quello culturale: troppo spesso, infatti, le attuali problematiche di sicurezza sono legate alla scarsa consapevolezza di dipendenti e operatori. Per evitare pericoli di sicurezza e aggirare le minacce informatiche occorre intervenire prima di tutto con un cambio di mentalità nella cultura aziendale.

Che cos’è la sicurezza informatica

Spesso gli utenti non tecnici considerano la sicurezza informatica aziendale alla stregua di un valore astratto. Secondo questa visione, una volta introdotti i necessari accorgimenti tecnici, il problema può ritenersi completamente risolto. In realtà, la sicurezza informatica va ben oltre l’adozione di soluzioni tecnologiche.

Essa comprende un ampio insieme di misure e di strumenti finalizzati a garantire la salvaguardia del patrimonio di informazioni proprio dell’azienda nel suo complesso. Accanto alle misure di sicurezza digitale, necessarie a difendere i propri dati da minacce interne ed esterne, include infatti anche aspetti legati ai processi aziendali, all’organizzazione del lavoro e alle attività svolte dal singolo dipendente.

Sebbene i sistemi di prevenzione attiva e il monitoraggio dei rischi siano oggi ormai indispensabili, sono ancora molti i casi in cui violazioni e attacchi informatici hanno origine da un errore umano. Secondo una ricerca condotta nel 2020 in Italia, il 74% delle grandi aziende considera la scarsa consapevolezza delle minacce la maggiore preoccupazione in termini di sicurezza e una delle principali vulnerabilità nell’uso degli strumenti in cloud.

Ecco perché serve un approccio differente alla sicurezza informatica aziendale, che preveda, accanto alle indispensabili soluzioni tecniche e strategiche, anche un intenso lavoro sulla cultura aziendale e sulla formazione. Ciò aiuterebbe a minimizzare tutte quelle minacce che non possono essere neutralizzate da un punto di vista esclusivamente tecnologico.

Sicurezza informatica aziendale: l’antivirus non basta più (e forse non è mai bastato) 

Nella visione degli utenti non tecnici nella maggior parte dei casi la sicurezza informatica aziendale è un valore astratto: si da per assunto che una volta adottati alcuni provvedimenti tecnici la problematica sia completamente risolta. I fatti dimostrano ampiamente come questa sia una convinzione errata è da scardinare. Sistemi di prevenzione attiva e monitoraggio dei rischi sono sicuramente indispensabili, ma sono ancora molti i casi in cui violazioni e attacchi hanno origine dall’errore umano. Secondo questa ricerca nel 74% delle aziende italiane la scarsa consapevolezza dei rischi è considerata una delle principali vulnerabilità nell’uso degli strumenti in Cloud. 

Per questo motivo serve un approccio differente alla sicurezza informatica aziendale che preveda, accanto alle indispensabili soluzioni tecniche e strategiche, anche un intenso lavoro su cultura aziendale e formazione, volto a minimizzare tutte le minacce che non possono essere neutralizzate da un punto di vista esclusivamente tecnologico. 

Ma, come garantire la sicurezza? 

L’approccio di Quanture si basa su tre concetti fondamentali: protezione, disponibilità dei dati, consapevolezza e formazione. Oggi, infatti, solo un approccio olistico può garantire un livello di sicurezza adeguato alle necessità di un mercato in cui i cyberattacchi sono sempre più numerosi ed efficienti. 

La protezione delle identità e degli endpoint

Il primo passo è senza dubbio quello di mettere in sicurezza uno degli asset aziendali strategici, ovvero le identità del personale e in generale di chi ha accesso all’infrastruttura IT. La soluzione Hybrid Active Directory di Microsoft Azure permette di adottare accorgimenti strutturali che, come suggerisce il nome, uniscono il meglio delle funzionalità on premises con il meglio del Cloud. Come in un AD tradizionale, infatti, è possibile creare regole di accesso condizionale alle risorse in modo dettagliato (e contingente, se necessario) ma, al contempo, è possibile centralizzare le autenticazioni su un unico provider di identità, anche nel caso di accessi ibridi su rete interna e cloud aziendale in modalità BYOD (Bring Your Own Device), utilizzando un solo set di credenziali e sfruttando i più efficaci sistemi di autenticazione a due fattori.

Quali sono le regole per la sicurezza informatica

Per far sì che la sicurezza informatica entri davvero a far parte della cultura aziendale, bisogna partire dalle regole: avere ben chiaro cosa significa mantenere al sicuro la propria azienda aiuta infatti ad acquisire maggiore consapevolezza sui rischi a cui è esposta e sui comportamenti da adottare per prevenire tali minacce. Il cybersecurity framework delineato dal National Institute of Standards and Technology (NIST) individua cinque elementi chiave per garantire la sicurezza informatica di un’organizzazione: identificazione, protezione, rilevamento, risposta e ripristino.

1. Identificazione

Per proteggere la propria azienda dagli attacchi informatici, occorre innanzitutto comprendere in modo approfondito quali sono gli asset e le risorse più importanti dell’organizzazione e quali le minacce da cui tenersi lontano. L’identificazione è perciò la fase che prevede una corretta gestione di asset e ambiente aziendale, la valutazione dei rischi e la strategia di gestione degli stessi.

2. Protezione

Una volta individuati rischi e beni da tutelare, occorre adottare le misure di protezione adeguate – tra cui i controlli di sicurezza e l’implementazione di soluzioni a tutela delle infrastrutture critiche, dalla gestione delle identità al controllo degli accessi. Oltre alla tecnologia di protezione e sicurezza dei dati, fa parte di questa fase anche l’attività formativa rivolta al personale.

3. Rilevamento

Il terzo elemento chiave è il rilevamento: si tratta di adottare soluzioni capaci di individuare anomalie, segnali di attacco ed eventi negativi, avvertendo l’organizzazione prima che la minaccia si trasformi in una violazione. Il monitoraggio continuo della rete aziendale e le moderne tecnologie di detection basate sull’intelligenza artificiale si rivelano fondamentali per rilevare per tempo le minacce alla sicurezza aziendale.

4. Risposta

Rilevato il pericolo, occorre poi predisporre una risposta adeguata. La response consiste nel mettere in atto tutti gli strumenti di difesa utili a respingere un attacco informatico o un altro incidente di sicurezza o a limitarne i danni. Utili in questo senso sono le attività di analisi e pianificazione della risposta e di mitigazione dei danni.

5. Ripristino

Infine, il rispristino o recovery, necessario per ristabilire le condizioni originarie. L’organizzazione è chiamata infatti a implementare piani di resilienza informatica, che assicurino la continuità aziendale anche in caso di attacco informatico, violazione o altro evento che incida sulla sicurezza informatica, permettendo all’organizzazione di tornare in breve tempo operativa.

Quali sono i 3 principi della sicurezza informatica

In che modo, però, si può garantire in concreto la sicurezza informatica in azienda? In materia di sicurezza dei dati informatici, esistono tre principi fondamentali da seguire per raggiungere un livello di protezione adeguato alle necessità di un mercato in cui i cyberattacchi sono sempre più numerosi ed efficaci.

È la cosiddetta “triade CIA”: confidentiality, integrity and availability, vale a dire confidenzialità, integrità e disponibilità. Proprio perché ogni attacco informatico tenta di violare almeno uno di questi aspetti, tali principi devono essere ricercati in ogni soluzione di sicurezza.

1. Confidentiality

Il principio della confidenzialità consiste nel garantire che i dati e le risorse aziendali siano mantenuti riservati e messi al riparo dall’accesso o dal possibile utilizzo da parte di soggetti non autorizzati. Ciò deve essere garantito lungo tutte le fasi di vita del dato, tramite controllo degli accessi e delle identità, autenticazione multi-fattore e adozione del paradigma Zero Trust.

2. Integrity

L’integrità punta a tutelare la veridicità e affidabilità dei dati e delle risorse, in modo da garantire che non siano modificati o cancellati se non a opera di soggetti autorizzati. Assicurare l’integrità dei dati significa prevenire modifiche non autorizzate da parte degli utenti e adottare le misure necessarie a rendere le informazioni univocamente identificabili e verificabili.

3. Availability

Infine, la disponibilità si riferisce alla possibilità per il personale autorizzato di accedere ai dati e alle risorse di cui ha bisogno in qualsiasi momento, per il tempo necessario e senza alcuna interruzione. Significa cioè garantire un uso sicuro delle risorse e impedire che si verifichino interruzioni di servizio o problemi alla funzionalità dei sistemi.

Disponibilità dei dati 

Altro aspetto fondamentale della gestione della sicurezza informatica aziendale è senza dubbio la disponibilità dei dati. Con questo si intende coprire sia gli aspetti legati all’opportunità di accesso ai dati anche in situazioni di emergenza, sia all’integrità dei dati stessi. Con un approccio ibrido in cui i dati vengono salvati su media diversi in modo è possibile intervenire rapidamente anche in caso di disaster recovery. L’ambiente di backup è tutelato attraverso l’uso di uno storage a oggetti che garantisce backup immutabili e attraverso la segmentazione (isolamento) a livello di rete. Una copia dei backup, per rispondere alle buone pratiche, viene anche archiviata in una sezione apposita del Cloud aziendale. 

Consapevolezza e formazione 

Aspetto chiave della visione Quanture nel campo della sicurezza, parte dalla necessità di rendere le persone consapevoli dei rischi, anche attraverso eventi formativi, ma non solo. Per esempio, una delle metodologie più efficaci nel campo della formazione alla sicurezza IT aziendale è quella della simulazione, in particolare per quanto riguarda gli attacchi di phishing. Attraverso opportuni strumenti di analisi e tracciamento, gli specialisti di PanDigital, consociata di Quanture, possono a tutti gli effetti simulare un attacco e verificarne la potenziale portata qualora fosse stato reale. Una tecnica che ha anche una importante valenza di assessment dello stato attuale della consapevolezza di rischio e che, in un’ottica di evoluzione della cultura aziendale, costituisce un ottimo punto di partenza e di confronto.

Chi è il responsabile della sicurezza IT di un’azienda

A presidiare i sistemi aziendali, garantendo che queste regole siano sempre rispettate, è il Chief Information Security Officer (CISO). Un tempo indicato come Responsabile della sicurezza o Security Manager, è una figura che ha via via acquisito nel tempo nuovi compiti e nuove responsabilità. Profilo per natura tecnico ma dotato di competenze manageriali e organizzative, oggi il CISO ha ampliato le sue mansioni, dovendo occuparsi anche di definire una visione strategica in materia di cybersecurity.

Proprio perché deputato a garantire la sicurezza informatica aziendale, è responsabile anche dello sviluppo di programmi di mitigazione e gestione del rischio informatico, oltre che di piani per la resilienza informatica dell’azienda. Come figura autonoma, non è però ancora molto diffusa in Italia: secondo i dati dell’Osservatorio Cybersecurity e Data Protection del Politecnico di Milano, è presente in maniera formalizzata solo nel 41% delle grandi imprese. Nella maggior parte dei casi le mansioni proprie dell’Information Security Officer sono svolte dal Chief Information Officer (CIO) o da altre funzioni.

Accanto a queste figure istituzionali, non va però dimenticato che garantire la sicurezza informatica della propria azienda resta una responsabilità che grava in capo a ogni dipendente, qualunque sia la sua funzione. Ciascun operatore è infatti chiamato a seguire le best practice e le policy adottate dall’azienda in materia di sicurezza e a non porre in essere comportamenti che potrebbero esporre l’organizzazione a rischi informatici.

Le leggi sulla Cybersecurity aziendale

Fare formazione è fondamentale anche per garantire il rispetto della normativa sulla cybersecurity aziendale. In materia di trattamento dei dati, il Regolamento generale sulla protezione dei dati, meglio noto come GDPR, rappresenta il primo testo di riferimento per la gestione del patrimonio informativo aziendale. In vigore dal 2018, ha introdotto importanti novità in materia di responsabilità, certificazione dei trattamenti, valutazione d’impatto.

Più di recente, nel 2022 il quadro normativo in materia di sicurezza informatica è stato rafforzato sia a livello europeo, con la direttiva NIS - Network and Information Security, sia in ambito nazionale, con l’adozione della Strategia nazionale di cybersicurezza. La strategia prevede il raggiungimento di 82 misure entro il 2026, con l’obiettivo di proteggere asset strategici nazionali, rispondere alle minacce attraverso sistemi di monitoraggio, rilevamento e analisi e sviluppare tecnologie digitali sicure, supportando attività di ricerca, centri di eccellenza e imprese del settore.

Con l’istituzione del “perimetro di sicurezza nazionale cibernetica”, il governo italiano intende assicurare un livello elevato di sicurezza delle reti, dei sistemi informativi e dei servizi informatici, con effetti che coinvolgono anche le piccole e medie imprese. Anche queste saranno infatti soggette a esame da parte del Centro di valutazione e certificazione nazionale chiamato a verificarne la sicurezza tecnologica.

Più in generale, è ormai evidente che per mantenere elevati standard di sicurezza è indispensabile continuità nell’analisi delle nuove minacce, nell’aggiornamento degli strumenti e nella formazione del personale, anche non tecnico.

Un approccio olistico alla sicurezza

Oggi solo un approccio olistico può garantire un livello di sicurezza adeguato. Protezione, disponibilità dei dati, consapevolezza e formazione sono essenziali per tutelare l’organizzazione e le sue risorse e sono i tre principi chiave su cui si basa l’approccio di Quanture. Il primo passo è senza dubbio quello di mettere in sicurezza uno degli asset aziendali strategici, ovvero le identità del personale e di chi ha accesso all’infrastruttura IT.

Servono, in altre parole, policy di sicurezza strutturate che garantiscano all’azienda la sicurezza dei dati, controlli puntuali da parte di tecnici certificati sullo stato di salute del servizio e campagne di formazione e sensibilizzazione sui dipendenti. Per aiutare le aziende a gestire ogni aspetto della sicurezza, dalla protezione delle mail fino alla salvaguardia dei dati in caso di attacco, Quanture ha sviluppato soluzioni e servizi gestiti che garantiscono alle imprese sicurezza, efficienza e conformità al GDPR.

Grazie a una combinazione di tecnologie avanzate, come AI e ML, e alla competenza dei suoi engineer, Quanture aiuta a garantire la sicurezza delle e-mai, il monitoraggio costante di potenziali attacchi e la corretta archiviazione dei dati. Oltre a tutelare caselle di posta ed endpoint, primi vettori di ogni attacco, assiste anche le aziende nell’attività di pianificazione della sicurezza, sviluppando analisi dei rischi e piani di disaster recovery, fondamentali per ridurre i tempi di inattività in caso di attacchi informatici, guasti o errori umani.

Altro aspetto fondamentale della gestione della sicurezza informatica aziendale è infatti la disponibilità dei dati, sia in termini di opportunità di accesso ai dati anche in situazioni di emergenza, sia in termini di integrità dei dati stessi. Adottando un approccio ibrido, in cui i dati vengono salvati su media diversi, è possibile intervenire rapidamente anche in caso di disaster recovery: l’ambiente di backup è tutelato mediante l’uso di uno storage a oggetti che garantisce backup immutabili attraverso la segmentazione (isolamento) a livello di rete. In ottemperanza alle best practice di settore, una copia dei backup viene anche archiviata in una sezione apposita del cloud aziendale.

La sicurezza è un lavoro continuo 

Come sanno bene gli addetti ai lavori, per mantenere gli elevati standard di sicurezza necessari oggi è indispensabile la continuità, anche nell’analisi delle nuove minacce, nell’aggiornamento degli strumenti e nella formazione del personale, anche non tecnico. Quanture, grazie alle soluzioni Microsoft per la sicurezza aziendale, è in grado di fornire tutto il supporto e il know-how necessari grazie alla sua esperienza certificata come Microsoft Partner Gold.