Ogni scambio di dati sensibili con esterni solleva dubbi riguardo a riservatezza e integrità. Per tutelarsi, ecco i consigli di Stormshield per comunicare in modo sicuro. Tutte le aziende e le istituzioni sono tenute in egual misura a considerare i tre principali criteri per la sicurezza dei dati: riservatezza, integrità e disponibilità. Ma come si può proteggere la propria organizzazione permettendo comunque al personale di scambiare dati indisturbato?
Scambiare dati significa rischio cyber
Il concetto di protezione dei dati è strettamente legato ai rischi relativi alla loro riservatezza, integrità e disponibilità. Le rispettive definizioni convergono su questo punto: la riservatezza garantisce che le informazioni siano accessibili solo alle persone autorizzate. E ancora: l’integrità assicura che le informazioni rimangano invariate durante il loro ciclo di vita. Infine, la disponibilità assicura che le informazioni siano accessibili entro un certo lasso di tempo. Insieme al concetto di tracciabilità, questi aspetti costituiscono i criteri di base per la messa in sicurezza delle informazioni.
La protezione dei dati è necessaria
Per proteggere i dati in termini di integrità e riservatezza, la soluzione generale è la crittografia. Tuttavia, pur oggigiorno necessaria, non necessariamente viene attuata correttamente. Che si tratti di dati importanti, riservati o critici: perdersi nella giungla di termini associati all’argomento è facile. Molte aziende ritengono perciò di non essere toccate da questo tema e di non dover proteggere i propri file e lo scambio di dati.
Dimenticano che questa necessaria protezione dei dati riguarda invece la totalità delle imprese. I file dei clienti, i registri contabili o altri documenti sono tutti elementi che garantiscono lo svolgimento delle attività quotidiane. Perdere un anno di contabilità per una Pmi, ad esempio, può avere conseguenze disastrose. Per affrontare il problema, occorre definire quali informazioni sono strategicamente importanti per la propria organizzazione, tenendo presente che, in realtà, tutti i dati generati sono rilevanti.
In sicurezza per scambiare dati con esterni
Allo stesso tempo, è necessario approfondire quando tali dati sono accessibili e di conseguenza vulnerabili agli attacchi. Infatti il percorso di un cybercriminale per accedervi può passare attraverso un terminale o una rete aziendale: tutti elementi che devono essere inclusi nella strategia di cybersecurity. Nel caso specifico di un attacco tramite trojan, ad esempio, un gruppo di cybercriminali può avere accesso a tutto ciò che viene visualizzato sullo schermo del sistema infetto e spiare quanto viene digitato sulla tastiera.
Sébastien Viou, Direttore della cybersicurezza e Cyber-Evangelista presso Stormshield
Questi attacchi possono essere mirati e finanziati dai Governi, ma non solo. I trojan utilizzati per carpire password e dati di accesso, soprattutto quelli bancari dei privati, possono essere installati sui sistemi tramite il semplice download di un gioco, di un’estensione del browser o di un password manager. Spesso pensiamo solo al computer, ma anche lo smartphone è una porta di accesso per questo tipo di malware.
Come proteggere i dati negli scambi
Un dato non ha alcun valore se giace in fondo a un cassetto o in una sottodirectory nascosta del computer. Spesso i dati sono rilevanti solo quando facilmente accessibili. Sono quindi più vulnerabili durante lo scambio, perché lasciano l’enclave (teoricamente) protetta del loro supporto di archiviazione. Lo scambio può quindi assumere diverse forme: le informazioni vengono inviate per e-mail, archiviate nel cloud o salvate su una chiavetta USB. Si tratta di modalità di scambio e, soprattutto, di tecnologie diverse, che vanno però messe in sicurezza nello stesso modo: cifrando completamente i dati.
Crittografia e autenticazione
Tale crittografia si avvale di un robusto meccanismo di autenticazione per garantire che le informazioni possano essere lette solo dal mittente e dal destinatario. In questo modo, i dati restano fuori dalla portata di intrusi, curiosi e da chi eventualmente li divulgherebbe. A costoro viene negato l’accesso in chiaro ai dati. Ma affinchè la cifratura sia efficace ovunque, l’azienda che vuole proteggere i propri dati ne deve avere il controllo esclusivo. Le chiavi cifratura devono quindi essere di esclusiva proprietà della rispettiva azienda.
Scambiare dati sensibili in sicurezza
A causa dell’utilizzo di dispositivi mobili o dell’impiego massiccio di strumenti di collaborazione, la condivisione di alcuni dati non viene monitorata costantemente dall’azienda. Qualora si impieghino suite software SaaS per l’ufficio, una soluzione indipendente per la cifratura dei dati può garantirne l’effettiva riservatezza. Data la facilità d’uso di queste office suite online, la sfida per i fornitori di tali soluzioni è quella di integrare la crittografia in modo trasparente gli utenti finali, garantendo sia un’adeguata sicurezza che un’esperienza d’uso semplice ed efficace. Dopo file e e-mail, i dati vanno crittografati direttamente nei browser web.
L’importanza del backup
Se la crittografia dei dati soddisfa i requisiti obbligatori di integrità e riservatezza, che dire della disponibilità? In fondo, i dati accessibili a chiunque, anche se criptati, possono comunque essere cancellati. Il primo passo è quindi quello di garantire una sicurezza efficace.
Sébastien Viou, Direttore della cybersicurezza e Cyber-Evangelista presso Stormshield
Il backup deve essere eseguito regolarmente, e deve essere cifrato, offline o non manipolabile.
Per questo i team IT e commerciali condividono la responsabilità di considerare tutti i parametri necessari per la creazione delle copie di sicurezza. Inclusa la gestione del recupero delle chiavi del sistema di cifratura. È inoltre preferibile avere un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) o un piano di continuità aziendale (Business Continuity Plan, BCP) archiviato in un luogo sicuro, che sia digitale o meno.
Protezione dati e diritti di accesso
Allo stesso tempo, è necessario prevedere anche la gestione dei diritti di accesso ai dati. Questo per garantire che solo le persone autorizzate possano accedere ai dati sensibili, sia internamente che esternamente. Si tratta però di una questione complessa, perché la gestione delle identità e degli accessi (“Identity and Access Management” – IAM) riguarda tutti i responsabili di ogni reparto o business unit di un’azienda. Bisogna dunque essere in grado di stabilire chi nel team ha accesso ed è autorizzato a fare cosa. Un compito solo apparentemente semplice. Rapportata al numero crescente di strumenti e al turnover aziendale, la gestione tempestiva dei diritti di accesso può trasformarsi in una sfida.