Ogni scambio di dati con esterni può sollevare dubbi in merito alla salvaguardia della loro riservatezza e integrità, poiché durante il trasferimento, possono essere intercettati, modificati o resi inutilizzabili. Per tutelarsi al meglio contro i vari rischi, i team di sicurezza informatica devono attuare una serie di misure di comprovata efficacia. Obiettivo dei seguenti consigli è aiutare le aziende a riconquistare la fiducia e a comunicare di nuovo in modo sicuro
Parigi | Tutte le aziende e le istituzioni sono tenute in egual misura a considerare i tre principali criteri per la sicurezza dei dati: riservatezza, integrità e disponibilità. Ma come si può proteggere la propria organizzazione permettendo comunque al personale di scambiare dati indisturbato?
I dati come rischio cyber
Il concetto di protezione dei dati è strettamente legato ai rischi relativi alla loro riservatezza, integrità e disponibilità. Le rispettive definizioni convergono su questo punto: la riservatezza garantisce che le informazioni siano accessibili solo alle persone autorizzate; l’integrità assicura che le informazioni rimangano invariate durante il loro ciclo di vita; la disponibilità assicura che le informazioni siano accessibili entro un certo lasso di tempo. Insieme al concetto di tracciabilità, questi aspetti costituiscono i criteri di base per la messa in sicurezza delle informazioni.
Per proteggere i dati in termini di integrità e riservatezza, la soluzione generale è la crittografia. Tuttavia, pur oggigiorno necessaria, non necessariamente viene attuata correttamente. Che si tratti di dati importanti, riservati o critici: perdersi nella giungla di termini associati all’argomento è facile. Molte aziende ritengono perciò di non essere toccate da questo tema e di non dover proteggere i propri file e lo scambio di dati, dimenticando che questa necessaria protezione dei dati riguarda invece la totalità delle imprese. I file dei clienti, i registri contabili o altri documenti importanti sono tutti elementi che garantiscono lo svolgimento delle attività quotidiane. Perdere un anno di contabilità per una piccola o media impresa, ad esempio, può avere conseguenze disastrose. Per affrontare il problema, occorre definire quali informazioni sono strategicamente importanti per la propria organizzazione, tenendo presente che, in realtà, tutti i dati generati sono rilevanti.
Allo stesso tempo, è necessario approfondire quando tali dati sono accessibili e di conseguenza vulnerabili agli attacchi, in quanto il percorso di un cybercriminale per accedervi può passare attraverso un terminale o una rete aziendale: tutti elementi che devono essere inclusi nella strategia di cybersecurity. Nel caso specifico di un attacco tramite trojan, ad esempio, un gruppo di cybercriminali può avere accesso a tutto ciò che viene visualizzato sullo schermo del sistema infetto e spiare quanto viene digitato sulla tastiera. “Questi attacchi possono essere estremamente mirati e finanziati dai Governi, ma non solo”, precisa Sébastien Viou, Direttore della cybersicurezza e Cyber-Evangelista presso Stormshield. “I trojan utilizzati per carpire password e dati di accesso, soprattutto quelli bancari dei privati, possono essere facilmente installati sui sistemi tramite il semplice download di un gioco, di un’estensione del browser o di un password manager”. Spesso pensiamo solo al computer, ma anche lo smartphone è una porta di accesso per questo tipo di malware”. Ciò sottolinea l’urgenza di proteggere le postazioni di lavoro, ma costituisce anche un ulteriore punto a favore della limitazione dell’uso di dispositivi aziendali ai soli scopi lavorativi.
Come proteggere meglio i dati?
Un dato non ha alcun valore se giace in fondo ad un cassetto o in una sottodirectory nascosta del computer. Spesso i dati sono rilevanti solo quando facilmente accessibili. Sono quindi più vulnerabili durante lo scambio, perché lasciano l’enclave (teoricamente) protetta del loro supporto di archiviazione.
Lo scambio può quindi assumere diverse forme: le informazioni vengono inviate per e-mail, archiviate nel cloud o salvate su una chiavetta USB. Si tratta di modalità di scambio e, soprattutto, di tecnologie diverse, che vanno però messe in sicurezza nello stesso modo: cifrando completamente i dati. Tale crittografia si avvale di un robusto meccanismo di autenticazione per garantire che le informazioni possano essere lette solo dal mittente e dal destinatario. In questo modo, i dati restano fuori dalla portata di intrusi, curiosi e da chi eventualmente li divulgherebbe. A costoro viene negato l’accesso in chiaro ai dati. Ma affinchè la cifratura sia efficace ovunque, l’azienda che vuole proteggere i propri dati ne deve avere il controllo esclusivo. Le chiavi cifratura devono quindi essere di esclusiva proprietà della rispettiva azienda. Solo in questo modo la protezione dei dati può essere completamente indipendente dal luogo di archiviazione.
A causa dell’utilizzo di dispositivi mobili o dell’impiego massiccio di strumenti di collaborazione, la condivisione di alcuni dati non viene monitorata costantemente dall’azienda. Qualora si impieghino suite software SaaS per l’ufficio, una soluzione indipendente per la cifratura dei dati può garantirne l’effettiva riservatezza. Data la facilità d’uso di queste office suite online, la sfida per i fornitori di tali soluzioni è quella di integrare la crittografia in modo trasparente gli utenti finali, garantendo non solo un’adeguata sicurezza ma anche un’esperienza d’uso semplice ed efficace. Dopo file e e-mail, i dati vanno crittografati direttamente nei browser web.
L’importanza della protezione dei dati e dei diritti di accesso
Se la crittografia dei dati soddisfa i requisiti obbligatori di integrità e riservatezza, che dire della disponibilità? In fondo, i dati accessibili a chiunque, anche se criptati, possono comunque essere cancellati. Il primo passo è quindi quello di garantire una sicurezza efficace. Sébastien Viou commenta: “Il backup deve essere eseguito regolarmente, e deve essere cifrato, offline o non manipolabile“. A tal fine i team informatici e commerciali condividono la responsabilità di considerare tutti i parametri necessari per la creazione delle copie di sicurezza, inclusa la gestione del recupero delle chiavi del sistema di cifratura. È inoltre preferibile avere un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) o un piano di continuità aziendale (Business Continuity Plan, BCP) archiviato in un luogo sicuro, che sia digitale o meno.
Allo stesso tempo, è necessario prevedere anche la gestione dei diritti di accesso ai dati. Questo per garantire che solo le persone autorizzate possano accedere ai dati sensibili, sia internamente che esternamente. Si tratta però di una questione complessa, perché la gestione delle identità e degli accessi (“Identity and Access Management” – IAM) riguarda tutti i responsabili di ogni reparto o business unit di un’azienda. Bisogna dunque essere in grado di stabilire chi nel team ha accesso ed è autorizzato a fare cosa. Un compito solo apparentemente semplice: rapportata al numero crescente di strumenti e al turnover aziendale, la gestione tempestiva dei diritti di accesso può trasformarsi rapidamente in una sfida importante. Si tratta in ogni caso di una misura necessaria che contribuisce alla sicurezza dell’azienda.