Guida passo per passo alla cyber security per le aziende

Nella cyber security per le aziende, la tradizionale protezione delle organizzazioni basata sulla difesa del perimetro è ormai obsoleta. Ciò è dovuto sia alle progressive capacità evolute degli attaccanti, sia alla trasformazione digitale che ha esteso considerevolmente gli ambiti digitali e la corrispondente quantità di dati da proteggere.

È aumentata la complessità dell’infrastruttura digitale che, per una singola organizzazione, può includere diverse reti interne, un certo numero di uffici remoti rispetto all’infrastruttura locale, il personale remotizzato e in loco con i relativi dispositivi, le componenti in IoT e gli eventuali servizi in cloud.

Nell’attuale panorama della cyber security per le aziende, la necessità di passare a un approccio omnicomprensivo della difesa, che tenga conto di un “perimetro fluido”, richiede alle imprese di acquisire conoscenza in modo continuo, sia della propria postura di sicurezza, sia dello scenario della minaccia, mantenendosi pronti alla reazione verso un incidente informatico e al ripristino immediato dell’operatività.

Altrimenti l’organizzazione potrebbe subire danni ingenti.


Cyber security per le aziende: l’impostazione della “sicurezza IT classica” basata sul perimetro aziendale

Il primo è più importante problema che ostacola il ricorso ai metodi tradizionali di sicurezza della rete basata sul perimetro è che oggigiorno il perimetro stesso dell’azienda non è più facilmente identificabile.

Qualora lo fosse, la sicurezza della rete basata sul perimetro si è dimostrata nei fatti, ovvero a causa degli attacchi andati a buon fine, non più sufficiente: a seguito della violazione del perimetro, gli attaccanti possono effettuare “movimenti laterali”, scalare i privilegi e conquistare tutte le porzioni di rete e tutti gli account senza essere ostacolati.

Parallelamente, tuttavia, l’impresa deve garantire a livello operativo che dipendenti e partner possano collaborare accedendo alle risorse dell'organizzazione da qualsiasi luogo e da qualsiasi dispositivo, senza precludere la produttività, mentre i clienti si aspettano performance, adattabilità, personalizzazione e sicurezza, qualunque sia il business o il servizio o prodotto loro offerto.

Quindi l’approccio di cyber security per le aziende finalizzato a proteggere l’impresa deve essere adattato alla nuova realtà. Tale realtà prevede che il perimetro di sicurezza non sia più solo interno alla rete locale, ma debba, come minimo:

  • Essere esteso agli ambiti in cloud secondo il modello prescelto (Iaas, Paas, Saas);
  • Tenere conto delle reti a cui si appoggiano i dispositivi dell’organizzazione (Wi-fi e reti esterne), della natura stessa dei dispositivi intelligenti, sia mobile e sia tradizionali collegati;
  • Tenere conto dell’utenza che accede alle risorse aziendali in ragione di ruoli, permessi e priorità.

 

È chiaro che i firewall e il modello di sicurezza basato su VPN non bastano più a far considerare “al sicuro” e “trusted” tutte le risorse che si muovono anche al di fuori di essi.


Approccio omnicomprensivo sul “perimetro fluido” nella cyber security per le aziende

Non potendo più presumere che esistano ambienti "privi di minacce” è necessario trasformare il modello di sicurezza dell’azienda in uno approccio che verifichi esplicitamente tutto quanto accade dentro e fuori l’organizzazione e che ci si prepari in modo preventivo, ma anche operativo, al verificarsi di un incidente.

Un primo passo è l’applicazione di orientamenti preventivi di protezione quali l’impostazione data centered1 per difendere il dato, sia “at rest” sia “in transit” in qualunque ambiente informatico digitale e l’implementazione dell’approccio “Zero Trust” (descritto nel paper del NIST 800 2072) che applica automaticamente i controlli di sicurezza utilizzando tutti i mezzi disponibili secondo il principio del privilegio minimo di accesso.

Un secondo e necessario step è quello di acquisire la conoscenza e la consapevolezza di cosa accada all’interno della propria infrastruttura, aumentando progressivamente tale consapevolezza e confrontandola con il panorama della minaccia esterna all’organizzazione.

È cruciale, quindi, saper intervenire in modo appropriato in caso di minaccia e incidente informatico: ciò significa poter contare su un team di esperti in azienda o in outsourcing, capaci di mitigare ed effettuare una pronta risoluzione del problema, h24x7 mantenendo i sistemi informatici in vita e allo stesso tempo ripulendo “l’infezione”.

Non tutte le aziende sono in grado di sviluppare le capacità descritte in questo secondo step, sia per esiguità dei budget, sia soprattutto, per mancanza di personale con competenze specialistiche che sono da mantenere nel tempo.

È consigliabile, in questo caso, l’adozione di una soluzione di Managed Detection & Response (MDR), un servizio di sicurezza informatica di tipo gestito, capace di fornire il rilevamento delle intrusioni di malware e delle attività dannose nella rete e assistere nella risposta rapida agli incidenti per eliminare tali minacce mediante azioni di mitigazione e recupero.

Generalmente l’MDR combina una soluzione tecnologica abilitante con le attività professionali di analisti della sicurezza che operano in modo esternalizzato rispetto all’azienda, ma contestualmente ne costituiscono un’estensione specialistica.


1Fonte: ISACA
2Fonte: NIST


CLICCA QUI per scaricare il White Paper: "Security as a Service"