Sébastien Viou, Direttore della cyber sicurezza e Cyber-Evangelista presso Stormshield, analizza i pericoli che possono nascere nello scambio di dati sensibili.
Tutte le aziende e le istituzioni sono tenute in egual misura a considerare i tre principali criteri per la sicurezza dei dati: riservatezza, integrità e disponibilità.
I dati come rischio cyber
Il concetto di protezione dei dati è strettamente legato ai rischi relativi alla loro riservatezza, integrità e disponibilità. Le rispettive definizioni convergono su questo punto: la riservatezza garantisce che le informazioni siano accessibili solo alle persone autorizzate; l’integrità assicura che le informazioni rimangano invariate durante il loro ciclo di vita; la disponibilità assicura che le informazioni siano accessibili entro un certo lasso di tempo. Insieme al concetto di tracciabilità, questi aspetti costituiscono i criteri di base per la messa in sicurezza delle informazioni.
Per proteggere i dati in termini di integrità e riservatezza, la soluzione generale è la crittografia. Tuttavia, pur oggigiorno necessaria, non necessariamente viene attuata correttamente. Che si tratti di dati importanti, riservati o critici: perdersi nella giungla di termini associati all’argomento è facile. Molte aziende ritengono perciò di non essere toccate da questo tema e di non dover proteggere i propri file e lo scambio di dati, dimenticando che questa necessaria protezione dei dati riguarda invece la totalità delle imprese.
Protezione dei dati
I file dei clienti, i registri contabili o altri documenti importanti sono tutti elementi che garantiscono lo svolgimento delle attività quotidiane. Perdere un anno di contabilità per una piccola o media impresa, per esempio, può avere conseguenze disastrose. Per affrontare il problema, occorre definire quali informazioni sono strategicamente importanti per la propria organizzazione, tenendo presente che, in realtà, tutti i dati generati sono rilevanti.
Allo stesso tempo, è necessario approfondire quando tali dati sono accessibili e di conseguenza vulnerabili agli attacchi, in quanto il percorso di un cybercriminale per accedervi può passare attraverso un terminale o una rete aziendale: tutti elementi che devono essere inclusi nella strategia di cybersecurity. Nel caso specifico di un attacco tramite trojan, ad esempio, un gruppo di cybercriminali può avere accesso a tutto ciò che viene visualizzato sullo schermo del sistema infetto e spiare quanto viene digitato sulla tastiera. Ciò sottolinea l’urgenza di proteggere le postazioni di lavoro, ma costituisce anche un ulteriore punto a favore della limitazione dell’uso di dispositivi aziendali ai soli scopi lavorativi.
Come proteggere meglio i dati?
Un dato non ha alcun valore se giace in fondo ad un cassetto o in una sottodirectory nascosta del computer. Spesso i dati sono rilevanti solo quando facilmente accessibili. Sono quindi più vulnerabili durante lo scambio, perché lasciano l’enclave (teoricamente) protetta del loro supporto di archiviazione.
Lo scambio può quindi assumere diverse forme: le informazioni vengono inviate per e-mail, archiviate nel cloud o salvate su una chiavetta USB. Si tratta di modalità di scambio e, soprattutto, di tecnologie diverse, che vanno però messe in sicurezza nello stesso modo: cifrando completamente i dati. Tale crittografia si avvale di un robusto meccanismo di autenticazione per garantire che le informazioni possano essere lette solo dal mittente e dal destinatario. In questo modo, i dati restano fuori dalla portata di intrusi, curiosi e da chi eventualmente li divulgherebbe.
Cifratura efficace
A costoro viene negato l’accesso in chiaro ai dati. Ma affinché la cifratura sia efficace ovunque, l’azienda che vuole proteggere i propri dati ne deve avere il controllo esclusivo. Le chiavi cifratura devono quindi essere di esclusiva proprietà della rispettiva azienda. Solo in questo modo la protezione dei dati può essere completamente indipendente dal luogo di archiviazione.
A causa dell’utilizzo di dispositivi mobili o dell’impiego massiccio di strumenti di collaborazione, la condivisione di alcuni dati non viene monitorata costantemente dall’azienda. Qualora si impieghino suite software SaaS per l’ufficio, una soluzione indipendente per la cifratura dei dati può garantirne l’effettiva riservatezza. Data la facilità d’uso di queste office suite online, la sfida per i fornitori di tali soluzioni è quella di integrare la crittografia in modo trasparente gli utenti finali, garantendo non solo un’adeguata sicurezza ma anche un’esperienza d’uso semplice ed efficace. Dopo file e e-mail, i dati vanno crittografati direttamente nei browser web.
L’importanza della protezione dei dati e dei diritti di accesso
Se la crittografia dei dati soddisfa i requisiti obbligatori di integrità e riservatezza, che dire della disponibilità? In fondo, i dati accessibili a chiunque, anche se criptati, possono comunque essere cancellati. Il primo passo è quindi quello di garantire una sicurezza efficace. Sébastien Viou commenta: “Il backup deve essere eseguito regolarmente, e deve essere cifrato, offline o non manipolabile“. A tal fine i team informatici e commerciali condividono la responsabilità di considerare tutti i parametri necessari per la creazione delle copie di sicurezza, inclusa la gestione del recupero delle chiavi del sistema di cifratura. È inoltre preferibile avere un piano di ripristino di emergenza (Disaster Recovery Plan, DRP) o un piano di continuità aziendale (Business Continuity Plan, BCP) archiviato in un luogo sicuro, che sia digitale o meno.
Diritti di accesso ai dati
Allo stesso tempo, è necessario prevedere anche la gestione dei diritti di accesso ai dati. Questo per garantire che solo le persone autorizzate possano accedere ai dati sensibili, sia internamente sia esternamente. Si tratta però di una questione complessa, perché la gestione delle identità e degli accessi (“Identity and Access Management” – IAM) riguarda tutti i responsabili di ogni reparto o business unit di un’azienda. Bisogna dunque essere in grado di stabilire chi nel team ha accesso ed è autorizzato a fare cosa. Un compito solo apparentemente semplice: rapportata al numero crescente di strumenti e al turnover aziendale, la gestione tempestiva dei diritti di accesso può trasformarsi rapidamente in una sfida importante. Si tratta in ogni caso di una misura necessaria che contribuisce alla sicurezza dell’azienda.