Cosa è la Cybersecurity, l’essenziale da sapere

La cybersecurity, o sicurezza informatica, è, in sintesi, l’insieme di strumenti, procedure e tecnologie mirato alla protezione dei sistemi informatici e delle reti da minacce esterne, quali attacchi diretti, furti di dati, malware e altre forme di cybercrime.

In un mondo sempre più connesso, dove i dati sono considerati una risorsa preziosa, la necessità di proteggere i dati, personali o aziendali, è diventata fondamentale. In quest’articolo descriviamo, in sintesi, cos’è la cybersecurity e quali sono gli strumenti per metterla in atto.

Componenti chiave della Cybersecurity

La cybersecurity non riguarda solo l’installazione di un buon software antivirus o la scelta di una password complessa. In realtà essa si fonda su tre pilastri essenziali, spesso descritti come la “Triade CIA” (Confidentiality, Integrity, Availability, ossia Confidenzialità, Integrità e Disponibilità).

Confidenzialità

La confidenzialità consiste nell’assicurare che le informazioni siano accessibili solo a coloro che hanno il permesso di vederle: occorre proteggere i dati personali, aziendali e governativi da accessi non autorizzati. Le tecniche più comuni per garantire la confidenzialità dei dati sono:

• Crittografia. Trasforma i dati in un formato che può essere letto solo con una chiave specifica.
• Controllo degli accessi. Definisce, in generale, chi può accedere a quali dati e in che modo.
• VPN (Virtual Private Networks). Fornisce connessioni sicure e cifrate attraverso reti potenzialmente insicure, come Internet.

Integrità

L’integrità consiste nell’assicurare che le informazioni e i sistemi siano esatti e non alterati senza autorizzazione. È vitale garantire che le informazioni non vengano modificate, sia intenzionalmente che accidentalmente, da fonti non autorizzate. Le tecniche più comuni per garantire l’integrità dei dati, in sintesi, sono:

• Hashing. Si tratta di una funzione univoca che cambia drasticamente con piccole variazioni dei dati: se l’hash calcolato all’inizio corrisponde con l’hash attuale del dato, allora questo è integro.
• Sistemi di monitoraggio dell’integrità dei file. Controllano periodicamente i file per garantire che non siano stati modificati.

Disponibilità

La disponibilità consiste nel garantire che i dati e i servizi siano prontamente disponibili soltanto quando necessario, essenziale in settori business critical, dove l’indisponibilità delle informazioni può avere conseguenze gravi. Le tecniche più utilizzate, in generale, per garantire la disponibilità dei dati sono:

• Backup e Ripristino. Consiste nel crea copie dei dati per garantirne l’accesso in caso di perdita o corruzione.
• Disaster recovery. Consiste nella creazione di un ambiente tecnologico simile all’ambiente di produzione e distante da questo, pronto per essere attivato in caso di “disastro” che comprometta il i server, come un terremoto o un’inondazione.
• Bilanciamento del carico. Consiste, in sintesi, nel distribuire le richieste tra più server per prevenire un eventuale overload.
• Ridondanza di Sistemi. Si utilizzano più dispositivi per garantire che, in caso di guasto di uno, gli altri possano prendere il sopravvento.

Tipologie di attacco informatico

La crescente dipendenza dalle tecnologie ha portato a una parallela crescita del numero e della varietà degli attacchi informatici. Ecco alcune delle tipologie di attacco più comuni:

• Phishing. Truffatori inviano email fraudolente che sembrano provenire da fonti legittime, nel tentativo di indurre gli utenti a rivelare informazioni personali come password o dati bancari.
• Spear Phishing. Simile al phishing, ma molto più mirato. L’attaccante si concentra su un individuo o un’organizzazione specifica, spesso sfruttando informazioni raccolte in precedenza.
• Man-in-the-Middle (MitM). Gli attaccanti intercettano la comunicazione tra due parti per spiare, manipolare o rubare dati.
• Denial of Service (DoS) e Distributed Denial of Service (DDoS). Gli attacchi DoS/DdoS inondano un sistema, rete o servizio con traffico inutile, causando la sua indisponibilità.
• Ransomware. Un tipo di malware che crittografa i file della vittima, con la richiesta di un riscatto in cambio della chiave di decrittazione.
• Malware. Software malevolo che può causare danni o furti di informazioni. Ci sono varie sottocategorie, tra cui virus, trojan, worm e spyware.
• SQL Injection. Gli aggressori inseriscono o “iniettano” codice in una query SQL, spesso tramite un modulo web, per accedere o manipolare il database dietro a un’applicazione web.
• Cross-Site Scripting (XSS). Gli attaccanti inseriscono script malevoli nelle pagine web, che vengono poi eseguiti dai browser delle vittime.
• Drive-By Downloads. Malware che viene automaticamente scaricato e installato su un computer o dispositivo mobile semplicemente visitando un sito web compromesso.
• Attack Pass-the-Hash. Gli aggressori sfruttano le password hash (versioni crittografate delle password) per eludere l’autenticazione e accedere a una rete.
• Eavesdropping. Ascolto non autorizzato delle comunicazioni tra due parti, spesso per raccogliere informazioni.
• Insider Threats. Attacchi provenienti da individui all’interno dell’organizzazione, come dipendenti, ex dipendenti o partner, che hanno accesso interno alle reti o ai dati.

Queste sono solo alcune delle innumerevoli tipologie di attacco con cui le organizzazioni e gli individui devono fare i conti oggi.

Principali sistemi per la Cybersecurity

La cybersecurity comprende una vasta gamma di strumenti, tecniche e strategie progettate per proteggere le reti, i dispositivi, i programmi e i dati da attacchi, danni o accessi non autorizzati. Di seguito sono elencati alcuni dei principali sistemi e soluzioni utilizzati nell’ambito della cybersecurity:

• Firewall. So sistemi che agiscono come barriere tra le reti, monitorando e filtrando il traffico entrante e uscente in base a politiche di sicurezza specificate.
• Sistemi di Rilevamento e Prevenzione delle Intrusioni (IDS/IPS). Monitorano le reti in cerca di attività sospette o malevole e prendono misure preventive o correttive quando viene rilevato un potenziale attacco.
• Software Antivirus e Antimalware. Rilevano, bloccano e rimuovono software malevolo, come virus, worm e trojan, dai sistemi informatici.
• Gestione delle Patch e degli Aggiornamenti. Sistemi che assicurano che tutti i software e i sistemi operativi siano aggiornati, riducendo così le vulnerabilità.
• Crittografia. Utilizza algoritmi per cifrare dati, garantendo che possano essere decifrati solo da entità con le chiavi appropriate.
• Controllo degli Accessi e Autenticazione Multifattore (MFA). Strumenti che regolamentano chi può accedere a determinate risorse e che richiedono più di una forma di verifica per confermare l’identità di un utente.
• Sicurezza del Network. Insieme di misure adottate per proteggere l’integrità, la confidenzialità e l’accessibilità dei dati e delle risorse della rete.
• Backup e Ripristino dei Dati. Soluzioni che effettuano copie regolari dei dati per garantire la loro integrità e disponibilità in caso di corruzione o perdita.
• Endpoint Security. Protegge le reti centrali garantendo che tutti gli endpoint (dispositivi collegati alla rete, come computer, smartphone e dispositivi IoT) soddisfino determinate norme di sicurezza.
• Formazione sulla Sicurezza Informatica per gli utenti. Programmi formativi per insegnare agli utenti le migliori pratiche in materia di sicurezza, riducendo così gli errori umani che possono compromettere la sicurezza.
• Sandboxing. Un ambiente isolato in cui eseguire codice o programmi sospetti senza rischiare l’integrità dei sistemi principali.
• Gestione dei Log e Monitoraggio del Sistema. Strumenti che raccolgono, archiviano e analizzano i log dei sistemi per rilevare, avvisare e rispondere ad attività sospette o non autorizzate.

Questi sono solo alcuni dei principali sistemi e strumenti utilizzati per mantenere la sicurezza in ambito informatico. La combinazione di questi sistemi, unita a una solida formazione e consapevolezza da parte degli utenti, può fornire una robusta difesa contro le numerose minacce informatiche esistenti.

Le regole di base da seguire per la Cybersecurity

Sebbene potrebbe non essere sufficiente, di seguito elenchiamo le regole di base da seguire per garantire un minimo di sicurezza informatica. Chiaramente esse dovranno essere interpretate caso per caso e calate nel contesto aziendale.

• Principio del privilegio minimo. Assegna ai singoli utenti solo le autorizzazioni essenziali per svolgere il loro ruolo. Ad esempio, non tutti gli impiegati di un’azienda dovrebbero avere accesso ai dati finanziari.
• Aggiornamenti regolari. Mantieni sempre aggiornati software, sistemi operativi e applicazioni. Gli aggressori spesso sfruttano vulnerabilità in software obsoleti.
• Backup dei dati. Esegui backup regolari dei dati e verifica che possano essere ripristinati correttamente. Questo è fondamentale in caso di attacchi ransomware o guasti hardware.
• Formazione e consapevolezza. Educa te stesso e il tuo team sulle minacce e sulle migliori pratiche in materia di sicurezza, generalmente la maggior parte delle violazioni può essere attribuita a errori umani.
• Uso di Firewall e Antivirus. Utilizza firewall per filtrare il traffico indesiderato e software antivirus al fine di rilevare e rimuovere malware.
• Autenticazione multifattore (MFA). Implementa l’autenticazione multifattore ovunque sia possibile, al fine di aggiungere un ulteriore livello di sicurezza oltre alla semplice password.
• Gestione delle password. Utilizza password complesse, cambiale regolarmente e non riutilizzare le stesse password per account diversi. Considera l’uso di un gestore di password.
• Principio di “Defense in Depth”. Implementa più livelli di sicurezza, in modo che se un livello dovesse fallire, ci siano ulteriori barriere a protezione.
• Valutazione e test regolari. Conduci valutazioni della sicurezza e test di penetrazione regolari per identificare e correggere vulnerabilità.
• Monitoraggio e risposta. Monitora costantemente i sistemi alla ricerca di attività sospette e sviluppa un piano di risposta agli incidenti per affrontare rapidamente eventuali violazioni.
• Limita l’accesso fisico. Assicurati che i server e altri dispositivi critici siano fisicamente protetti e accessibili solo da personale autorizzato.
• Cifratura. Cifra i dati sensibili, sia in transito che a riposo, per proteggerli da intercettazioni o accessi non autorizzati.
• Riduzione dell’Attack Surface. Disabilita o rimuovi software, servizi e funzionalità non necessari dai dispositivi per ridurre i potenziali punti di ingresso per gli attaccanti.

Le certificazioni per la Cybersecurity

Le certificazioni nel campo della sicurezza informatica sono strumenti importanti per dimostrare l’efficacia e la competenza di una società o di un individuo. Esistono numerose certificazioni, alcune delle quali riconosciute a livello internazionale. Di seguito sono elencate alcune delle principali certificazioni rivolte alle aziende e ai professionisti:

Per le aziende

• ISO/IEC 27001. Si tratta di una norma internazionale per i sistemi di gestione della sicurezza delle informazioni (ISMS). Garantisce che un’organizzazione abbia definito e implementato le migliori pratiche in materia di gestione della sicurezza delle informazioni.

Per i Professionisti

• Certified Information Systems Security Professional (CISSP). Offerta dall'(ISC)², la CISSP è una delle certificazioni più prestigiose nel campo della sicurezza informatica. È destinata ai professionisti esperti che si occupano di gestire la sicurezza delle informazioni, come gli IT manager, ed è utile per arricchire il proprio curriculum.
• Certified Information Security Manager (CISM). Offerta dall’ISACA, la CISM è rivolta ai professionisti della gestione della sicurezza delle informazioni, in particolare a coloro che gestiscono e governano le infrastrutture di sicurezza di un’azienda.
• Certified Ethical Hacker (CEH). Offerta dall’EC-Council, questa certificazione è rivolta a coloro che desiderano diventare “hacker etici” professionisti, specializzandosi nell’identificare e risolvere le vulnerabilità nei sistemi informatici.
• Certified Information Systems Auditor (CISA). Un’altra certificazione offerta dall’ISACA, la CISA è focalizzata sulla revisione, il controllo e l’assurance delle informazioni.
• Offensive Security Certified Professional (OSCP). Una certificazione pratica e hands-on offerta da Offensive Security, per coloro che vogliono dimostrare le loro capacità nel test di penetrazione.
• CompTIA Security+. Una certificazione di livello principiante-intermedio offerta da CompTIA, che copre un’ampia gamma di argomenti introduttivi in materia di sicurezza informatica.
• Cisco Certified CyberOps Associate. Una certificazione offerta da Cisco per coloro che desiderano specializzarsi nella sicurezza delle operazioni dei centri di sicurezza (SOC).

La scelta della certificazione giusta dipende dalle esigenze specifiche, dall’esperienza e dagli obiettivi professionali dell’individuo o dell’azienda.

Le figure professionali che si occupano di Cyber Security

Sono molte le figure professionali che, in misura diversa, si occupano di cybersecurity, ognuna con competenze e responsabilità diverse:

• Security Analyst. Si occupa di monitorare le reti e i sistemi aziendali per rilevare qualsiasi attività sospetta, analizzando i log.
• Ethical Hacker. Testa i sistemi per trovare vulnerabilità che potrebbero essere sfruttate da attaccanti malevoli e simula attacchi reali per verificare la sicurezza.
• Security Engineer. Progetta ed implementa soluzioni di sicurezza per proteggere le infrastrutture IT e i dati aziendali.
• IT Security Specialist. Si occupa degli aspetti esecutivi della sicurezza IT, quali ad esempio l’implementazione di apparati o software per la sicurezza.
• Incident Responder. Interviene quando si verifica una violazione o un incidente di sicurezza. Il suo compito è gestire la situazione, minimizzare i danni e recuperare il più velocemente possibile.
• Security Auditor. Controlla e valuta le misure di sicurezza di un’azienda per assicurarsi che siano adeguate e conformi agli standard e alle normative.
• Chief Information Security Officer (CISO). In sintesi, è il responsabile della strategia di sicurezza di un’organizzazione, si assicura che tutte le iniziative e le politiche di sicurezza siano allineate con gli obiettivi aziendali.
• IT Manager. In senso lato, è responsabile della sicurezza dei dati aziendali gestiti dai sistemi informativi.
• Security Consultant. Offre consulenza alle aziende su come migliorare la postura della sicurezza informatica, spesso fornendo raccomandazioni su tecnologie, pratiche e politiche.
• Security Researcher. Si dedica alla scoperta di nuove vulnerabilità, alla comprensione delle nuove minacce e alla creazione di strumenti o metodi per contrastarle.
• Security Software Developer. Sviluppa software che aiuta a proteggere le informazioni e le reti, come firewall, antivirus e sistemi di rilevamento delle intrusioni.
• Security Architect. Progetta la struttura di sicurezza di un’azienda, assicurandosi che le politiche, i procedimenti e le architetture siano integrate in modo da garantire la massima protezione.
• Security Awareness Trainer. Si occupa di formare il personale, che è spesso l’anello debole della catena della sicurezza, sulle migliori pratiche di sicurezza, in modo da prevenire le minacce.