Gli attacchi informatici sono sempre più frequenti e le aziende sono bersagliate ormai quotidianamente.
Spesso si pensa che le PMI e gli studi professionali non debbano preoccuparsi della sicurezza informatica perchè non sono bersagli interessanti per un attacco.
Invece le PMI sono un bersaglio ottimale: non sono consapevoli dei rischi informatici, non sono abbastanza strutturate né preparate a difendersi da un attacco informatico e/o a gestirne le conseguenze. Molto spesso sono anche un ottimo canale di ingresso per attaccare intere catene di fornitura e raggiungere i “pesci grossi”.
Inoltre, i rischi per i dati aziendali non derivano solamente da attacchi esterni, possono infatti essere manomessi internamente, da dipendenti disattenti o infedeli, oppure rimanere distrutti in seguito ad eventi accidentali.
Proteggere la propria attività da attacchi interni ed esterni è un fondamentale per la sopravvivenza del business, per la sicurezza del personale e delle risorse informatiche, dei progetti e dei dati in generale.
Questa guida si rivolge a tutti coloro che non hanno chiara una linea guida da seguire per rendere la propria organizzazione sicura ed efficiente in materia di cybersecurity.
Lo scopo è fornire gli spunti necessari per avviare un processo di miglioramento generale del sistema informativo aziendale, ottimizzare abitudini e procedure e rafforzare la sicurezza nella gestione delle informazioni.
Quanto qui descritto rappresenta il primo livello di un percorso di crescita sia tecnica che organizzativo-procedurale, necessario per la salvaguardia della competitività aziendale.
Ecco, dunque, i 7 passi fondamentali da seguire per iniziare a migliorare la sicurezza informatica in azienda:
- Data management e backup
- Sistema di autenticazione ed autorizzazione
- Hardening e Patch management
- Log management e SIEM
- Antivirus e firewall
- Formazione del personale
- Vulnerability Assessment Periodici
Analizziamo come ciascun ambito può contribuire a rafforzare la cybersecurity dell’organizzazione.
1. DATA MANAGEMENT E BACKUP
Il data management è il processo di raccolta, organizzazione e gestione sicura dei dati digitali in proprio possesso.
Amministrare i dati in modo efficace attraverso una struttura organizzata di file e archivi organizzati ha molti vantaggi:
- ridurre il rischio di perdita di dati,
- evitare duplicati all’interno del database,
- gestire al meglio i permessi di accesso a file e directory e incrementare i livelli di protezione e privacy,
- aumentare la produttività dei dipendenti grazie alla semplificazione della struttura di gestione.
Con la crescente digitalizzazione dei processi, quando si parla di sicurezza informatica nelle aziende si è costretti a partire proprio dalla gestione dei dati e dal loro utilizzo sicuro ed efficiente. Molto spesso, soprattutto nelle PMI, non c’è una chiara politica in materia di gestione dei dati che invece dovrebbe essere di massima priorità.
Queste sono alcune delle domande che un tecnico sistemista dovrebbe porsi:
- Che dati sono presenti in azienda? Quali sono quelli la cui perdita potrebbe compromettere l’attività?
- Dove vengono salvati?
- Sono stati implementati i giusti accorgimenti per garantirne la sicurezza da eventuali intrusioni?
- È presente una strategia di ripristino o “remediation plan” in caso di perdita di dati?
Per un’azienda è fondamentale rispondere a questo tipo di domande e qui che entra in gioco il data management.
DATA MANAGEMENT STRATEGY
La prima operazione da effettuare per gestire in modo efficace i dati aziendali è capire quali sono gli obiettivi aziendali per questa implementazione e quali dati siano realmente necessari per lo scopo prefissato.
Una volta chiarito il fine, si realizza un censimento di tutti gli archivi (repository) di dati.
Una volta censiti tutti i dati aziendali e come sono organizzati, si procede ad analizzare le strategie di backup in essere, oppure a implementarne una che rispetti le esigenze aziendali e le caratteristiche dei dati conservati.
Spesso si sottovaluta il fatto che il backup dei dati, se effettuato regolarmente e in modo corretto, può salvare un’azienda da un possibile fallimento.
La gestione sicura del backup si basa sulla “regola 3-2-1 del backup”, che riduce al minimo la probabilità di perdita dei dati presenti in azienda: 3 copie di backup, conservate su dispositivi di 2 tipi differenti, di cui 1 copia sia conservata offline, idealmente in un luogo diverso rispetto alle altre.
Abbiamo pubblicato due guide dedicate alle modalità di inventario dei dati e implementazione di una strategia di backup:
2. SISTEMA DI AUTENTICAZIONE E AUTORIZZAZIONE
Per approfondire la gestione dei sistemi di autenticazione e autorizzazione, iniziamo dai loro significati e differenze.
AUTENTICAZIONE è il “Processo attraverso il quale un sistema, un utente o un programma tenta di confermare la sua identità ad un altro sistema o applicazione.”
AUTORIZZAZIONE è il “Processo di definizione dei privilegi, ruoli e permessi di un utente su un sistema o un’applicazione.”
Le best practices per un buon sistema di autenticazione sono:
- politiche stringenti riguardo la complessità delle password e la loro scadenza e riutilizzabilità, per salvaguardarle dagli attacchi più comuni.
- l’utilizzo di meccanismi di autenticazione supplementari alle password, ossia l’autenticazione a 2 fattori (2FA), per irrobustire notevolmente la sicurezza del sistema di autenticazione.
Come per l’autenticazione, anche la gestione sicura delle autorizzazioni richiede politiche rigorose.
Si consiglia infatti di adottare il principio del privilegio minimo (o least privilege), ovvero concedere a singoli utenti, gruppi di utenti e processi i solamente i privilegi minimi richiesti per l’utilizzo dei servizi necessari allo svolgimento delle proprie mansioni lavorative o funzionalità del software.
Il principio del privilegio minimo riduce drasticamente la superficie esposta ad un possibile attacco e rafforza notevolmente la sicurezza informatica generale del sistema informatico aziendale. Affidarsi a questo principio significa mettere le mani avanti, limitando il danno che potrebbe derivare da un incidente, un errore o un’intrusione.
Gli aspetti da considerare per concretizzare il controllo dell’organizzazione e la gestione del rischio sono:
- Il controllo dei privilegi: la mappatura dei profili amministratori locali e globali e di tutte le utenze presenti nell’infrastruttura.
- Impostare tutte le utenze secondo le linee guida del principio del privilegio minimo: qualora necessario l’azienda dovrebbe avere la possibilità di attuare il privilege bracketing per un’utenza, gruppo o processo, che consiste nell’aumentare temporaneamente i livelli di autorizzazioni per l’esecuzione di uno specifico task.
- Tracciamento degli accessi: implementare un sistema di log management per la raccolta dei log di accesso a sistemi e servizi.
3. HARDENING E PATCH MANAGEMENT
Il system hardening (o più semplicemente hardening) è l’insieme di procedure e configurazioni che innalzano il livello di sicurezza dei sistemi e servizi e minimizzano la superficie d’attacco. I servizi oggetto di hardening possono essere server, postazioni di lavoro, sistemi mobile, router firewall, software applicativi genere.
L’hardening prevede innanzitutto di rimuovere i software non necessari e gli account inutilizzati, successivamente si provvede a rivedere la gestione dei permessi, la configurazione delle password, i backup, i servizi inutilizzati e la gestione degli aggiornamenti (patch management) dei software presenti nel sistema da mettere in sicurezza.
Il processo di system hardening può interessare diversi settori dell’infrastruttura IT aziendale, ad esempio:
SERVER HARDENING
Include la messa in sicurezza dell’hardware e del software installato sul server, la presenza o meno di backup e sistemi di cifratura, accessi e privilegi, configurazioni e firewall.
SOFTWARE HARDENING
Valuta le vulnerabilità in ogni singolo software, verifica l’integrità del codice e l’eventuale presenza di aggiornamenti.
OS HARDENING
Mette in sicurezza i sistemi operativi, attraverso l’eliminazione o disabilitazione di software, servizi, funzionalità o utenti non necessari e l’applicazione delle configurazioni di sicurezza base, eliminando e impostando le configurazioni di default.
DATABASE HARDENING
Mette in sicurezza i database presenti in azienda seguendo le best practices di sicurezza.
NETWORK HARDENING
Analizza il traffico di rete e sistemi interconnessi e identifica le vulnerabilità e la segmentazione della rete. Alcune delle attività previste sono l’analisi e configurazione dei firewall per il filtraggio del traffico, le configurazioni di sicurezza delle reti Wi-Fi, le impostazioni VPN per i collegamenti da remoto (smart working o site-to-site), l’adozione di proxy per bloccare contenuti.
Durante questo processo è anche possibile implementare software IPS (Intrusion Prevention System) e/o IDS (Intrusion Detection System).
Infine, non si possono trascurare tutti gli altri dispositivi elettronici presenti in azienda e connessi alla rete aziendale, come il centralino VoIP o PBX, l’impianto di videosorveglianza DVR, sistemi di allarme e i moltissimi dispositivi “smart” connessi ad internet, “IoT”.
Anche tutti questi devices, come ogni altro dispositivo provvisto di scheda di rete, devono essere correttamente configurati e messi in sicurezza.
PATCH MANAGEMENT
Il Patch Management è il processo di identificazione, testing e installazione di patch e aggiornamenti per i software identificati come vulnerabili con lo scopo di ridurre i vettori per un potenziale attacco. Si inserisce pertanto nell’ambito del “Vulnerability Management”.
Il Patch Management è di fondamentale importanza perché permette di mantenere la rete aziendale sicura e sempre aggiornata all’ultima release.
4. LOG MANAGEMENT E SIEM
- Chi ha effettuato l’accesso ad uno specifico sistema?
- A quali file e cartelle può accedere uno specifico utente?
- Quando è stato modificato o copiato uno specifico file e da chi?
- Quali sono i sistemi su cui sono installati software obsoleti o vulnerabili?
- Gli antivirus sono aggiornati ed attivi su tutti i server e postazioni di lavoro?
Ogni organizzazione dovrebbe saper rispondere a queste domande. Lo strumento che consente di avere le risposte è un sistema di gestione dei log (log manager).
Il Log Manager permette una più efficiente gestione da parte degli Amministratori di Sistema, e consente di indagare eventuali incidenti, imputare responsabilità e proteggere il patrimonio digitale aziendale.
LOG MANAGEMENT
Il log management è un sistema di raccolta, archiviazione e analisi dei file di log , generati dai sistemi informatici e dalle attività di rete nei diversi end-point dell’infrastruttura aziendale.
Cosa è un file di log?
Il file di log è un tipo di file prodotto automaticamente dal sistema al verificarsi di certe condizioni, al cui interno vengono documentati dati essenziali come: data, provenienza, errori e messaggi.
Lo studio dei log consente di monitorare la sicurezza dei propri dispositivi e di determinare rapidamente eventuali malfunzionamenti. Questo è già sufficiente a spiegarne l’importanza.
Se affiancato ad un SIEM, il log manager contribuisce alla “Compliance integrata”, ossia diventa un valido strumento atto a ridurre il rischio di violare le normative vigenti in materia di dati e infrastrutture IT.
SIEM
Il Security Information Event Management (SIEM) è un software utilizzato per analizzare i log sotto l’aspetto della sicurezza informatica.
Il SIEM colleziona, in una piattaforma centralizzata, tutti gli eventi generati dalle macchine nella rete aziendale e li monitora costantemente. Attraverso l’uso di regole, analizza gli eventi e rileva possibili minacce come malware, attacchi brute-force, eliminazione di file e utenze oppure l’utilizzo di hardware potenzialmente pericolosi, come le chiavette USB.
Un’altra peculiarità del SIEM è la capacità di creare uno storico cronologico di tutte le attività del sistema operativo, dei programmi utilizzati e dei database. L’ispezione può essere fatta in tempo reale e questo permette di generare quello che viene chiamato “alert”.
Grazie agli alert, gli amministratori di sistema sono in grado di prevenire una possibile intrusione, oppure di semplificare le operazioni al team di incident response.
I software di log management e SIEM sono complementari l’uno all’altro, se utilizzati insieme possono migliorare incredibilmente il livello di sicurezza generale dell’azienda.
5. ANTIVIRUS E FIREWALL
L’utilizzo di software come antivirus e firewall è senza ombra di dubbio una componente fondamentale per migliorare la sicurezza informatica di un’azienda o PMI, ma per essere efficaci devono essere opportunamente configurati.
Seppur vengano spesso accomunati o addirittura confusi, antivirus e firewall sono due software con funzioni e finalità ben distinte.
L’antivirus è un software che salvaguarda i file contenuti nei dispositivi aziendali da programmi malevoli come, ad esempio, i cryptovirus o altri malware.
Il firewall, invece, ispeziona il traffico di rete e identifica e blocca le connessioni non previste o impostate nelle regole di configurazione, che possono essere basate sul tipo di protocollo, sorgente, destinazione o porta.
Pertanto, mentre il primo protegge la macchina da possibili vettori di attacco, come i software malevoli eliminando file ritenuti dannosi, il secondo svolge il ruolo di “prevenzione” filtrando il traffico in entrata e uscita e separando le connessioni esterne con la rete interna.
Una soluzione di firewall avanzata è il next-generation firewall che affianca alle peculiarità tradizionali, funzionalità aggiuntive che incrementano il livello di sicurezza di rete, ad esempio:
- L’integrazione di un Intrusion Prevention System (IPS).
- La DPI (Deep Packet Inspection), Capacità di ispezionare in maggiore profondità i pacchetti di rete.
- Threat intelligence: capacità di confrontare il traffico di rete con informazioni attinte da terze parti, per categorizzarlo in base alla pertinenza e contesto.
Adottare antivirus e firewall ha sicuramente molti benefici per aumentare la sicurezza informatica della rete aziendale: offrono database sempre aggiornati sulle nuove minacce e consentono di mantenere la rete al sicuro da potenziali minacce, monitorando il traffico attraverso l’impiego di regole e filtri.
Inoltre, sono economici, versatili e semplici da implementare.
6. FORMAZIONE DEL PERSONALE
Ricordiamo spesso che l’essere umano è “l’anello debole” della catena.
Nessuna misura tecnica può essere tanto efficace quanto un’adeguata preparazione degli operatori a riconoscere e gestire in sicurezza le minacce provenienti da Internet.
L’implementazione di software e hardware volti a proteggere i sistemi aziendali non è sufficiente se il personale non è al corrente dei possibili attacchi che potrebbero vederlo coinvolto e magari anche indurlo a bypassare le allerte dei software stessi.
Per questa ragione, per rafforzare la sicurezza informatica aziendale non si può trascurare la formazione del personale sull’argomento cybersecurity awareness, ovvero la consapevolezza dei rischi informatici.
La formazione dovrebbe fornire le informazioni necessarie per conoscere le finalità degli attaccanti e distinguere le modalità di attacco, tecniche e psicologiche, trattare dei rischi, delle minacce e di come riconoscerle e gestirle in sicurezza. È anche molto utile che le nozioni teoriche siano contestualizzate, illustrando le misure organizzative e procedurali eventualmente implementate dall’azienda per la protezione del patrimonio digitale aziendale.
La formazione dovrebbe inoltre essere accompagnata da aggiornamenti continui del panorama digitale ed essere supportata da addestramento del personale tramite campagne di phishing, per mantenere alto il livello di guardia in merito.
Non ci stanchiamo mai di sostenere che la formazione del personale in materia cybersecurity è il primo grande passo da compiere per rafforzare la sicurezza informatica in azienda.
Pertanto, consigliamo di scegliere un percorso formativo completo, che preveda:
- una formazione generica sulle tematiche principali
- un approfondimento specifico sugli strumenti impiegati in azienda
- addestramento tramite campagne di phishing
7. VULNERABILITY ASSESSMENT PERIODICI
Come abbiamo trattato nell’articolo “Vulnerability Assessment e Penetration Test: quali sono le differenze?”, le verifiche periodiche attraverso il servizio di vulnerability assessment ricoprono un ruolo importante se non decisivo all’interno di una strategia di sicurezza informatica.
Il vulnerability assessment permette all’organizzazione di capire lo stato di resilienza agli attacchi informatici e quali siano gli asset più critici dell’infrastruttura.
Questo consente di apportare le giuste modifiche prioritizzando i punti più fragili prima che vengano sfruttate da un cyber criminale con le conseguenze ormai conosciute e risentite. Il Vulnerability Assessment fornisce uno spettro preciso su quali siano le potenziali vulnerabilità e, con la reportistica, è possibile consigliare ai tecnici incaricati delle soluzioni mirate.
I Vulnerability Assessment periodici sono lo strumento che raccomandiamo fortemente di pianificare per mantenere sempre monitorato il livello di sicurezza raggiunto.
CONCLUSIONE
Seguendo i 7 passi che abbiamo descritto in questa guida, è possibile iniziare a migliorare la sicurezza informatica aziendale in autonomia ad un livello base.
Se ritieni invece che sia importante proteggere la tua azienda ed i dati che gestisce e custodisce attraverso una strategia di sicurezza informatica sulla base delle specifiche esigenze, possiamo aiutarti in questo percorso.
Verifichiamo le misure già attuate, verifichiamo la presenza di criticità ed elaboriamo un piano di rimedio che sia compatibile con le tue esigenze di sicurezza e di budget.