Scopri come creare uno stack di sicurezza efficace per il tuo team

Pubblicato: 2020-05-05

La creazione di uno stack tecnologico è una delle attività più difficili che devono affrontare gli amministratori IT, i professionisti della sicurezza informatica e gli imprenditori.

Questo perché la creazione di una serie di strumenti di produttività e sicurezza informatica richiede un'attenta serie di atti di bilanciamento.

In linea di principio, più strumenti di cybersecurity implementi, più sicuri saranno i tuoi sistemi, ma solo fino a un certo punto: se rendi il tuo stack troppo complesso può diventare difficile da gestire, e quindi introdurre vulnerabilità, oltre ad aumentare il tuo investimento iniziale in sistemi tecnici.

Un rapporto di Aberdeen e Cyber ​​adAPT ha rilevato che un tipico stack tecnologico aziendale a sei livelli, composto da rete, storage, server fisici, nonché livelli di virtualizzazione, gestione e applicazione, richiede ai CISO di confrontarsi con non meno di 1,6 miliardi di versioni di installazioni tecnologiche per 336 prodotti, forniti da 57 fornitori.

Questo problema è esacerbato dalla natura sempre più dinamica della maggior parte degli ambienti aziendali. L'aumento delle soluzioni software per il lavoro remoto, il rinnovato interesse per la gestione dei team virtuali e il graduale aumento dell'utilizzo della VPN negli ultimi dieci anni indicano che molte aziende stanno ora cercando di sviluppare stack di sicurezza informatica che possono essere implementati efficacemente fuori sede, con le complessità aggiuntive che ciò comporta.

In questo articolo, torneremo alle origini. Costruire uno stack di strumenti di sicurezza informatica efficace si basa, a livello fondamentale, su una serie di principi chiave. Tienili in mente mentre costruisci e sviluppi il tuo stack e sarai in grado di raggiungere l'equilibrio tra semplicità e funzionalità che è il segno di un ottimo stack di strumenti.

Come costruire correttamente uno stack di sicurezza

Il primo e più importante passo nella creazione di uno stack di strumenti di sicurezza informatica è disporre di una strategia di sicurezza informatica e governance delle informazioni. Potrebbe sembrare ovvio, ma è un passaggio che molte organizzazioni ancora trascurano: il 44% dei 9.500 dirigenti intervistati nel Global State of Information Security Survey 2018 di PwC ha affermato di non disporre di una strategia generale per la sicurezza delle informazioni.

Senza una strategia di sicurezza informatica completa e rigorosa, è quasi impossibile creare uno stack di strumenti che mitighi davvero le minacce che devi affrontare. Qualsiasi stack di strumenti sviluppato senza una supervisione strategica soffrirà probabilmente di una serie di problemi interconnessi. Non sarà sufficientemente ampio per affrontare l'ampiezza del tuo profilo di minaccia, diventerà rapidamente obsoleto dato il numero crescente di minacce in circolazione o non ti consentirà una supervisione sufficiente dei tuoi dati per soddisfare la legislazione sulla governance e sulla conformità.

Si possono fare due esempi di questo. La precipitosa ascesa del cryptojacking negli ultimi anni ha colto di sorpresa molte aziende, perché sono abituate a proteggere i dati piuttosto che le proprie risorse informatiche, e senza controlli regolari delle minacce molte hanno avuto difficoltà a rispondere. Allo stesso modo, la crescente portata della censura su Internet negli ultimi dieci anni ha reso quasi inutili molte soluzioni di lavoro a distanza legacy, perché le aziende hanno dato per scontato che i lavoratori fuori sede abbiano accesso completo a tutte le risorse online e ai sistemi di cui hanno bisogno.

Non sono tutte cattive notizie, però. Lo sviluppo di un framework di sicurezza informatica non riguarda solo la mitigazione del rischio: può anche migliorare la produttività. Nel sondaggio di Tenable del 2016, il 95% degli intervistati con un framework in atto ha riscontrato vantaggi, tra cui una maggiore efficacia delle operazioni di sicurezza, conformità contrattuale, maturità e capacità di presentare in modo più efficace la prontezza della sicurezza alla leadership aziendale.

Scopri quali sono le tue aree di rischio aziendale

Una volta che hai messo a punto un efficace framework di gestione del rischio, è tempo di valutare onestamente le vulnerabilità della sicurezza informatica più pericolose che la tua azienda deve affrontare e dare la priorità a quei rischi che avranno il maggiore impatto sulla sostenibilità della tua attività.

La maggior parte delle società di analisi della sicurezza informatica suddividerà i tipi di minacce affrontate dall'azienda media in cinque elementi:

  • La sicurezza fisica dei tuoi sistemi e hardware , che include i framework di controllo degli accessi e Zero Trust.
  • Sicurezza perimetrale di rete , che incorpora il rilevamento delle intrusioni, la mitigazione di queste e il rafforzamento degli endpoint.
  • La sicurezza delle comunicazioni interne. Questo è un campo ampio che include tattiche per limitare le fughe e perdite di dati, nonché sistemi per combattere le minacce interne, che rimangono alcune delle vulnerabilità più pericolose che le aziende devono affrontare.
  • Anche la risposta agli incidenti dovrebbe essere parte integrante di qualsiasi strategia di sicurezza informatica. Anche lo stack di strumenti di sicurezza informatica più sicuro non può offrirti una protezione al 100% contro ogni minaccia e il modo in cui rispondi agli attacchi riusciti è spesso l'elemento più importante per la continua sostenibilità aziendale.
  • Infine, la tua strategia dovrebbe includere la risposta a lungo termine agli attacchi riusciti , che include un processo per strategie di cyber forensics, indagini e contenziosi a seguito di un attacco.

Questi cinque elementi sono anche quelli contenuti in quello che rimane il framework più completo per la pianificazione della strategia di cybersecurity: il framework NIST. Questo framework include cinque principi (identificazione, rilevamento, protezione, risposta e ripristino dalle minacce) che rispecchiano quelli precedenti e presentano un approccio dall'inizio alla fine per affrontare le minacce informatiche.

Adotta un approccio multilivello alla sicurezza

Con una strategia di sicurezza informatica in atto, puoi iniziare a investire negli strumenti necessari per proteggere i tuoi dati (e il tuo personale) dalle minacce informatiche. Il valore di concepire i propri sistemi come una serie di elementi, e di seguire la struttura del NIST insieme a questo, è che questo approccio mette in evidenza che la propria rete non è un insieme monolitico. Ogni livello del tuo sistema dovrebbe essere difeso e ciascuno di questi strumenti difensivi dovrebbe basarsi sull'ultimo.

Ci sono due lezioni principali da trarre dal tipo di analisi che abbiamo spiegato sopra. Uno è che le aziende dovrebbero bilanciare la loro spesa per la sicurezza informatica su tutti e cinque gli elementi della sicurezza della loro rete, perché in definitiva la sicurezza dei tuoi sistemi è buona solo quanto quella della parte più debole. Il secondo è che punta a un paradigma difensivo che è stato inizialmente reso popolare dalla NSA, ma che ora è una parte fondamentale della strategia di sicurezza informatica della maggior parte delle aziende: la "difesa in profondità".

Bilanciare il tuo stack

Prendiamo a turno queste due idee. Il valore principale della valutazione del rischio secondo la rubrica sopra è che consente alle aziende di bilanciare i propri investimenti in strumenti di sicurezza informatica in base al tipo di dati in loro possesso e dove le loro vulnerabilità sono più acute.

Per le aziende che devono proteggere quantità significative di proprietà intellettuale, ad esempio, è probabile che le vulnerabilità dei sistemi di backup siano una priorità assoluta e l'area in cui dovranno essere implementati strumenti di sicurezza informatica più avanzati. Questo tipo di società dovrebbe concentrarsi anche sulla protezione dalle violazioni e sulla mitigazione delle intrusioni, perché detengono dati preziosi (e quindi potenzialmente vulnerabili).

Un altro tipo di azienda, ad esempio quella focalizzata sulla fornitura di strumenti SaaS, dovrà dare la priorità a una parte diversa del proprio stack. Un'azienda che fornisce la maggior parte dei propri servizi tramite il Web dovrà concentrarsi maggiormente sulla protezione dagli attacchi DDoS e sull'integrità del server. Invece del valore contenuto nei dati, in questo tipo di azienda la sostenibilità è rappresentata dal tempo di attività, e questo dovrebbe ispirare le decisioni di acquisto quando si tratta di costruire uno stack di strumenti di sicurezza informatica.

Difesa in profondità

Il concetto di "difesa in profondità" è intrinsecamente contenuto nell'idea di uno "stack" di sicurezza informatica. In pratica, questo significa che le tue difese dovrebbero essere organizzate come una serie di strati difensivi, ciascuno costruito sull'ultimo. Significa anche che i metodi utilizzati da questi meccanismi difensivi dovrebbero essere ben diversificati.

L'idea centrale qui è che agli hacker dovrebbe essere presentata una serie di difese e contromisure crescenti. Oltre a pensare che il tuo stack ti protegga ai cinque livelli che abbiamo trattato sopra, questo significa anche che i tuoi strumenti dovrebbero utilizzare il maggior numero possibile delle seguenti tecniche:

  • Software per endpoint o antivirus
  • Sicurezza e-mail nel cloud o protezione avanzata dalle minacce
  • Autenticazione e sicurezza della password
  • Archiviazione
  • Biometrica
  • Sicurezza incentrata sui dati
  • Continuità e-mail e DRP
  • Crittografia
  • Firewall (hardware o software)
  • Hashing delle password
  • Sistemi di rilevamento delle intrusioni (IDS)
  • Registrazione e controllo
  • Autenticazione a più fattori
  • Scanner di vulnerabilità
  • Controllo accessi temporizzato
  • Corso di sensibilizzazione alla sicurezza di Internet
  • Rete privata virtuale (VPN)
  • Sandbox
  • Sistemi di protezione dalle intrusioni (IPS)

Una difesa in profondità significa anche che le aziende non dovrebbero vedere le proprie difese come un "muro" impenetrabile che scoraggerà tutti gli intrusi. Invece, dovresti accettare che, alla fine, alcune delle tue difese di prima linea verranno violate.

Un buon esempio di questo è la sicurezza della posta elettronica. La stragrande maggioranza delle aziende utilizzerà la posta elettronica fornita da Microsoft o Google. Entrambi questi sistemi presentano vulnerabilità di sicurezza ben note ed è anche noto che la stragrande maggioranza degli attacchi informatici inizia con un'e-mail di phishing.

Cercare di fermare tutti questi attacchi a livello di caselle di posta dei dipendenti è essenzialmente impossibile pur fornendo la flessibilità e le funzionalità necessarie ai dipendenti per lavorare in modo produttivo. Invece, le aziende dovrebbero guardare al livello di sicurezza successivo: dove vengono archiviate le e-mail, che per la maggior parte delle aziende sarà il cloud storage.

Pertanto, la crittografia della posta elettronica e la formazione del personale sono fondamentali per prevenire gli attacchi informatici, garantire una difesa approfondita significa anche mettere in atto soluzioni di archiviazione cloud crittografate per la posta elettronica e eseguire il backup di questi archivi crittografati.

Padroneggia la sicurezza della tua rete

Quando si lavora attraverso il framework sopra, si riconosce immediatamente che la creazione di uno stack di sicurezza informatica sicuro comporterà probabilmente l'investimento in più strumenti di più fornitori. Questa diversità, come abbiamo sottolineato, è fondamentale per garantire forti difese di sicurezza informatica, ma può anche causare problemi.

Questo perché c'è la tendenza per le aziende a subappaltare servizi di sicurezza per i vari livelli dei loro stack di sicurezza informatica senza pensare attentamente alle responsabilità che dovrebbero essere assegnate a ciascun fornitore.

Oltre a investire in strumenti di qualità, quindi, la tua strategia di cybersecurity dovrebbe prevedere anche un'attenta mappatura di quali dei tuoi fornitori si stanno assumendo la responsabilità di quali parti del tuo sistema: sia su base operativa, sia quando si tratta di possibili contenziosi a seguito di un attacco informatico.

Idealmente, la tua relazione con i tuoi fornitori dovrebbe essere pensata come una partnership commerciale, piuttosto che come una semplice relazione acquirente-fornitore. I fornitori di qualità possono essere riconosciuti dal tempo e dagli sforzi che impiegano per comprendere le tue esigenze e dalla loro reattività. Un venditore rispettabile sarà anche in grado di delineare le proprie precise responsabilità operative e legali quando si tratta di proteggere i tuoi dati.

Conclusione

Quando si tratta di creare stack di sicurezza informatica, molte aziende mostrano ancora "fissazione dell'obiettivo". A seconda del settore in cui operano, si può essere tentati di concentrarsi esclusivamente su una parte della propria infrastruttura di sicurezza informatica: proteggere i dati se il proprio modello di business si basa su analisi e acquisizione di dati, ad esempio, o tentare di rendere le proprie piattaforme di sensibilizzazione al 100% sicure se lavori nel marketing

Come abbiamo mostrato sopra, questo tipo di approccio è problematico perché non riesce a realizzare l'intuizione centrale del modello "stack". Invece di costruire muri apparentemente impenetrabili attorno alla tua rete, devi accettare che alla fine qualcuno si intrometterà in essa. A quel punto, dovrebbero trovarsi di fronte a una serie crescente di difficoltà.

Adottando un approccio più olistico, puoi migliorare la sicurezza a ogni livello del tuo stack, indipendentemente dal fatto che tu stia lavorando con dati di marketing o un ecosistema IoT, e assicurarti che non ci siano crepe nella tua armatura.