Phishing, ransomware, fughe di dati... sembra che le notizie sulla cybersecurity siano sempre più frequenti. Qual è il reale livello di minaccia e di cosa dobbiamo preoccuparci maggiormente in questo periodo di incertezza segnato dall'epidemia di Covid-19? Come può un'azienda coniugare sicurezza e controllo dei dati nella scelta del proprio sistema informativo?
Panoramica delle minacce informatiche
L'Agenzia europea per la sicurezza delle reti e dell'informazione (ENISA) fornisce alcune informazioni molto interessanti su questo tema nella sua relazione annuale, Il panorama delle minacce dell'ENISAliberamente scaricabili da Internet.
L'elemento chiave di questo documento è rappresentato dalle 15 principali minacce informatiche nel periodo gennaio 2019-aprile 2020.
Esaminiamo i primi tre, e quindi i tre più importanti:
- Malware Cryptomining, worm, virus, spyware e altro ancora continuano ad essere in cima al rapporto 2018. Tuttavia, stanno emergendo nuove tendenze:
- un cambiamento di target (imprese anziché consumatori),
- la distribuzione di malware-as-a-service (vendita sul dark web di pacchetti che includono infrastrutture e codice maligno),
- la crescente sofisticazione dei meccanismi di infezione.
- Attacchi web Un'ampia gamma di vettori di compromesso, tra cui :
- URL progettati per intrappolare le vittime,
- iniezioni di codice maligno in siti legittimi ma compromessi,
- exploit del browser web.
Il Sistemi di gestione dei contenuti (CMS) rimangono un bersaglio ideale per i tentativi di sfruttamento delle vulnerabilità, a causa della loro popolarità.
- Phishing Phishing: tecnica antica ma formidabile, sfrutta le debolezze umane per rubare dati o estrarre denaro. La pandemia Covid-19 ha visto un'impennata di tentativi di phishing, soprattutto attraverso e-mail con documenti Microsoft Office allegati.
Di fronte a questo panorama preoccupante, quali scelte hanno le aziende per proteggere i propri dati e affrontare le minacce? Si tratta di una domanda molto ampia, che questo articolo esamina dal punto di vista specifico del modello di implementazione dei sistemi informativi.
Quale sistema informativo è adatto alla sicurezza informatica?
Vengono esaminate quattro scelte: on-premise, cloud privato, cloud pubblico e cloud ibrido. Vale la pena notare che la scelta del cloud pubblico sembra paradossale: non è forse un errore mettere i propri dati in un cloud aperto al pubblico e gestito da multinazionali extraeuropee?
La domanda non è così semplice come sembra.
Vediamo quindi i vantaggi e gli svantaggi di ciascuna scelta.
In sede
L'azienda distribuisce il proprio sistema informativo su infrastrutture self-hosted, sia nei propri data center per le entità più grandi, sia in sale server allestite per le PMI.
Il fattore attraente di questa scelta è senza dubbio il pieno controllo esercitato sui dati: nessuna domanda sulla loro ubicazione e controllo completo sull'accesso fisico e logico. Il rovescio della medaglia è che la realizzazione di un'infrastruttura propria richiede investimenti considerevoli (CAPEX), con il rischio di ritrovarsi con apparecchiature obsolete dopo pochi anni. Inoltre, richiede competenze specialistiche, non sempre facili da acquisire. Non è facile raggiungere lo stesso livello di qualità e di sicurezza dell'hosting dei giocatori puri!
Cloud privato
L'azienda utilizza l'infrastruttura fornita da un fornitore di cloud, con il quale sottoscrive un contratto di servizio personalizzato in base alle proprie esigenze. In questo caso, la scelta è generalmente quella di un cloud sovrano, che ospita ed elabora i dati sul territorio nazionale.
Il vantaggio di questo modello risiede nel controllo che i clienti ottengono sull'ubicazione dei loro dati, senza dover affrontare la "seccatura" di costruire la propria infrastruttura.
Naturalmente, non tutti i provider sono uguali in termini di sicurezza. Per questo motivo vale la pena di verificare il livello di certificazione. Il "minimo indispensabile" è la ISO 27001. Ma il più esigente è SecNumCloud, lo standard francese pubblicato dall'Agence nationale de la sécurité des systèmes d'information (ANSSI). SecNumCloud richiede ai fornitori di servizi qualificati di archiviare e amministrare i dati in Francia.
Quali sono gli svantaggi di questa scelta?
Forse la cosa più importante è che i cloud privati sono ancora un po' indietro rispetto ai cloud pubblici in termini di automazione, elasticità e provisioning self-service.
Cloud pubblico
L'azienda si sta rivolgendo alle offerte di operatori come Amazon Web Services (AWS), Microsoft Azure, Google e altri. Cloud o Alibaba Cloud.
Perché rivolgersi a questi colossi stranieri con termini di servizio fissi, contro i quali il rapporto di forza è inevitabilmente sfavorevole? La risposta sta nella ricchezza della loro offerta di servizi e nell'agilità che consentono con le tecniche di Infrastructure as Code: implementare architetture complesse diventa quasi come premere un pulsante.
E che dire della sicurezza? Ebbene, questi giganti, consapevoli che questo è il principale fattore che ne frena l'adozione, investono miliardi ogni anno in questo settore e raccolgono certificazioni di sicurezza.
Cloud ibrido
L'azienda sta cercando di sfruttare il meglio dei diversi mondi, ad esempio ospitando i dati aziendali più sensibili in sede o su un cloud privato sovrano, e adottando un cloud pubblico per sviluppare rapidamente applicazioni innovative. In questo caso, l'interoperabilità è la sfida principale, insieme alla complessità della gestione di un sistema informativo multi-cloud.
Quindi cosa scegliere?
È chiaro che non esiste una scelta migliore in assoluto, poiché ogni azienda presenta caratteristiche specifiche in termini di mercato, requisiti aziendali, vincoli legali e normativi e così via.
L'approccio più appropriato sarebbe quello di utilizzare un metodo di valutazione del rischio che vi guidi tra le varie possibilità; il riferimento francese è EBIOS Risk Manager.
Dal mio punto di vista, vi consiglio comunque di studiare attentamente l'opzione di ibridazione descritta sopra, con l'aiuto di un fornitore di servizi di fiducia.
Volete discuterne? Condividere con noi i vostri pensieri? Contattateci.