Prevenite le violazioni di dati con il triangolo persone-processi-tecnologia

05/22/2018Tempo di Lettura 5 Min

Negli ultimi anni, le violazioni di dati sono cresciute in volume, gravità e rilevanza. Siete in difficolta’?? Il vostro team IT sarà pronto a lanciare un SOS in qualsiasi momento. Ma è difficile sapere come prevenire le violazioni di dati e rimanere aggiornati sulle migliori strategie per farlo, quando tutte le pubblicazioni non fanno che riportare nuove operazioni di hacking devastanti.

Ripercorriamo velocemente gli episodi di hacking più gravi degli ultimi anni: Sony ha subito un attacco informatico devastante nel 2014 in cui informazioni private sono state rilasciate ai quattro venti; i dati di 32 milioni di utenti di Ashley Madison sono stati esposti e l’azienda ricattata da hacker nel 2015; e l’anno dopo, nel più allarmante esempio di quanto effettivamente sono pericolose le violazioni di dati, il Comitato nazionale democratico ha subito un attacco che aveva lo scopo di influenzare il risultato delle elezioni americane.

Chiaramente, la prevenzione delle violazioni deve essere una delle massime priorità per qualsiasi tipo di organizzazione, che sia pubblica o privata, di grandi o piccole dimensioni, dal ristorante all’angolo al rivenditore di abbigliamento di lusso. Nessuno è immune alle minacce alla sicurezza informatica e purtroppo non esistono soluzioni immediate. Ma la strategia migliore per prevenire le violazioni di dati inizia dal prendere in considerazione ogni lato del triangolo persone-processi-tecnologia.

Prendete dimestichezza con il triangolo persone-processi-tecnologia

Alla base del triangolo persone-processi-tecnologia c’è il concetto che diversi fattori (o meglio, tipologie di fattori) contribuiscono al successo o al fallimento delle iniziative IT. “Persone” fa riferimento alle parti interessate di un progetto, dal livello più alto, quello dei dirigenti, a quello più basso, che comprende i dipendenti, oltre a fattori come la formazione e la cultura aziendale. Gli umani hanno il potere di prendere decisioni a sostegno della sicurezza informatica, ma possono anche compiere errori che creano vulnerabilità, offrendo agli hacker una via di accesso.

“Processi” si riferisce alle misure in atto per guidare le persone: standard, protocolli, regole, politiche e strutture che riducono la probabilità di errori umani e promuovono produttività ed efficienza. “Senza processi […] le persone non sanno cosa fare. Senza processi, non c’è un modo giusto di implementare la tecnologia,” scrive l’esperto di sicurezza Ira Winkler su Computerworld. L’ultimo lato, “tecnologia”, indica i prodotti e servizi effettivi impiegati per tenere a bada gli hacker, come ad esempio i firewall e i sistemi di rilevamento delle anomalie.

Quando si pensa a come prevenire le violazioni di dati, ognuno di questi lati è di primaria importanza. Se uno dei lati è debole, crolleranno anche gli altri. Nessuna campagna formativa comprensiva delle migliori prassi per la sicurezza informatica sarà in grado di fermare le minacce se le persone non dispongono di strumenti tecnologici aggiornati, o se ogni dipendente protegge i propri dati in modo diverso. Anche la tecnologia più sofisticata è destinata a fallire se le persone non la usano nel modo adatto o se fanno errori prevenibili. Inoltre, i processi delineati nel dettaglio saranno inutili senza il consenso delle persone che dovrebbero aderirvi o gli strumenti in grado di competere contro gli attacchi più sofisticati. Ogni lato dipende dal supporto degli altri.

Imparate come prevenire le violazioni di dati

Le stampanti con funzionalità di sicurezza integrate sono un ottimo esempio per illustrare perché il triangolo persone-processi-tecnologia funziona, soprattutto quando si pensa a prevenire le violazioni di dati. Secondo un sondaggio di Spiceworks sponsorizzato da HP, le stampanti, spesso ignorate, sono una fonte di vulnerabilità molto importante, fino al livello della coda di stampa. Le cifre parlano chiaro: mentre l’83% degli intervistati utilizza la sicurezza di rete sui computer e il 55% anche sui dispositivi mobili, solo il 41% se ne ricorda quando è ora di usare le stampanti. E quando si parla di sicurezza degli endpoint, il valore scende al 28%.

Persone, processi e tecnologia contribuiscono insieme alla mancanza di sicurezza delle stampanti. La scarsa consapevolezza tra i dipendenti crea una minaccia interna e, dal momento che la sicurezza delle stampanti viene spesso dimenticata, le politiche di sicurezza della maggior parte delle organizzazioni ignorano completamente le stampanti di rete.

Le stampanti con funzionalità di sicurezza integrate aiutano a risolvere il problema dal lato della tecnologia. Ad esempio, le stampanti HP sono dotate di funzionalità di sicurezza per l’autoriparazione e includono protezioni integrate contro virus e malware. È un passo avanti, ma queste capacità rappresentano un solo lato del triangolo. L’ideale è abbinare alle stampanti le migliori prassi per la sicurezza, come l’autenticazione utente, la crittografia dei dati da dispositivi a stampante e viceversa, e infine accertarsi che i documenti sensibili o riservati non siano abbandonati nei vassoi di output.

Occupatevi del lato persone

Mentre la tecnologia e i processi sono fattori controllabili, le persone non lo sono: per questo motivo Michael Howard, Chief Security Advisor di HP, ritiene che gli umani rimangano la maggiore vulnerabilità per la sicurezza dei dati.

“Se ci si dimentica della sicurezza per un istante, fare clic su link provenienti da mittenti sconosciuti o scaricare coupon sembrano le azioni più innocenti del mondo,” ha scritto. “Tenere la porta aperta per permettere a uno sconosciuto di seguirvi nell’edificio sembra un’azione gentile. Ma sono proprio queste attività dall’aspetto innocente a introdurre rischi. Se non c’è il reparto IT a suonare l’allarme, i dipendenti non fanno nulla per proteggere l’azienda attivamente”.

Quando si pensa alla prevenzione delle violazioni di dati, dipendenti e professionisti della sicurezza devono collaborare. I dipendenti devono usare cautela quando fanno clic su un’e-mail, usare gli strumenti a loro disposizione e seguire le linee guida per la sicurezza e le politiche di crittografia. Potete promuovere le buone prassi implementando campagne di sensibilizzazione all’interno della vostra azienda, ricompensando i comportamenti positivi, illustrando l’impatto delle perdite e spiegando i processi IT.

In definitiva, i tre lati del triangolo sono altrettanto importanti, ma rinforzare il lato persone richiede vigilanza e azioni continue. La tecnologia deve essere bilanciata con dipendenti consapevoli dei problemi di sicurezza e processi efficaci.

Tektonika Staff 08/02/2018 Tempo di Lettura 5 Min

Grazie all’intelligenza artificiale la sicurezza informatica…

I ricercatori stanno rapidamente sviluppando le capacità dell'intelligenza artificiale di vigilare sempre in modo costante e proattivo soprattutto in un...

Tektonika Staff 07/26/2018 Tempo di Lettura 5 Min

Prevenzione o recupero: dove sarebbe più opportuno destinare le li…

Mentre gli attacchi informatici diventano più complessi, il dibattito sulle migliori strategie di difesa entra nel vivo. Michael Keller, 13 marzo 2018...

Tektonika Staff 07/12/2018 Tempo di Lettura 5 Min

Ecco i punti deboli che gli hacker possono usare per entrare nella…

I dispositivi periferici connessi a Internet sono gli obiettivi preferiti degli hacker. Michael Keller, 13 marzo 2018 Era tutto più semplice una volta....

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi richiesti sono evidenziati con un *