“La chiave per una sicurezza efficace e senza attriti è comprendere le esigenze e le operazioni aziendali per costruire controlli efficienti attorno ad esse. La sicurezza dovrebbe essere integrata, non aggiunta in un secondo momento.”
Senior Security Engineer - Dan Perry
Cos'è l'infosec?
Spesso parte della gestione del rischio informatico, la sicurezza delle informazioni (spesso abbreviata in 'Infosec') è il processo di riduzione ed eliminazione del rischio di accesso, utilizzo, divulgazione, interruzione, cancellazione, corruzione, modifica, ispezione o registrazione non autorizzati.
Per proteggere le informazioni e, nel clima odierno, molti dati personali, le aziende devono seguire questi principi per gestire al meglio l'archiviazione dei dati:
La 'Triade CIA'
Riservatezza
Il principio di riservatezza serve a garantire che le informazioni private rimangano tali e che possano essere visualizzate o consultate solo dalle persone che ne hanno bisogno per svolgere le proprie mansioni lavorative.
Integrità
Il principio di integrità è progettato per garantire che i dati siano accurati e affidabili e che non siano stati modificati in modo inappropriato.
Disponibilità
Proteggere la funzionalità dei sistemi di supporto e garantire che i dati siano pienamente disponibili nel momento (o nel periodo richiesto) in cui sono necessari agli utenti. L'obiettivo della disponibilità è garantire che i dati siano fruibili quando servono per prendere decisioni.
Scopri le certificazioni di sicurezza delle informazioni di Purple alla fine di questo articolo!
“Ci vogliono 20 anni per costruire una reputazione e pochi minuti di un incidente informatico per rovinarla.”
Tipologie di violazioni della sicurezza
Man-in-the-middle (MitM)
Un attacco MitM si verifica quando un hacker intercetta segretamente e possibilmente altera le comunicazioni tra due parti che credono di comunicare direttamente tra loro.
Un esempio di attacco MITM è l''eavesdropping' attivo (intercettazione), in cui l'aggressore stabilisce connessioni indipendenti con le vittime e trasmette messaggi tra di loro per far credere che stiano parlando direttamente tramite una connessione privata.
Phishing
Il Phishing avviene quando gli aggressori tentano di ingannare gli utenti spingendoli a fare 'la cosa sbagliata', come cliccare su un link dannoso che scaricherà malware o li indirizzerà a un sito web sospetto.
Il phishing può essere condotto tramite SMS, social media o telefono, ma il termine 'phishing' è utilizzato principalmente per descrivere gli attacchi che arrivano via email.
Denial-of-service (DoS)
Un attacco Denial-of-Service (DoS) è progettato per bloccare una macchina o una rete, rendendola inaccessibile agli utenti previsti. Gli attacchi DoS raggiungono questo obiettivo inondando il bersaglio di traffico o inviando informazioni che ne provocano l'arresto anomalo. In entrambi i casi, l'attacco DoS priva gli utenti legittimi (es. dipendenti, membri o titolari di account) del servizio o della risorsa che si aspettavano.
Le vittime degli attacchi DoS sono spesso server web di organizzazioni di alto profilo come banche, aziende commerciali e media, oppure organizzazioni governative e commerciali. Sebbene gli attacchi DoS non comportino in genere il furto o la perdita di informazioni significative o di altri asset, possono costare alla vittima molto tempo e denaro per essere gestiti.
“La sicurezza non è qualcosa che si compra, è qualcosa che si fa, e servono persone di talento per farla bene.”
Conseguenze di una violazione della sicurezza
Perdita di fatturato
Questa conseguenza può essere fortemente influenzata dal tipo di attacco informatico scelto da un hacker; tuttavia, le fughe di dati comporteranno ulteriori costi di sicurezza, perdita di valore delle quote di mercato e costi per risarcire i clienti colpiti.
Reputazione
Mentre un calo a breve termine del fatturato aziendale potrebbe non sembrare troppo dannoso, il vero costo si manifesta nel tempo. Una volta che si diffonde la notizia di una violazione della sicurezza, partner e clienti potenziali o esistenti potrebbero non pensarci due volte prima di “abbandonare la nave”, sottraendo una fetta ancora più grande delle entrate di un'azienda.
Azioni legali
Sanzioni, sanzioni e ancora sanzioni.
Esistono numerose normative in tutto il mondo che le aziende devono seguire, ad esempio:
- Europa - GDPR (Il GDPR è un regolamento dell'UE e non si applica più al Regno Unito )
- Regno Unito - Data Protection Act
- Cina - Personal Information Protection Law
Ai sensi del GDPR e del DPA del Regno Unito, la sanzione massima applicabile è di 17,5 milioni di sterline o il 4% del fatturato globale annuo, a seconda di quale sia maggiore. Le aziende che operano ai sensi del GDPR e del DPA dell'UE, tuttavia, possono essere sanzionate con una multa massima di 20 milioni di euro (18 milioni di sterline).
Interruzione delle operazioni
Con qualsiasi tentativo o violazione riuscita, tutte le aziende subiranno un impatto sulle operazioni a causa di indagini approfondite per segnalare i danni, le cause e trovare la fonte.
In alcuni casi, le aziende si fermano completamente per limitare i danni ed elaborare un piano di ripristino, e durante questo periodo tutti i punti precedenti peggiorano.
La più grande violazione di dati del 21° secolo
Nel 20 13 Adobe è stata hackerata e sono stati ottenuti oltre 153 milioni di record di utenti, inclusi ID crittografati, password e informazioni su carte di debito e di credito.
Adobe ha dovuto pagare 1,1 milioni di dollari in spese legali e, a novembre 2016, l'importo pagato ai clienti è stato stimato in 1 milione di dollari.
https://www.youtube.com/watch?v=zYfx4cdFCVA
“Se non puoi permetterti la sicurezza, non puoi permetterti una violazione.”
Le certificazioni infosec di Purple
ISO/IEC 27001
Purple è conforme allo standard ISO/IEC 27001 per la progettazione e lo sviluppo di software WiFi basato su cloud per la gestione e l'archiviazione dei dati personali. La nostra certificazione ISO è un traguardo che manteniamo da diversi anni e garantisce la presenza di processi, persone e tecnologie adeguati per assicurare l'erogazione sicura del nostro prodotto, in linea con i nostri obblighi verso i clienti e i soggetti interessati. Lo standard ISO 27001 definisce un framework di controlli che abbraccia l'intera azienda, dalla gestione delle risorse umane alla crittografia.
Partendo da questa base e ampliandola per integrare i nostri obiettivi aziendali (requisiti interni) e le aspettative dei nostri clienti (requisiti esterni), abbiamo costruito un modello operativo sicuro, ripetibile e idoneo allo scopo.
CyberEssentials+
Il programma Cyber Essentials è un'iniziativa relativamente nuova, supportata dal governo del Regno Unito e dall'NCSC, volta a consentire alle PMI (piccole e medie imprese) di garantire una base di sicurezza ai propri clienti e di partecipare alle procedure di appalto governative.
La certificazione Cyber Essentials è uno strumento di autovalutazione; tuttavia, grazie alla fiducia nei nostri controlli, in particolare per aver già implementato il più solido framework ISO 27001, abbiamo fatto un passo avanti e ottenuto la certificazione Cyber Essentials Plus facendo convalidare i nostri controlli da un partner di sicurezza CE+ accreditato e indipendente.
Vuoi saperne di più? Scopri Come mantenere la tua azienda al sicuro online - Leggi qui
