Per far fronte ad attacchi eterogenei e sempre più pericolosi per la sicurezza informatica aziendale che minacciano i sistemi e le infrastrutture fisiche, mettendo a repentaglio dati personali e informazioni riservate, le organizzazioni devono mettere in campo una difesa proattiva e real-time. Si tratta di una sfida non facile anche a causa del numero crescente di dispositivi che fanno ormai parte di qualunque ecosistema IT, ma che può essere vinta grazie a strumenti e processi in grado di tenere sotto controllo in modo automatico le vulnerabilità del sistema, controllare la superficie esposta agli attacchi e rispondere in maniera efficiente alle minacce.

Prevenire le potenziali minacce per la sicurezza informatica aziendale

Un certo livello di sicurezza informatica aziendale viene garantita generalmente attraverso strumenti passivi, come ad esempio firewall di rete, antivirus, sistemi di sicurezza perimetrali, preferibilmente integrati in un’unica soluzione di Unified Threat Management - UTM.

Sono utili anche attività di verifica per identificare e correggere le vulnerabilità del sistema, come vulnerability assessment e penetration test, che vanno a misurare il grado di gravità delle vulnerabilità e a testare la sicurezza di sistemi, applicazioni e reti, ricorrendo anche alla simulazione di un attacco. Queste attività, eventualmente affiancate da specifiche soluzioni OSS Risk prevention per valutare eventuali vulnerabilità note dei componenti open source, non vengono tuttavia ripetute con un’adeguata regolarità per assicurare la sicurezza informatica aziendale, anche a causa di costi elevati di realizzazione. Sembra dunque necessario mettere in campo un insieme di procedure e strumenti di protezione dalle minacce e monitoraggio costante della sicurezza informatica aziendale real-time, per identificare in modo automatico potenziali rischi provenienti dall’esterno o dall’interno.

Gli strumenti per monitorare la sicurezza informatica aziendale

Di seguito elenchiamo alcuni strumenti utili per mettere in atto un monitoraggio continuo della sicurezza informatica aziendale. Uno dei sistemi più efficaci è il Security Information and Event Management – SIEM, una soluzione che raccoglie centralmente i dati da più apparati sulla rete, inclusi i dispositivi di sicurezza esistenti e, grazie a un motore di correlazione avanzato, identifica in modo proattivo eventi legati alla sicurezza che non potrebbero essere rilevati da sistemi di sicurezza statici. I sistemi SIEM non solo sono grado di rilevare attacchi non individuabili con altri mezzi, ma possono indirizzare la riconfigurazione di altri controlli di sicurezza aziendali per colmare le vulnerabilità. I sistemi SIEM più evoluti riescono anche a bloccare le violazioni della sicurezza rilevate con un attacco ancora in corso. La disponibilità di sistemi di Intrusion detection Systems (IDS) e Intrusion Prevention System (IPS), attraverso il monitoraggio del traffico di rete, consentono il rilevamento rapido ed efficiente delle intrusioni di sicurezza informatica aziendale anche in presenza di grandi quantità di dati difficilmente elaborabili con strumenti tradizionali. Strumenti di analisi dei log e la loro correlazione sono fondamentali sia per evidenziare attività sospette, come login con account compromessi e attività di scansione del perimetro di sicurezza esterno che preludono a un attacco, sia per tenere traccia dello spostamento dei dati, un requisito fondamentale nel caso di dati personali per la conformità GDPR. Spesso la sicurezza informatica aziendale è messa a repentaglio dal mancato aggiornamento del software con le versioni aggiornate più efficaci. La gestione delle patch può essere effettuata attraverso la scansione dei sistemi per verificare le patch mancanti e provvedere alla loro distribuzione. L’Artificial Intelligence può infine supportare gran parte degli strumenti fin qui descritti, in particolare la detection, tramite monitoraggio dei comportamenti di persone e sistemi al fine di rilevare anomalie sintomatiche di azioni potenzialmente malevole. Un ruolo determinante è in ogni caso assegnato alle persone che vanno opportunamente formate e a un cambio di mentalità nell’organizzazione che deve porre la sicurezza informatica aziendale come una priorità a partire dai vertici.

 

 

New call-to-action