Studio Tarantelli > Articoli Informatica > Sicurezza > sicurezza dei dati
Sicurezza dei dati e protezione contro gli attacchi
Oggi tutti hanno un pc ed uno smartphone e moltissimi utilizzano questi strumenti sia per uso personale, che per lavoro.
In Italia il 90% delle aziende è fatta da micro-imprese, composte da artigiani, liberi professionisti e ditte di servizi, che oltre ai suddetti apparati utilizza server, cloud, reti informatiche più o meno complesse per la condivisione e fruizione di dati dentro e fuori le mura di ciascuna sede.
I dati quindi non sono solo vulnerabili da pc e smartphone all’interno delle aziende, ma anche fuori, visto che spesso si ricorre alla connessione su server farm, cloud e collegamenti remoti.
Avere un buon antivirus su tutti gli apparati compreso gli smartphone è corretto, ma oggi non basta, perché gli attacchi non vengono solo dall’esterno in questa maniera, ma ultimamente si “aggregano” e si insidiano nelle applicazioni che utilizziamo come Java, flash, ecc…
Questi nuovi scenari introducono vulnerabilità fino a poco tempo fa sconosciute e ci mettono a rischio da attacchi veri e propri.
Molte persone sottovalutano questi fattori, ma vediamo come si insidia un attacco all’interno di una azienda o abitazione.
Un attacco informatico viene eseguito con mail, memorie di massa come USB flash, hard disk, e come detto mediante applicazioni che non dispongono di protezioni, come quelle su indicate e sul quale si insinuano senza essere visti dai nostri software antivirus.
Il tempo che un virus o malware resta nei nostri sistemi è stato stimato in circa 243 giorni, durante il quale penetra in tutti gli apparati e “carpisce” tutte le informazioni per farle uscire man mano.
Se i dati che escono sono importanti e trattano particolari molto richiesti dalle criminalità organizzate, vengono utilizzati per la diffusione, per crimini e per la richiesta di riscatti.
Quando ci si accorge dopo 243 giorni di essere stati attaccati, ormai è troppo tardi ed il danno è fatto!
Spesso si sottovalutano mail di phishing, e software utilizzati per uso personale ed aziendale, come Outlook, o applicazioni per cellulari, spesso gratuite, che non garantiscono la sicurezza, visto che il 90% delle risorse installate specialmente per il mobile è realizzata per hobby da appassionati dell’informatica.
Quale livello di sicurezza occorre avere?
La sicurezza spesso non viene mai considerata come un fattore importante e viene sottovalutata, ma ogni azienda e persona fisica ha delle informazioni riservate, che devono restare tali.
Innanzitutto occorre porsi una domanda: quanto sono importanti questi dati da proteggere?
Se per esempio prendiamo una azienda che fa brevetti e che vive di segretezza e riservatezza di prototipi a livello intellettuale e strategico, non può permettersi di perdere i propri dati embrionali, perché soggetti a spionaggio industriale da parte dei concorrenti e di attività criminali che lucrano su questi dati e quindi alla perdita di anni di lavoro prima di avere il prodotto finale e soprattutto un risultato, che diventerebbe in caso di furto dei dati un insuccesso!
Pertanto una azienda del genere deve avere un sistema di sicurezza più evoluto e strutturato e sicuramente più costoso per garantire la sicurezza dei propri contenuti.
Un professionista o un’azienda di piccole e medie dimensioni, deve garantire la sicurezza dei propri dati per la propria struttura e per il cliente, al fine di mantenere un grado di sicurezza buono, ma che sicuramente è inferiore alla azienda di brevetti.
Quindi, come si può ben comprendere, la scelta del livello di sicurezza è compromesso da stabilire a priori, che si ribadisce, come scritto in altri articoli, non è possibile garantire al 100%.
La sicurezza dei dati al 100% è un’utopia, perché sono moltissimi i fattori che incidono, come le persone, gli strumenti, gli apparati, i software, l’infrastruttura, ecc…, ma far tendere questo valore più vicino possibile al massimo è d’obbligo per garantire un sistema sicuro.
Inoltre ogni titolare di una attività deve garantire la riservatezza dei dati nei confronti dei dipendenti e collaboratori, in quanto si è responsabili della perdita di dati sensibili su attività, malattie, ordinamento religioso, sessuale, ecc…
Gli smartphone sono inoltre uno strumento per condividere le informazioni da remoto e tutte le applicazioni sono potenzialmente “manipolabili” dai malintenzionati, senza che nessuno se ne accorga.
Quanti di Voi ha un antivirus (non gratuito) sul proprio smartphone? Le statistiche affermano che sono pochi gli italiani che ne hanno uno e quindi occorre necessariamente un software che non protegga solamente da attacchi tradizionali, ma che esegua una scansione all’interno delle applicazioni installate e che riesca a monitorare eventuali anomalie all’interno dei codici di tali software.
Basti pensare che tutti gli apparati dotati di scheda di rete e quindi condivisi su internet sono potenzialmente veicoli di attacchi: per esempio come il famosissimo frigorifero che mandava spam e virus ovunque, per non parlare del bug di Google Chrome che permetteva la registrazione vocale e tanti altri.
Avere una casa domotica ha i suoi vantaggi, ma occorre proteggere il sistema che la gestisce, così come un sistema di videosorveglianza, chiunque può accedervi se la rete ed il software non sono protetti.
Per rispondere alla domanda sul livello di sicurezza da avere è fondamentale valutare gli impatti dei danni derivanti dalla perdita di dati e scegliere un compromesso trovando soluzioni hardware e software che offrano una combinazione di protezione ed usabilità dei prodotti e servizi, sia in casa, che in azienda.
Quale soluzione di sicurezza dei dati scegliere?
Innanzitutto occorre valutare una soluzione che offra una prevenzione contro gli attacchi ed una soluzione se tali malware dovessero insediarsi nei sistemi e cercare che non fuoriescano verso fonti esterne.
Una combinazione tra queste caratteristiche è fondamentale.
Altro fattore imprescindibile è la formazione del personale, che deve comprendere specialmente nel luogo di lavoro non può introdurre sistemi esterni ed utilizzate le risorse per scopi personali e per questo occorre configurare i vari firewall affinchè non possano essere visitati determinati siti web ed introdotte risorse nelle apparecchiature.
Altro step è sicuramente una corretta suddivisione gerarchica delle autorizzazioni nelle varie macchine, molto utili per limitare l’operatività dei non addetti alla modifica di ogni pc, server, ecc…
Tutti gli utenti devono possedere una propria autenticazione ed ogni volta che accedono ai dati condivisi, devono essere tracciati mediante apposita memorizzazione in file log.
I dati che sono utilizzati in azienda devono essere cifrati, mediante un algoritmo complesso e che sia intellegibile all’esterno ed a persone non autorizzate.
Gli accessi virtuali dall’esterno devono essere eseguiti su connessioni protette e cifrate, come le VPN.
Le applicazioni devono essere scelte opportunamente da personale esperto e configurate per evitare gli attacchi.
In commercio esistono sistemi proprietari che sono interfacciabili con tutte le fonti di comunicazione, come mail, navigazione, ecc.. e permettono di eseguire scambio di dati sicuri perché cifrati, praticamente se oggi si invia una mail ad un cliente, tale cliente sarà autenticato nel nostro sistema e fino a quando sarà in tale situazione potrà vedere la nostra mail. Una volta rimosso dal sistema, tale mail sarà intellegibile, perché cifrata.
Sembra futuristico, ma è la realtà di aziende che sono dotate di sicurezza informatica di oggi, e solo professionisti del settore possono adottare e configurare tali soluzioni.
Stesso discorso per l’utilizzo delle memorie di massa e sull’importanza di proteggere i file che ognuno inserisce nella propria USB e che condivide con i dati privati, magari sui pc aziendali.
Questo metodo è tra le prime fonti di insediamento di malware.
Ogni utente necessita di un grado di protezione personalizzato e dedicato, ecco perché le soluzioni “all in one” sono da escludere, così come la scelta affrettata della piattaforma se non si è attentamente valutato, progettato ed indirizzato un piano ad hoc.
Il discorso sulla sicurezza dei dati è sicuramente molto articolato, ma in questo articolo si è voluto illustrare l’importanza di adottare sistemi in grado di monitorare, prevenire e proteggere tutti gli apparati e software informatici da attacchi indesiderati.
Ultima considerazione e che si ascolta dire “tanto a me non capiterà mai”, perché ognuno di noi ha dei dati riservati, come conti correnti, accesso home banking, buste paga, mail e foto riservate, certificati medici che ora sono online, per non dire di accordi commerciali e strategie di marketing nel lavoro.
Tutti questi dati meritano la sicurezza, per noi, per i clienti e per i fornitori, perché un giorno non potremo dire: sono stato vittima di un attacco informatico ed ho perso la sicurezza dei miei dati e dei miei dipendenti o familiari!
La tua azienda protegge i dati in maniera sicura?
La sicurezza non è un optional, ma un processo ed occorre sempre inserirla per la tutela di tutti. Pertanto per tutte le informazioni inerenti o per richiedere una consulenza sulla sicurezza dei dati invia una mail mediante l'apposito modulo di contatto, indicando tutti i dettagli richiesti.
Aggiungi Studio Tarantelli al tuo feed di Google News.
01-02-2014
Autore: Mirko Tarantelli - consulente informatico e SEO - Data Scientist
© Tutti i diritti sono riservati. È vietato qualsiasi utilizzo, totale o parziale dei contenuti qui pubblicati.
- Come evitare le truffe online
- Protezione rete wifi
- Sicurezza conto corrente online
- Sicurezza dei dati
- Come tutelarsi da certificati e marchi di qualità falsi
- Come difendersi dal Cyberbullismo
- Verifica se il telefono è sotto controllo
- Perchè non utilizzare una rete wifi gratis pubblica
- Come utilizzare i social network
- Come rendere sicuro l’account Google per le APP
- Acquisti sicuri su Ebay ed Amazon
- Cloud backup o cloud storage, quale scegliere?
- In quale Paese devono essere conservati i dati personali per il GDPR?
- Non basta la crittografia end to end per la sicurezza dei dati
- Sistema CIS: l'importanza delle informazioni classificate riservate
- Adeguamento NIS2 per aziende private e PA
- Videosorveglianza e Privacy: Cosa fare per la tutela dei tuoi dati personali