La sicurezza IT (o information technology security) è la pratica di proteggere le risorse IT di un'organizzazione (sistemi informatici, reti, dispositivi digitali, dati) da accessi non autorizzati, violazioni dei dati, attacchi informatici e altre attività dannose.
L’ambito della sicurezza IT è ampio e spesso coinvolge un mix di tecnologie e soluzioni di sicurezza che lavorano insieme per affrontare le vulnerabilità dei dispositivi digitali, delle reti informatiche, dei server, dei database e delle applicazioni software. Gli esempi di sicurezza IT più comunemente citati includono le discipline di sicurezza digitale come la endpoint security, la cloud security, la network security e l'application security. Ma la sicurezza IT include anche misure di sicurezza fisiche (ad es. serrature, carte d'identità, telecamere di sorveglianza) necessarie per proteggere edifici e dispositivi che ospitano dati e risorse IT.
La sicurezza IT viene spesso confusa con la cybersecurity, una disciplina più ristretta che è tecnicamente un sottoinsieme della sicurezza IT. Mentre la cybersecurity si concentra principalmente sulla protezione delle organizzazioni da attacchi digitali, come ransomware, malware e truffe di phishing, la sicurezza IT si occupa dell'intera infrastruttura tecnica di un'organizzazione, compresi i sistemi hardware, le applicazioni software e gli endpoint, come laptop e dispositivi mobili, nonché la rete aziendale e i suoi vari componenti, come i data center fisici e basati sul cloud.
Prendi il controllo della cyber resilience della tua organizzazione con le azioni consigliate da IBM® Security.
Gli attacchi informatici e gli incidenti di sicurezza possono comportare un costo enorme in termini di perdite economiche, danni alla reputazione, sanzioni e, in alcuni casi, estorsioni e furti di asset.
Ad esempio, il report Cost of a Data Breach 2023 ha studiato oltre 550 aziende che hanno subito una violazione dei dati tra marzo 2022 e marzo 2022. Il costo medio di una violazione dei dati per queste aziende è stato di 4,45 milioni di dollari, con un aumento del 2,3% rispetto ai risultati di uno studio simile dell'anno precedente e del 15,3% rispetto a uno studio del 2020. I fattori che contribuiscono ai costi includono molteplici aspetti, dalla notifica ai clienti, ai dirigenti e alle autorità di regolamentazione, alle sanzioni, alla perdita di guadagni durante i tempi di inattività fino alla perdita permanente di clienti.
Alcuni incidenti di sicurezza sono più costosi di altri. Gli attacchi ransomware criptano i dati di un'organizzazione, rendendo i sistemi inutilizzabili, e chiedono il pagamento di un riscatto per ottenere una chiave di decrittazione per sbloccare i dati; inoltre, chiedono sempre più spesso un secondo riscatto per impedire la condivisione di dati sensibili con il pubblico o altri criminali informatici. Secondo la IBM Security Definitive Guide to Ransomware 2023, le richieste di riscatto hanno raggiunto importi a 7 e 8 cifre fino ad arrivare, in casi estremi, a 80 milioni di dollari.
Com’era prevedibile, gli investimenti nella sicurezza IT continuano a crescere. L'analista del settore Gartner prevede che nel 2023 le organizzazioni spenderanno 188,3 miliardi di USD in risorse e servizi per la sicurezza delle informazioni e la gestione del rischio, con un mercato che continuerà a crescere nei prossimi anni, generando quasi 262 miliardi di USD entro il 2026, sulla base di un tasso di crescita annuo composto dell'11% rispetto al 2021.1
La cloud security affronta le minacce informatiche esterne e interne all'infrastruttura, alle applicazioni e ai dati basati sul cloud di un'organizzazione. La cloud security si basa su un modello a responsabilità condivisa: in generale, il cloud service provider (CSP) è responsabile della sicurezza dell'infrastruttura con cui fornisce i servizi cloud e il cliente è responsabile della sicurezza di tutto ciò che esegue su tale infrastruttura. I dettagli di questa responsabilità condivisa variano a seconda del cloud service.
La endpoint security protegge gli utenti finali e i dispositivi endpoint, come desktop, laptop, telefoni cellulari e server, dagli attacchi informatici. La endpoint security protegge anche le reti dai criminali informatici che tentano di utilizzare i dispositivi endpoint per lanciare attacchi informatici ai propri dati sensibili e ad altre risorse.
La network security ha tre obiettivi principali: prevenire l’accesso non autorizzato alle risorse di rete, rilevare e bloccare attacchi informatici e violazioni della sicurezza in corso e garantire che gli utenti autorizzati abbiano accesso sicuro alle risorse di rete di cui hanno bisogno, quando ne hanno bisogno.
L'application security si riferisce alle misure che gli sviluppatori adottano quando creano un'app per affrontare potenziali vulnerabilità e proteggere i dati dei clienti e il proprio codice da furti, perdite o compromissioni.
L'internet security protegge i dati e le informazioni sensibili trasmesse, memorizzate o elaborate da browser o app. L'internet security comprende una serie di pratiche e tecnologie di sicurezza che monitorano il traffico internet in entrata alla ricerca di malware e altri contenuti dannosi. Le tecnologie in quest'area includono meccanismi di autenticazione, gateway web, protocolli di crittografia e, soprattutto, firewall.
L'Internet of Things (IoT) security si concentra sulla protezione dei sensori e dei dispositivi connessi a Internet, ad es. videocitofoni, elettrodomestici intelligenti, automobili moderne, dagli attacchi degli hacker che potrebbero prenderne il controllo o utilizzarli per infiltrarsi nella rete di un'organizzazione. L'operational technology (OT) security si concentra più specificamente sui dispositivi connessi che monitorano o controllano i processi all'interno di un'azienda, ad esempio i sensori su una linea di assemblaggio automatizzata.
Ogni organizzazione è suscettibile alle minacce informatiche provenienti dall'interno e dall'esterno della propria organizzazione. Queste minacce possono essere intenzionali, come nel caso dei criminali informatici, o involontarie, come nel caso di dipendenti o collaboratori che aprono link dannosi o scaricano malware accidentalmente.
La sicurezza IT mira ad affrontare questa vasta gamma di rischi per la sicurezza e a tenere conto dei vari tipi di attori delle minacce e delle loro diverse motivazioni, tattiche e livelli di abilità.
Il malware è un software dannoso che può rendere inutilizzabili i sistemi infetti, distruggere dati, rubare informazioni e persino cancellare file critici per il sistema operativo.
I tipi di malware più noti includono:
Ransomware: un malware che blocca i dati o il dispositivo di una vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'autore dell'attacco. Secondo l'IBM Security X-Force Threat Intelligence Index 2023, gli attacchi ransomware hanno rappresentato il 17% di tutti gli attacchi informatici nel 2022.
Trojan horse: un malware che induce le persone a scaricarlo mascherandosi da programma utile o nascondendosi all'interno di un software legittimo. Trojan di accesso remoto (RAT): crea una backdoor segreta sul dispositivo della vittima, mentre un Trojan dropper installa un ulteriore malware una volta che ha acquisito un punto d'appoggio.
spyware: raccoglie segretamente informazioni sensibili, come nomi utente, password, numeri di carte di credito e altri dati personali, e le trasmette all'hacker.
Worm: un malware autoreplicante che può diffondersi automaticamente all'interno di app e dispositivi.
Spesso definita "human hacking", l'ingegneria sociale manipola le vittime inducendole a intraprendere azioni che espongono informazioni sensibili, compromettono la sicurezza o minacciano il benessere finanziario della loro organizzazione.
Phishing: l'attacco di ingegneria sociale più noto e pervasivo. Gli attacchi di phishing utilizzano e-mail, messaggi di testo o telefonate fraudolente per indurre le persone a condividere dati personali o credenziali di accesso, scaricare malware, inviare denaro a criminali informatici o intraprendere altre azioni che potrebbero esporle a crimini informatici. Tipi speciali di phishing includono
Spear phishing: un attacco di phishing altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dati dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente.
Whale phishing: uno spear phishing che prende di mira dirigenti d'azienda o individui facoltosi.
Business email compromise (BEC): una truffa in cui i criminali informatici si fingono dirigenti, fornitori o soci in affari per indurre le vittime a trasferire denaro o a condividere dati riservati.
Un'altra tattica di ingegneria sociale, il tailgaiting, è meno tecnica ma non per questo meno pericolosa per la sicurezza IT: consiste nel seguire (o "pedinare") un individuo con accesso fisico a un data center (ad esempio, qualcuno con un documento d'identità) e nell'intrufolarsi letteralmente dietro di lui prima che la porta si chiuda.
Un attacco DoS travolge un sito web, un'applicazione o un sistema con volumi di traffico fraudolento, rendendolo troppo lento da utilizzare o del tutto indisponibile per gli utenti legittimi. Un attacco DDoS (distributed denial-of-service) utilizza una rete di dispositivi infetti da malware connessi a Internet, chiamata botnet, per paralizzare o mettere fuori uso l'applicazione o il sistema di destinazione.
Un exploit zero-day sfrutta una falla di sicurezza non ancora scoperta o non ancora risolta nel software, nell'hardware o nel firmware del computer. Il termine "zero-day" si riferisce al fatto che il fornitore del software o del dispositivo non ha nemmeno un giorno, ovvero non ha tempo, per correggere la falla, perché gli utenti malintenzionati possono già utilizzarla per ottenere l'accesso ai sistemi vulnerabili.
Le minacce interne provengono da dipendenti, partner e altri utenti con accesso autorizzato alla rete. Che siano involontarie (ad esempio, un fornitore terzo indotto con l'inganno a lanciare un malware) o dolose (ad esempio, un dipendente scontento che vuole vendicarsi), le minacce interne sono molto insidiose. Un recente report di Verizon (link esterno a ibm.com) rivela che mentre le minacce esterne compromettono in media circa 200 milioni di record, le minacce che coinvolgono un autore interno hanno portato all'esposizione di ben 1 miliardo di record.
In un attacco MITM, un criminale informatico intercetta una connessione di rete e intercetta e ritrasmette i messaggi tra due parti per sottrarre i dati. Le reti Wi-Fi non protette sono un terreno di caccia per gli hacker che lanciano attacchi MITM.
Dal momento che le minacce alla sicurezza informatica diventano sempre più pericolose e complesse, le organizzazioni stanno implementando strategie di sicurezza IT che combinano una gamma di sistemi, programmi e tecnologie di sicurezza.
Supervisionate da team di sicurezza esperti, queste pratiche e tecnologie di sicurezza informatica possono aiutare a proteggere l'intera infrastruttura IT di un'organizzazione e a evitare o mitigare l'impatto di minacce informatiche note e sconosciute.
Poiché molti attacchi informatici, come gli attacchi di phishing, sfruttano le vulnerabilità umane, la formazione dei dipendenti è diventata un'importante linea di difesa dalle minacce interne.
La formazione sulla sensibilizzazione alla sicurezza insegna ai dipendenti a riconoscere le minacce alla sicurezza e ad adottare abitudini sicure sul posto di lavoro. Gli argomenti trattati includono spesso la conoscenza del phishing, la sicurezza delle password, l'importanza di eseguire aggiornamenti regolari del software e le questioni relative alla privacy, come la protezione dei dati dei clienti e di altre informazioni sensibili.
L'autenticazione a più fattori richiede una o più credenziali oltre a un nome utente e una password. L'implementazione dell'autenticazione a più fattori può impedire a un hacker di accedere alle applicazioni o ai dati presenti su una rete, anche se riesce a rubare o ottenere il nome utente e la password di un utente legittimo. L'autenticazione a più fattori è fondamentale per le organizzazioni che utilizzano il Single Sign-On, che consente agli utenti di accedere a una sessione una sola volta e di accedere a più applicazioni e servizi correlati durante la sessione senza eseguire nuovamente l'accesso.
La Risposta agli incidenti, talvolta chiamata risposta agli incidenti di cybersecurity, si riferisce ai processi e alle tecnologie di un'organizzazione utilizzate per rilevare e rispondere alle minacce informatiche, alle violazioni della sicurezza e agli attacchi informatici. L’obiettivo della risposta agli incidenti è prevenire gli attacchi informatici prima che si verifichino e ridurre al minimo i costi e le interruzioni delle attività derivanti da eventuali attacchi informatici.
Molte organizzazioni creano un piano di risposta formale agli incidenti (IRP) che definisce i processi e i software per la sicurezza (vedi sotto) che utilizzano per identificare, contenere e risolvere diversi tipi di attacchi informatici. Secondo il report Cost of a Data Breach 2003, per le organizzazioni che creano e testano regolarmente un IRP formale il costo di una violazione dei dati è stato inferiore di 232.008 USD rispetto alla media (4,45 milioni di USD).
Nessun singolo strumento di sicurezza può prevenire del tutto gli attacchi informatici. Tuttavia, diversi strumenti possono svolgere un ruolo nel mitigare i rischi, prevenire gli attacchi informatici e ridurre al minimo i danni nel caso in cui si verifichi un attacco.
Tra i software di sicurezza più comuni che aiutano a rilevare e deviare gli attacchi informatici troviamo:
Strumenti per la sicurezza della posta elettronica, tra cui software anti-phishing basati sull'AI, filtri antispam e gateway di posta elettronica sicuri
Software antivirus per neutralizzare spyware o malware che gli hacker potrebbero utilizzare per prendere di mira la sicurezza della rete e condurre ricerche, intercettare conversazioni o prendere il controllo di account di posta elettronica
Patch di sistema e software per eliminare le vulnerabilità tecniche comunemente sfruttate dagli hacker
Gateway web sicuri e altri strumenti di filtraggio web per bloccare siti dannosi spesso collegati a e-mail di phishing
Le soluzioni di rilevamento e risposta alle minacce utilizzano l'analytics, l'intelligenza artificiale (AI) e l'automazione per aiutare i team di sicurezza a rilevare le minacce note e le attività sospette e ad agire per eliminare la minaccia o minimizzarne l'impatto. Queste tecnologie includono l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), la gestione degli incidenti e degli eventi di sicurezza (SIEM), il rilevamento e la risposta degli endpoint (EDR), il rilevamento e la risposta della rete (NDR) e il rilevamento e la risposta estesi (XDR).
La sicurezza offensiva, o “OffSec”, fa riferimento a una serie di strategie di sicurezza proattive che utilizzano le tattiche degli avversari, ovvero le stesse tattiche utilizzate dai soggetti malintenzionati nel corso di attacchi reali, per rafforzare la sicurezza della rete anziché comprometterla.
Le operazioni di sicurezza offensive sono spesso eseguite da hacker etici, ovvero esperti di cybersecurity che usano le loro capacità di hacking per individuare e correggere le falle di un sistema IT. I metodi di sicurezza offensivi più comuni includono:
Scansione delle vulnerabilità: utilizza gli stessi strumenti utilizzati dai criminali informatici per rilevare e identificare falle e punti deboli nella sicurezza dell'infrastruttura IT e delle applicazioni di un'organizzazione.
Test di penetrazione: il lancio di un finto attacco informatico per individuare vulnerabilità e punti deboli dei sistemi informatici, dei workflow risposta e della consapevolezza degli utenti in materia di sicurezza. Alcune normative sulla privacy dei dati, come il PCI-DSS (Payment Card Industry Data Security Standard), richiedono l'esecuzione di test di penetrazione come requisito di conformità.
Red teaming: autorizzare un team di hacker etici a lanciare un attacco informatico simulato e mirato a un'organizzazione.
La sicurezza offensiva integra il software di sicurezza e altre misure di sicurezza difensive: scopre vie o vettori di attacco informatico sconosciuti che altre misure di sicurezza potrebbero non cogliere e fornisce ai team di sicurezza delle informazioni che possono utilizzare per rafforzare le misure di sicurezza difensive.
Data la loro significativa sovrapposizione, i termini "sicurezza IT", "sicurezza delle informazioni" e "cybersecurity" sono spesso (ed erroneamente) utilizzati in modo intercambiabile. Si differenziano principalmente per l'ambito di applicazione.
- La sicurezza delle informazioni è la protezione dei file e dei dati digitali di un'organizzazione, dei documenti cartacei, dei supporti fisici e persino del linguaggio umano dall'accesso, dalla divulgazione, dall'uso o dall'alterazione non autorizzati. La sicurezza delle informazioni ha l'ambito più ampio dei tre: come la sicurezza IT, si occupa della protezione delle risorse IT fisiche e dei data center, ma riguarda anche la sicurezza fisica delle strutture per l'archiviazione di file cartacei e altri supporti.
- La cybersecurity si concentra sulla protezione dei dati e degli asset digitali dalle minacce informatiche: azioni dannose da parte di attori esterni e interni e minacce accidentali poste da insider poco attenti. Pur essendo molto ampia, la cybersecurity ha l'ambito più ristretto dei tre, in quanto non riguarda la protezione di dati cartacei o analogici.
Proteggi gli endpoint dagli attacchi informatici, rileva comportamenti anomali e correggili quasi in tempo reale con un'automazione intelligente di facile utilizzo che richiede un'interazione umana minima o nulla.
Proteggi l'infrastruttura e la rete dalle sofisticate minacce alla cybersecurity attraverso competenze comprovate in materia di sicurezza e soluzioni moderne per il rilevamento e la prevenzione delle intrusioni, la gestione della endpoint security e altro ancora.
Proteggi l'intera rete dalle minacce avanzate e dai malware, con soluzioni per la sicurezza di rete di nuova generazione in grado di riconoscere in modo intelligente anche le minacce sconosciute e di adattarsi per evitarle in tempo reale.
Preparati meglio alle violazioni comprendendone le cause e i fattori che aumentano o riducono i costi. Impara dalle esperienze di oltre 550 organizzazioni colpite da una violazione dei dati.
SIEM (gestione delle informazioni e degli eventi sulla sicurezza) è un software che aiuta le organizzazioni a riconoscere e affrontare potenziali minacce e vulnerabilità alla sicurezza prima che possano interrompere le operazioni di business.
Conosci la minaccia per sconfiggerla: ottieni informazioni utili che ti aiutano a capire come gli autori delle minacce conducono gli attacchi e come proteggere in modo proattivo la tua organizzazione.
Note a piè di pagina
1Cybersecurity spending on pace to surpass $260B by 2026 (link esterno a ibm.com), Cybersecurity Dive, 16 ottobre 2022