Cos'è la sicurezza IT?

L'ambito della sicurezza IT è ampio e spesso coinvolge un insieme di tecnologie e soluzioni per la sicurezza. Questi lavorano insieme per affrontare le vulnerabilità nei dispositivi digitali, nelle reti di computer, nei server, nei database e nelle applicazioni software.

Gli esempi di sicurezza IT più comunemente citati includono le discipline di sicurezza digitale come la sicurezza degli endpoint, la sicurezza cloud, la sicurezza di rete e la sicurezza delle applicazioni. Ma la sicurezza IT include anche misure di sicurezza fisiche (ad esempio serrature, carte d'identità, telecamere di sorveglianza) necessarie per proteggere edifici e dispositivi che ospitano dati e risorse IT.

La sicurezza IT viene spesso confusa con la cybersecurity, una disciplina più ristretta che è tecnicamente un sottoinsieme della sicurezza IT. La cybersecurity si concentra principalmente sulla protezione delle organizzazioni da attacchi digitali come ransomware, malware e phishing. La sicurezza IT serve l'intera infrastruttura tecnica di un'organizzazione, inclusi sistemi hardware, applicazioni software ed endpoint, come laptop e dispositivi mobili. La sicurezza informatica protegge inoltre la rete aziendale e i suoi vari componenti, come i data center fisici e quelli basati su cloud.

Gli attacchi informatici e gli incidenti di sicurezza possono comportare un costo enorme in termini di perdite economiche, danni alla reputazione, sanzioni e, in alcuni casi, estorsioni e furti di asset.

Secondo il report Cost of a Data Breach 2025 di IBM, il costo medio di una violazione dei dati è di 4,44 milioni di USD. I fattori che contribuiscono ai costi includono molteplici aspetti, dalla notifica ai clienti, ai dirigenti e alle autorità di regolamentazione, alle sanzioni, alla perdita di guadagni durante i tempi di inattività fino alla perdita permanente di clienti.

Alcuni incidenti di sicurezza sono più costosi di altri. Un ransomware attacca la crittografia dei dati di un'organizzazione, rende inutilizzabili i sistemi e richiede il pagamento di un costoso riscatto per una chiave di decrittografia per sbloccare i dati. Sempre più spesso, i criminali informatici chiedono un secondo riscatto per evitare di condividere i dati sensibili con il pubblico o con altri criminali informatici. Secondo la IBM Definitive Guide to Ransomware, le richieste di riscatto hanno raggiunto importi a 7 e 8 cifre fino ad arrivare, in casi estremi, a 80 milioni di USD.

Com’era prevedibile, gli investimenti nella sicurezza IT continuano a crescere. L'analista di settore Gartner prevede che il mercato crescerà nei prossimi anni, superando i 260 miliardi di USD entro il 2026.

Ogni organizzazione è suscettibile alle minacce informatiche provenienti dall'interno e dall'esterno della propria organizzazione. Queste minacce possono essere intenzionali, come nel caso dei criminali informatici, o involontarie, come nel caso di dipendenti o collaboratori che aprono link dannosi o scaricano malware accidentalmente.

La sicurezza IT mira ad affrontare questa vasta gamma di rischi per la sicurezza e a tenere conto dei vari tipi di attori delle minacce e delle loro diverse motivazioni, tattiche e livelli di abilità.

Il malware è un software dannoso che può rendere inutilizzabili i sistemi infetti, distruggere dati, rubare informazioni e persino cancellare file critici per il sistema operativo.

I tipi di malware più noti includono:

• Ransomware: un malware che blocca i dati o il dispositivo di una vittima e minaccia di tenerli bloccati, o peggio, a meno che la vittima non paghi un riscatto all'autore dell'attacco. Secondo l'IBM X-Force Threat Intelligence Index, gli attacchi ransomware sono la forma di malware più comunemente utilizzata.
   

• Un trojan horse è un malware che induce le persone a scaricarlo mascherandosi come programma utile o nascondendosi all'interno di un software legittimo. Un trojan di accesso remoto (RAT) crea una backdoor segreta sul dispositivo della vittima, mentre un trojan dropper installa un ulteriore malware una volta che ha un punto d'appoggio.
  

• Lo spyware raccoglie segretamente informazioni sensibili come nomi utente, password, numeri di carte di credito e altri dati personali e le trasmette all'hacker.
  

• Un worm è un malware auto-replicante che può diffondersi automaticamente tra app e dispositivi.

Spesso definita "human hacking", l'ingegneria sociale manipola le vittime inducendole a intraprendere azioni che espongono informazioni sensibili, compromettono la sicurezza o minacciano il benessere finanziario della loro organizzazione.

Il phishing è l'attacco di ingegneria sociale più noto e pervasivo. Gli attacchi di phishing utilizzano e-mail, messaggi di testo o telefonate fraudolente per ingannare le persone. Questi attacchi mirano a indurre le persone a condividere dati personali o accedere alle credenziali, scaricare malware, inviare denaro a criminali informatici o intraprendere altre azioni che potrebbero esporli ai crimini informatici. Tipi speciali di phishing includono:

• Spear phishing: un attacco di phishing altamente mirato che mira a manipolare un individuo specifico, spesso utilizzando i dati dei profili pubblici dei social media della vittima per rendere lo stratagemma più convincente.
   

• Whale phishing: spear phishing che prende di mira dirigenti d'azienda o persone che hanno accesso a tante informazioni.
   

• Compromissione dell'e-mail aziendale (BEC): truffe in cui i criminali informatici si manifestano come dirigenti, fornitori o soci aziendali fidati per indurre le vittime a trasferire denaro o a condividere dati sensibili.

Un'altra tattica di ingegneria sociale, il tailgating, è meno tecnica ma non meno pericolosa per la sicurezza IT: consiste nel seguire (o "tailing") un individuo con accesso fisico a un data center (ad esempio, qualcuno con un documento d'identità) e nell'intrufolarsi letteralmente dietro di lui prima che la porta si chiuda.

Un attacco DoS (Denial-of-Service) travolge un sito web, un'applicazione o un sistema con volumi di traffico fraudolento, rendendolo troppo lento da utilizzare o del tutto non utilizzabile per gli utenti legittimi. Un attacco DDoS (Distributed Denial-of-Service) utilizza una rete di dispositivi infetti da malware connessi a Internet, chiamata botnet, per paralizzare o mettere fuori uso l'applicazione o il sistema di destinazione.

Un exploit zero-day utilizza al meglio una falla nella sicurezza sconosciuta o non ancora risolta nel software, nell'hardware o nel firmware del computer. Il termine "zero-day" si riferisce al fatto che il fornitore del software o del dispositivo non ha nemmeno un giorno, ovvero non ha tempo, per correggere la falla, perché gli utenti malintenzionati possono già utilizzarla per ottenere l'accesso ai sistemi vulnerabili.

Le minacce interne provengono da dipendenti, partner e altri utenti con accesso autorizzato alla rete. Che siano involontarie (ad esempio, un fornitore terzo indotto con l'inganno a lanciare un malware) o dolose (ad esempio, un dipendente scontento che vuole vendicarsi), le minacce interne sono molto insidiose. 

Secondo il report Cost of a Data Breach, le violazioni causate da insider malevoli sono le più costose, con un costo medio di 4,92 milioni di USD.

In un attacco MITM, un criminale informatico intercetta una connessione di rete e intercetta e ritrasmette i messaggi tra due parti per sottrarre i dati. Le reti Wi-Fi non protette sono un terreno di caccia per gli hacker che lanciano attacchi MITM.

Poiché le minacce alla cybersecurity continuano ad aumentare in termini di ferocia e complessità, le organizzazioni stanno implementando strategie di sicurezza IT che combinano una gamma di sistemi, programmi e tecnologie per la sicurezza.

Supervisionate da team di sicurezza esperti, queste pratiche e tecnologie per la sicurezza informatica possono aiutare a proteggere l'intera infrastruttura IT di un'organizzazione e a evitare o mitigare l'impatto di minacce informatiche note e sconosciute.

Poiché molti attacchi informatici, come gli attacchi di phishing, sfruttano le vulnerabilità umane, la formazione dei dipendenti è diventata un'importante linea di difesa dalle minacce interne.

La formazione sulla sensibilizzazione alla sicurezza insegna ai dipendenti a riconoscere le minacce alla sicurezza e ad adottare abitudini sicure sul posto di lavoro. Gli argomenti trattati includono spesso la conoscenza del phishing, la sicurezza delle password, l'importanza di eseguire aggiornamenti regolari del software e le questioni relative alla privacy, come la protezione dei dati dei clienti e di altre informazioni sensibili.

L'autenticazione a più fattori richiede una o più credenziali oltre a un nome utente e una password. L'implementazione dell'autenticazione a più fattori può impedire a un hacker di accedere alle applicazioni o ai dati sulla rete. Questa autenticazione funziona anche se l'hacker è in grado di rubare oppure ottenere il nome utente e la password di un utente legittimo.

L'autenticazione a più fattori è critica per le organizzazioni che utilizzano sistemi single sign-on. Questi sistemi consentono agli utenti di accedere a una sessione una volta sola e di accedere a più applicazioni e servizi correlati durante quella sessione senza effettuare nuovamente l'accesso.

La risposta agli incidenti, talvolta chiamata risposta agli incidenti di cybersecurity, si riferisce ai processi e alle tecnologie di un'organizzazione per rilevare e rispondere alle minacce informatiche, alle violazioni della sicurezza e agli attacchi informatici. L'obiettivo della risposta agli incidenti è prevenire gli attacchi informatici prima che si verifichino e ridurre al minimo i costi e le interruzioni delle attività derivanti da eventuali attacchi informatici.

Numerose organizzazioni creano un piano di risposta formale agli incidenti (IRP) che definisce i processi e i software per la sicurezza che utilizzano per individuare, contenere e risolvere diversi tipi di attacchi informatici. Secondo il report Cost of a Data Breach, per le organizzazioni che creano e testano regolarmente un IRP formale, il costo di una violazione dei dati è stato inferiore di 232.008 USD rispetto alla media di 4,45 milioni di USD.

Nessun singolo strumento di sicurezza può prevenire del tutto gli attacchi informatici. Tuttavia, diversi strumenti possono svolgere un ruolo nel mitigare i rischi, prevenire gli attacchi informatici e ridurre al minimo i danni quando si verifica un attacco.

Tra i software per la sicurezza più comuni che aiutano a rilevare e deviare gli attacchi informatici troviamo:

• Strumenti per la sicurezza delle e-mail, tra cui software anti-phishing basati sull'AI, filtri antispam e gateway di e-mail sicuri.

• Software antivirus per neutralizzare spyware o malware che gli hacker potrebbero utilizzare per prendere di mira la sicurezza della rete e condurre ricerche, intercettare conversazioni o prendere il controllo di account di e-mail.

• Patch di sistema e software per eliminare le vulnerabilità tecniche comunemente sfruttate dagli hacker.

• Gateway web sicuri e altri strumenti di filtraggio web per bloccare siti dannosi spesso collegati a e-mail di phishing.

• Le soluzioni di rilevamento e risposta alle minacce utilizzano gli analytics, l'intelligenza artificiale (AI) e l'automazione per aiutare i team di sicurezza a rilevare le minacce note e le attività sospette. Consentono ai team di sicurezza di agire per eliminare la minaccia o ridurne l'impatto. Queste tecnologie includono l'orchestrazione della sicurezza, l'automazione e la risposta (SOAR), la gestione degli incidenti e degli eventi di sicurezza (SIEM), il rilevamento e la risposta degli endpoint (EDR), il rilevamento e la risposta della rete (NDR) e il rilevamento e la risposta estesi (XDR).

La sicurezza offensiva, chiamata anche "OffSec", fa riferimento a una serie di strategie di sicurezza proattive che utilizzano le tattiche degli avversari, ovvero le stesse tattiche utilizzate dai soggetti malintenzionati nel corso di attacchi reali, per rafforzare la sicurezza della rete anziché comprometterla.

Le operazioni di sicurezza offensive sono spesso eseguite da hacker etici, ovvero esperti di cybersecurity che usano le loro capacità di hacking per individuare e correggere le falle di un sistema IT. I metodi di sicurezza offensivi più comuni includono:

• Scansione delle vulnerabilità: utilizza gli stessi strumenti utilizzati dai criminali informatici per rilevare e identificare falle e punti deboli nella sicurezza dell'infrastruttura IT e delle applicazioni di un'organizzazione.

• Test di penetrazione :lancio di un attacco informatico per individuare vulnerabilità e punti deboli nei sistemi informatici, nei workflow di risposta e nella consapevolezza degli utenti in materia di sicurezza. Alcune normative sulla privacy dei dati, come il PCI-DSS (Payment Card Industry Data Security Standard), richiedono l'esecuzione di test di penetrazione come requisito di conformità.
   

• Red teaming: autorizzare un team di hacker etici a lanciare un attacco informatico simulato e mirato a un'organizzazione.

La sicurezza offensiva integra il software di sicurezza e altre misure di sicurezza difensive: scopre vie di attacco informatico sconosciute, o vettori, che altre misure di sicurezza potrebbero non rilevare. E produce i team di sicurezza delle informazioni che i team possono utilizzare per rafforzare le loro misure di sicurezza difensive.

Data la loro significativa sovrapposizione, i termini "sicurezza IT", "sicurezza delle informazioni" e "cybersecurity" sono spesso (ed erroneamente) utilizzati in modo intercambiabile. Si differenziano principalmente per l'ambito di applicazione.

• La sicurezza delle informazioni è la protezione dei file digitali e dei dati di un'organizzazione, dei documenti cartacei, dei supporti fisici e persino del linguaggio umano rispetto all'accesso, alla divulgazione, all'utilizzo o all'alterazione non autorizzati. La sicurezza delle informazioni ha l'ambito più ampio dei tre. Come la sicurezza IT, riguarda la protezione degli asset IT fisici e dei data center. Inoltre, riguarda la sicurezza fisica delle strutture per la memorizzazione di file cartacei e altri supporti.
  
  
• La cybersecurity si concentra sulla protezione dei dati e degli asset digitali dalle minacce informatiche, comprese le azioni dannose da parte di attori esterni e interni e minacce accidentali poste da insider poco attenti. Pur essendo molto ampia, la cybersecurity ha l'ambito più ristretto dei tre, in quanto non riguarda la protezione di dati cartacei o analogici.