Cosa sono i controlli di sicurezza?

I controlli di sicurezza sono la spina dorsale di qualsiasi strategia di sicurezza solida: sono le misure che le organizzazioni adottano per proteggere le proprie risorse — persone, proprietà o dati — da una miriade di rischi e minacce alla sicurezza. Questi controlli sono progettati con cura per prevenire, rilevare, contrastare o ridurre al minimo l’impatto degli incidenti di sicurezza su beni fisici, informazioni, sistemi informatici o altri asset di valore. Comprendendo e implementando controlli di sicurezza efficaci, le organizzazioni possono creare un ambiente rafforzato che garantisca la sicurezza e l’integrità delle loro attività.

Bree Fowler, senior writer di CNET, ha moderato una tavola rotonda al Bitwarden Open Source Security Summit 2024 tra Schlomo Schapiro, principal engineer presso Tektit Consulting, e Bjoern Sjut, managing director per produttività e IT presso Front Row. La conversazione ha esplorato le tendenze e le sfide attuali della resilienza della sicurezza e dell’adozione da parte dei dipendenti. Entrambi gli esperti hanno condiviso raccomandazioni su come migliorare la sicurezza complessiva attraverso controlli di sicurezza strategici e ben ponderati. 

Schapiro ha aperto la conversazione sottolineando la minaccia rappresentata dalle tecnologie software-as-a-service (SaaS). 

“La maggior parte delle aziende ignora completamente o sottovaluta la minaccia posta dal proprio panorama SaaS attuale”, ha dichiarato Schapiro. “In sostanza, ripongono una fiducia cieca nei fornitori SaaS e rinunciano alla piena proprietà del proprio perimetro. È uno degli errori più gravi che le aziende commettono. Lasciano che il loro perimetro diventi una recinzione sottile piena di buchi, che alla fine sono varchi sfruttabili dagli hacker. Come settore, dobbiamo metterci al passo con la realtà.”

Anche Sjut ha evidenziato l’importanza dei perimetri, osservando che l’enorme spostamento verso le applicazioni cloud li ha resi più opachi. La sua principale preoccupazione, tuttavia, riguarda il fatto che le persone sono molto più mobili. “Se non vogliamo dotare tutti di dispositivi dedicati e specifici, dobbiamo affrontare le sfide poste da un ambiente bring your own device (BYOD). Insieme a questi strumenti cloud, ciò significa avere più vettori di attacco sui dispositivi e attraverso le applicazioni.”

Sebbene i dispositivi BYOD possano comportare rischi per la sicurezza, le organizzazioni possono rafforzare le proprie difese con strumenti come i gestori di password. Bitwarden offre accesso multipiattaforma per applicazioni mobile, browser e desktop, permettendo un ambiente con password e dispositivi illimitati. 

La maggior parte delle organizzazioni deve gestire molti elementi in movimento per rafforzare la sicurezza. Per evitare che aspetti importanti passino inosservati, Shapiro ritiene che “le aziende debbano assicurarsi che ogni applicazione introdotta nel proprio stack utilizzi l’autenticazione federata con il provider di identità principale. Uno degli scenari peggiori è avere account o applicazioni non ben compresi, che restano attivi dopo che un dipendente ha lasciato l’organizzazione.”

Sjut sottolinea che la sicurezza non dovrebbe essere limitata a “una funzionalità enterprise. Come settore, dovremmo tutti promuovere la sicurezza integrata, così da non ritrovarci nella posizione di dover tappare falle con tante misure diverse.”

I professionisti della sicurezza devono mettere insieme tutti i pezzi e capire cosa funziona meglio per loro. I controlli sono essenziali per mitigare i rischi aziendali e garantire la sicurezza in modo efficace.

“Vogliamo trovare il giusto equilibrio tra sicurezza e produttività. Penso che un errore commesso da molte aziende sia inserire in agenda un obiettivo di sicurezza che può impedire alle persone di essere produttive. Nel lungo periodo questo le rende meno sicure, perché i dipendenti costruiscono una propria shadow IT completamente al di fuori dei controlli di sicurezza aziendali. Dal nostro punto di vista, si tratta di equilibrio, unito a un approccio basato sul rischio.” - Bjoern Sjut

Se le organizzazioni vogliono che i propri reparti di sicurezza siano efficaci, devono accogliere e aiutare gli utenti a svolgere il loro lavoro in modo efficiente. 

“È sempre importante essere accessibili come reparto IT. Bisogna creare un ambiente in cui il percorso di minore resistenza per l’utente non aggiri la sicurezza.” - Schlomo Schapiro

I dipendenti che non riescono a condividere file di lavoro rilevanti con clienti o membri del team sono più propensi ad aggirare i protocolli di sicurezza. L’unico modo per proteggersi da questo è assicurarsi che “i dipendenti si sentano supportati nella loro produttività. Si tratta davvero di collaborazione e di trovare il giusto equilibrio tra produttività e sicurezza (Sjut).”

I gestori di password possono aiutare gli utenti a mantenere il delicato equilibrio tra sicurezza e produttività. Offrono un modo rapido ed efficiente per creare, gestire e proteggere le password. I gestori di password affidabili come Bitwarden includono anche strumenti MFA che gli utenti possono sfruttare per un ulteriore livello di sicurezza, come Bitwarden Authenticator integrato o l’app autonoma Bitwarden Authenticator.

Le persone tendono naturalmente a evitare gli attriti, compresi quelli causati dalle policy di sicurezza. Fowler ha chiesto a Schapiro e Sjut qual è il modo migliore per incentivare i dipendenti a non aggirare le best practice di sicurezza. 

“La mia raccomandazione personale è di considerare i vostri utenti come citizen developer. È importante mettere i dipendenti in condizione di utilizzare i sistemi che fornite. È importante essere accessibili, offrire una mano e mettere al primo posto l’abilitazione degli utenti.” - Schlomo Schapiro

Sjut ha osservato che in molte aziende può essere difficile per gli utenti capire come ottenere accesso a uno strumento di cui hanno bisogno. Questo è particolarmente frequente nelle aziende di medie dimensioni, perché l’azienda può essere abbastanza grande da perdere di vista tutti gli strumenti disponibili, ma non abbastanza grande da avere una supervisione aziendale strutturata. 

“A mio parere, molte aziende gestiscono l’IT in modo errato. Non lo gestiscono come un difensore dello status quo. Lo gestiscono più come un’unità di facility management che deve tenere le luci accese. Pochissime organizzazioni IT hanno l’obiettivo di rendere le persone più produttive.” - Bjoern Sjut

Schapiro ha sottolineato l’importanza di avere il controllo sui perimetri SaaS e di disporre di un piano solido per il recupero dei backup, incluse prove periodiche per assicurarsi che tutti comprendano il proprio ruolo. Le organizzazioni devono concentrarsi sulla protezione e sulla manutenzione dei sistemi critici per prevenire violazioni e garantire che restino funzionali e sicuri contro potenziali attacchi.

Sjut ha affermato che, oltre ai backup, molte aziende non hanno davvero una comprensione solida dell’identità, anche in relazione alle persone con cui collaborano, come i freelance.

“La quantità di account Google personali usati per gestire i dati di Google Analytics mi lascia sconcertato,” ha detto Sjut. “La maggior parte delle aziende deve occuparsi delle identità digitali. La mia impressione generale è che raramente ci sia qualcuno che si senta responsabile delle identità digitali all’interno dell’organizzazione. Le aziende devono comprendere il proprio provider di identità principale, come funzionano le identità e se le hanno sotto controllo. Più persone accedono ad applicazioni cloud da un dispositivo personale senza che il datore di lavoro comprenda quell’identità, più diventa difficile mitigare i danni.”

I controlli di sicurezza possono essere suddivisi in tre categorie principali: controlli fisici, tecnici e amministrativi. Ogni tipo svolge un ruolo fondamentale nella creazione di un quadro di sicurezza completo. Integrando questi tre tipi di controlli, le organizzazioni possono creare una strategia di difesa multilivello che affronta vari aspetti della sicurezza.

• I controlli fisici includono misure come sistemi di controllo degli accessi, telecamere di sorveglianza e sistemi di allarme. 

• I controlli tecnici comprendono strumenti e tecnologie come gestori di password, firewall, sistemi di rilevamento delle intrusioni e crittografia. 

• I controlli amministrativi includono policy, procedure e programmi di formazione progettati per gestire e governare la postura di sicurezza complessiva di un’organizzazione. 

I controlli di sicurezza tecnici sono fondamentali per proteggere gli asset digitali di un’organizzazione, inclusi sistemi informatici, reti e dati. Questi controlli comprendono una serie di tecnologie e pratiche progettate per prevenire, rilevare e contrastare le minacce informatiche, tra cui crittografia, firewall, controlli degli accessi, antivirus e rilevamento di malware. Sono indispensabili per proteggersi da minacce informatiche come hacking, malware e ransomware e per garantire l’integrità e la riservatezza degli asset digitali.

I gestori di password come Bitwarden offrono report sullo stato delle password, password esposte o riutilizzate, password deboli, siti web non sicuri, accessi in due passaggi inattivi e violazioni dei dati note.

I controlli di sicurezza amministrativi sono misure progettate per gestire e governare la postura di sicurezza di un’organizzazione tramite policy, procedure e formazione. Questi controlli sono essenziali per guidare il comportamento dei dipendenti e garantire la conformità agli standard di sicurezza. I controlli di sicurezza amministrativi sono fondamentali per proteggersi da minacce interne, social engineering e mancate conformità, e per assicurare un approccio completo alla gestione della sicurezza.

• Linee guida chiare su policy e procedure di sicurezza aiutano i dipendenti a comprendere i propri ruoli e responsabilità nel mantenimento della sicurezza, garantendo un’applicazione coerente delle misure di sicurezza.

• Formare i dipendenti sulle best practice di sicurezza e sulle potenziali minacce contribuisce a creare una cultura attenta alla sicurezza e riduce il rischio di errore umano.

• I piani di risposta agli incidenti consentono alle organizzazioni di reagire rapidamente agli incidenti di sicurezza, minimizzando i danni e garantendo una risposta coordinata.

• Il rispetto dei requisiti di conformità e normativi, come HIPAA e PCI-DSS, garantisce che le organizzazioni adempiano ai propri obblighi di legge e proteggano le informazioni sensibili.

• Identificare e mitigare regolarmente i rischi di sicurezza aiuta le organizzazioni a evitare potenziali minacce e a mantenere una postura di sicurezza solida.

I controlli di sicurezza sono misure indispensabili che le organizzazioni devono implementare per proteggere i propri asset da un’ampia gamma di rischi e minacce alla sicurezza. Comprendere i diversi tipi di controlli di sicurezza — fisici, tecnici e amministrativi — e le loro funzioni è fondamentale per sviluppare una strategia di sicurezza efficace. Inoltre, conoscere le aree comunemente trascurate, come la formazione sulla consapevolezza della sicurezza e i controlli di sicurezza fisici, può aiutare le organizzazioni ad affrontare potenziali vulnerabilità. Adottando un approccio completo che includa una combinazione di questi controlli, le organizzazioni possono garantire la riservatezza, l’integrità e la disponibilità delle proprie informazioni e dei propri asset, migliorando così la loro resilienza complessiva della sicurezza.