Come rafforzare la protezione dei dati oltre le politiche e gli standard di sicurezza informatica

Jon Fielding, Managing Director EMEA Apricorn, discute la necessità di concentrarsi sulla protezione delle informazioni e dei dati mentre affronta il “fattore umano” critico nelle strategie di prevenzione delle violazioni, backup e ripristino

Va tutto bene avere politiche e standard di protezione dei dati rigorosi in atto, come fanno effettivamente molte organizzazioni. Tuttavia, continuiamo a vedere che se i dipendenti non sono a conoscenza di queste politiche o le applicano nella pratica, potrebbero anche non esistere.

Raramente andiamo a lungo senza sentire di una violazione della sicurezza delle informazioni o di un attacco informatico di cui un ente del settore pubblico o un consiglio locale sono caduti preda nonostante i notevoli sforzi in corso e l’impiego di risorse per prevenirli.

L’Aberdeenshire Council ha avuto 243 violazioni dei dati tra il 2020 e il 2022

Un esempio calzante sembra essere l’Aberdeenshire Council, che ha rivelato in risposta a una richiesta di Freedom of Information (FOI) che si sono verificate circa 243 violazioni tra gennaio 2020 e marzo 2022, con quella cifra che rappresenta una tendenza al rialzo.

Mentre i settori pubblico e privato apprezzano sempre più le migliori pratiche in materia di sicurezza delle informazioni: le lacune nell’approccio continuano a comportare esposizione e rischio. Un’area in cui spesso è possibile apportare miglioramenti è l’istruzione e la formazione.

Dopotutto, di solito è il “fattore umano” l’anello più debole nel piano di sicurezza informatica; non importa quanto grande sia il tuo investimento in tecnologia di sicurezza informatica se non è abbinato a comportamenti e comprensione appropriati in tutta l’organizzazione.

In Apricorn, abbiamo concluso che un solido requisito per una formazione completa sulla sicurezza informatica dovrebbe essere scritto nel contratto di ogni dipendente, con regolari aggiornamenti delle conoscenze obbligatorie e forniti, per tutti i lavoratori sia interni che esterni all’azienda. Questo deve essere parte integrante e continua dello sviluppo professionale del personale.

Dalla fase di onboarding in poi, i dipendenti devono essere tenuti al passo con le minacce informatiche in evoluzione, nonché con le politiche aziendali di sicurezza informatica, informazioni e gestione dei dati, rafforzati da corsi di aggiornamento regolari e approcci di apprendimento ridotti.

La formazione non dovrebbe riguardare solo il “cosa” e il “come” mantenere i dati al sicuro e la protezione dei dati. Un approccio educativo completo deve includere anche l’elemento “perché”: i rischi specifici per l’organizzazione e i suoi clienti o utenti del servizio se le politiche non vengono rispettate insieme a potenziali ramificazioni.

Sia gli stakeholder aziendali che i lavoratori dovrebbero essere responsabili della sicurezza delle informazioni

Tutti devono capire che la sicurezza informatica non può essere semplicemente delegata come “problema di qualcun altro”, men che meno i team IT, indipendentemente dall’anzianità, dal dipartimento o dal ruolo specifico.

L’implementazione di una formazione che si costruisce a partire da questo maggiore livello di contesto creerà il coinvolgimento richiesto, insieme alla comprensione che l’azienda deve essere responsabile della totalità delle sue azioni relative alla gestione delle informazioni e alla protezione dei dati.

Spesso sentiamo dire che gli errori “accidentali” contribuiscono a violazioni e fallimenti nella sicurezza informatica e nella sicurezza delle informazioni. Errare è certamente umano, ma non dobbiamo dimenticare che un’efficace strategia di mitigazione per difendere l’azienda da errori umani quasi inevitabili è essenziale.

Anche altri devono rendersi conto che il cambiamento è possibile: l’ultima ricerca di Apricorn mostra che oltre il 60% dei leader IT si aspetta ancora che i propri dipendenti remoti li espongano al rischio di una violazione dei dati, indipendentemente dalla formazione ricevuta.

L’istruzione dovrebbe essere combinata con l’automazione e l’applicazione delle politiche di sicurezza

Per contribuire a colmare questo divario, l’istruzione dovrebbe essere combinata con l’automazione e l’applicazione delle politiche di sicurezza attraverso la tecnologia, ove possibile.

Politiche e pratiche solide, regolarmente riviste e testate, con scelte e implementazioni tecnologiche appropriate, supportate da formazione e una strategia completa di backup e ripristino, forniranno una protezione ottimale laddove, anche in caso di attacchi informatici dannosi come ransomware o spear phishing di successo dei dirigenti, un ripristino rapido ed efficiente può ridurre la possibilità di costosi tempi di inattività.

I successi nel recupero dei dati si basano sull’esecuzione della strategia di backup di qualità

È importante anche programmare backup automatici di tutti i dati su base regolare, magari ogni giorno, a seconda della frequenza con cui i dati vengono alterati o modificati e di quanto siano critici specifici set di dati per la missione dell’organizzazione.

In un sondaggio Apricorn dell’aprile 2022, il 99% dei decisori IT intervistati ha dichiarato di disporre di strategie di backup in atto, ma ben il 26% ha ammesso di non essere in grado di ripristinare completamente tutti i dati e i documenti durante il ripristino da un backup.

Solo il 27% ha riconosciuto di avere il backup automatico sia su un repository centrale che personale. Abbiamo scoperto che tre aziende su cinque non eseguono il backup dei propri dati o dispositivi prima di lavorare in remoto, mentre solo una su cinque segue le best practice di backup come la strategia di archiviazione 3-2-1 e il backup in tempo reale.

Se viene utilizzata una politica di backup 3, 2, 1, le informazioni dovrebbero essere sempre recuperabili e ripristinabili in caso di attacco informatico, violazione o errore del dipendente. Avere almeno 3 copie di dati, conservate su almeno 2 supporti diversi, con almeno 1 copia conservata fuori sede: un messaggio che non è stato ancora ascoltato da tutti, a quanto pare.

Inoltre, il processo di ripristino deve essere testato regolarmente per garantire il ripristino completo dei dati in caso di violazione o errore.

Inoltre, la crittografia dei dati come standard in tutta l’organizzazione dovrebbe essere obbligatoria, sia in transito che inattivi, e automatizzata ove possibile. Attualmente, quasi la metà (47%) delle organizzazioni ora richiede la crittografia di tutti i dati, siano essi inattivi o in transito, una quota in crescita, ma ancora al di sotto del livello di protezione possibile.

Dobbiamo aggiungere che la posta in gioco sembra essere in aumento per quelle organizzazioni che non prestano sufficiente attenzione all’approccio: il 16% dei leader IT che abbiamo intervistato ha ammesso che la mancanza di crittografia è stata la causa principale di una violazione dei dati all’interno della propria azienda, in aumento dal 12% nel 2021.

Quando i dati sono crittografati, sono completamente protetti, quindi se, ad esempio, un individuo non autorizzato accede a un sistema IT, le informazioni rimarranno illeggibili.

In particolare, le posizioni di archiviazione selezionate dovrebbero includere una soluzione offline, come USB crittografati hardware ad alta capacità che crittografano automaticamente tutti i dati scritti su di essi, eliminando ancora una volta il rischio umano dall’equazione anche per i team distribuiti. Le copie dei file critici possono essere mantenute al sicuro e disconnesse dalla rete per creare un vuoto d’aria tra le informazioni e le minacce.

Inoltre, la crittografia hardware integrata con autenticazione integrata offre una protezione più forte rispetto alla crittografia basata su software, che può lasciare i dispositivi esposti a reimpostazioni dei contatori, hacking del software, cattura dello schermo e keylogging. Le chiavi di crittografia possono essere mantenute al sicuro all’interno di un modulo crittografico hardware.

Con una maggiore attenzione ai punti di cui sopra, le difese della sicurezza informatica possono essere completamente integrate nei modi di lavorare, con tutti i vantaggi per l’organizzazione.

Scritto da Jon Fielding, Managing Director EMEA Apricorn

Editori Consigliato Articoli

Leave a Comment

Your email address will not be published. Required fields are marked *