Rafforzare la conformità alle normative con misure di sicurezza multilivello
Se le vostre mansioni quotidiane includono la protezione aziendale dalle minacce informatiche, probabilmente vi troverete ad affrontare un problema collaterale: garantire la conformità alle normative. Più di 130 paesi hanno promulgato leggi sulla privacy dei dati e 156 paesi (l'80% a livello mondiale) hanno promulgato normative sui reati informatici.
Inoltre, ogni legge sulla privacy presenta propri requisiti e obblighi per:
- Eseguire le valutazioni dei rischi
- Dimostrare i piani e le policy di sicurezza implementati
- Creare rapporti per gli audit (e, se necessario, per le violazioni di dati)
Molti CISO si stanno sforzando di garantire la conformità ai principi di sicurezza vigenti con il tempo limitato a disposizione dei loro team. Prendiamo, ad esempio, la direttiva NIS2 (Network and Information Security 2) in vigore nell'UE. I provider di servizi nei paesi dell'UE stanno implementando controlli degli accessi basati sul principio del "privilegio minimo" allo scopo di soddisfare i requisiti imposti dalla NIS2 per la protezione dei dati sensibili.
È pratica comune, tra l'altro, conservare le credenziali degli utenti IT con privilegi in appositi vault e compilare i rapporti per gli enti normativi che hanno accesso a tali risorse. Un'attenzione simile si osserva in alcuni settori, come in quello sanitario, in cui le organizzazioni che trattano le informazioni sanitarie protette dei cittadini statunitensi, ad esempio, devono salvaguardare i dati dei pazienti in conformità con l'HIPAA (Healthcare Information Portability and Accountability Act).
Focalizzarsi sulle comuni pratiche di sicurezza è l'ideale per la protezione dei dati e, pertanto, per le normative sulla conformità dei dati. Tuttavia, se si difendono le porte e si nascondono le chiavi, si riescono a proteggere solo alcuni livelli della superficie soggetta agli attacchi.
Più precisamente, dovete conoscere come le vostre organizzazioni stanno proteggendo le loro risorse nel probabile caso in cui un criminale riesca ad identificare una vulnerabilità e ad accedere ai vostri sistemi. Inoltre, se vi "aspettate una violazione", le vostre organizzazioni stanno facendo tutto il possibile per limitare le attività dei criminali evitando che riescano a sferrare attacchi basati sul movimento laterale, ad effettuare l'escalation dei privilegi e ad arrecare seri danni?
In questa serie di blog, tratteremo dei livelli della superficie di attacco che dovete dimostrare di proteggere agli odierni enti normativi, offrendo indicazioni sulle best practice da adottare per un corretto processo di conformità.
Come l'adozione di un principio di sicurezza può migliorare il processo di conformità
Gli esperti del settore consigliano di intraprendere un processo di conformità aziendale basandosi sulle linee guida in materia di sicurezza divulgate da organizzazioni come il National Institute for Standards in Technology (framework NIST) o l'International Organization for Standardization (standard ISO), che forniscono un modo pratico per:
- Adottare le best practice consigliate da organizzazioni di stimata reputazione per aumentare il proprio livello di affidabilità
- Allinearsi ai processi di conformità in base ad una serie di normative per migliorare la propria efficienza
Tuttavia, poiché le superfici di attacco (e le normative) si evolvono, bisogna chiedersi: perché non conformare il processo di conformità dei dati all'interno delle vostre organizzazioni ad un principio di cybersecurity nel lungo termine? Alcuni potrebbero definirlo un sistema di difesa approfondita, ma noi parliamo semplicemente di una sicurezza multilivello. In ogni caso, questo principio basato su un approccio alla sicurezza multilivello è molto importante.
Basarsi su un approccio multilivello
Anziché basarsi notevolmente su un solo tipo di strumento o controllo di sicurezza, potete creare più livelli di sicurezza combinati in una serie di ostacoli interconnessi, stratagemmi e sorprese anti-criminali, il tutto per contrastare gli autori delle minacce limitando le opzioni, gli accessi e la visibilità di cui dispongono. Tramite un approccio multilivello, i controlli di sicurezza concepiti per rischi specifici possono integrare i punti di forza l'uno dell'altro. Se un controllo di sicurezza non riesce, un altro corre in soccorso, pronto ad intervenire. Se un altro controllo ancora rileva un segnale di attacco, la sua controparte può intervenire in base alle informazioni ricevute e bloccare il movimento di un criminale. Se uno strumento protegge gli accessi da parte di utenti umani, un altro controllo protegge gli accessi da utenti di altro tipo e così via.
Analogamente, le organizzazioni possono applicare lo stesso approccio alla conformità. Gli enti normativi vogliono verificare che le misure di sicurezza adottate dalle vostre aziende siano in grado di impedire ai criminali di danneggiare dati e infrastrutture, ad esempio, con attacchi che rendono visibili le informazioni personali di milioni di consumatori o che interrompono le attività di infrastrutture critiche, come gli impianti di trattamento delle acque.
La posta in gioco è alta: la mancata conformità alle normative ha fatto salire il costo medio di una violazione di dati da 4,88 milioni di dollari a quasi 5,12 milioni di dollari nel 2024.
Dalla dimostrazione di piani più completi al supporto delle funzionalità di creazione dei rapporti, ora andremo ad esaminare alcune vulnerabilità comuni e come poterle risolvere.
Esempi di applicazione della sicurezza multilivello agli standard di conformità
Molte organizzazioni hanno compiuto progressi nella protezione delle credenziali dei loro utenti IT, che, se finiscono in mani sbagliate, potrebbero consentire ai criminali di controllare le reti e di accedere ai dati sensibili. Dal PCI-DSS v4.0 (Payment Card Industry Data Security Standard) al GDPR (General Data Protection Regulation), gli enti normativi si aspettano di vedere solide funzionalità di controllo degli accessi con privilegi.
Tuttavia, è anche utile disporre di controlli in grado di isolare e proteggere i dati in segmenti, in cui ogni tipo di dati viene protetto con controlli di autorizzazione personalizzati in base agli specifici attributi, inclusi i requisiti relativi alla riservatezza dei dati e alle normative specifiche per area geografica.
Se la rete viene divisa in segmenti più piccoli e isolati (ognuno dei quali con proprie policy di sicurezza delle informazioni), i team addetti alla sicurezza acquisiscono un controllo più preciso sull'accesso ai dati e sul movimento laterale.
Se vengono implementati gli strumenti di microsegmentazione più appropriati, questo approccio granulare consente di:
- Ridurre la superficie di attacco
- Limitare i potenziali danni derivanti da una violazione o un attacco ransomware
- Fornire ai team addetti alla sicurezza la capacità di dimostrare come proteggono i dati, i sistemi e le attività aziendali, sia nei piani generali che negli audit ricorrenti
In quale altro modo i team addetti alla sicurezza possono applicare la sicurezza multilivello tenendo in considerazione la conformità alle normative? Esaminiamo ora il ruolo sempre fondamentale svolto dalla protezione dei dati.
Soddisfare i requisiti di sicurezza delle API
Secondo il rapporto DBIR di Verizon del 2025, il 60% delle violazioni è causato da una "componente umana" (pensiamo ai dipendenti vittime di schemi di phishing che causano furti di dati). Quindi, ovviamente, le aziende implementano controlli di gestione delle identità e degli accessi per evitare di incorrere in pesanti sanzioni e danni alla reputazione. Molti enti normativi e quadri legislativi insistono su questo aspetto.
Le vostre organizzazioni potrebbero riuscire a dimostrare agli enti normativi di dipendere meno dalle password e di applicare metodi di autenticazione a due fattori per gli utenti. Ma che dire della componente non umana?
In un'azienda, potenzialmente migliaia di API (Application Programming Interface) lavorano "dietro le quinte" per scambiare rapidamente i dati. I criminali sanno che le API, spesso, sono configurate in modo errato, non dispongono di controlli di autenticazione e sono facili da manipolare per restituire informazioni sensibili.
In effetti, l'84% delle organizzazioni ha subito un problema di sicurezza delle API negli ultimi 12 mesi, che, secondo quanto riferito dai responsabili dei reparti IT e della sicurezza è costato, in media 943.162 dollari.
Applicando un approccio alla sicurezza multilivello per soddisfare i requisiti di conformità, i team addetti alla sicurezza possono consentire ai propri membri di controllare gli accessi con strumenti di monitoraggio e protezione del patrimonio delle loro API, incluse le funzionalità di gestione del sistema di sicurezza delle API necessarie per:
Analizzare il comportamento delle API alla ricerca di anomalie rispetto ai parametri di riferimento delle attività standard
Identificare le attività dannose in tempo reale e inviare avvisi agli altri strumenti interni per far applicare i controlli appropriati, come il blocco degli accessi non autorizzati
Fornire una visibilità continua sui potenziali problemi di sicurezza delle API basandosi sui sistemi di conformità adottati dalle vostre aziende
Best practice per la conformità alla sicurezza dei dati: i quattro livelli principali
Nei prossimi blog di questa serie, andremo ad esaminare i modi con cui i team addetti alla sicurezza aziendale possono risolvere le lacune e i problemi di conformità. Riteniamo che la conformità alle leggi sulla protezione dei dati richieda un approccio strategico non diverso da quello con cui le organizzazioni implementano strategie multilivello per proteggere ogni area della superficie di attacco.
Descriveremo le best practice direttamente collegate ai requisiti imposti dagli odierni enti normativi, inclusa la necessità di disporre di una visibilità completa sul proprio patrimonio IT.
Ulteriori informazioni
Per saperne di più su come Akamai può aiutarvi, potete visitare la nostra pagina sulla conformità alla cybersecurity.