Become a partner   | Request Support  | Contact Sales

Diventa Autore per CoreTech | Scopri di più





Sfatare 5 miti sulla sicurezza informatica

01/02/22 CoreTech Blog

Le piccole e medie imprese hanno difficoltà quando si tratta di sicurezza informatica. Il divario di sicurezza informatica li colpisce più duramente perché la maggior parte degli esperti di sicurezza preferirebbe scegliere ambienti di lavoro diversi.

I giovani appassionati di sicurezza delle informazioni sono molto richiesti. Tuttavia, invece delle PMI, di solito preferiscono lavorare per aziende di sicurezza specializzate e si concentrano, ad esempio, sui test di penetrazione manuali. Un'altra scelta preferita sono le aziende, in cui tali appassionati possono restringere i propri compiti, accedere a specializzazioni come sicurezza di rete, analisi della superficie di attacco e del panorama delle minacce, valutazione del rischio o progettazione di strutture di sicurezza e/o avere un percorso di carriera più promettente, anche per CISO.

Un altro grosso problema per le PMI è il budget. Un'impresa o un team specializzato di solito può offrire agli esperti di sicurezza stipendi ed extra molto migliori. E non c'è da meravigliarsi se i giovani appassionati sono schizzinosi: sono quelli che stanno vincendo, sono quelli per cui si lotta

Alla fine, molte PMI finiscono con amministratori o team IT generici che assumono il ruolo di sicurezza IT. Anche se riescono a coinvolgere un professionista della sicurezza, quel professionista diventa un tuttofare, spesso bruciandosi e partendo presto, alla ricerca di un percorso di carriera diverso.

Un altro grave problema associato alla posizione della sicurezza informatica per le PMI è la mancanza di consapevolezza della sicurezza informatica e la fede nei miti, soprattutto nel caso di top manager e dirigenti. Questo spesso porta a un rinvio della sicurezza e ad essere trattato come un problema minore con budget incentrati sullo sviluppo e sui profitti diretti. Anche se i proprietari e i top manager delle PMI si rendono conto che esiste un grave rischio per la sicurezza, sono spesso pronti ad accettare tale rischio a causa delle sfide associate alla sua mitigazione, ad esempio la sfida di trovare personale, come descritto sopra.

Proviamo a sfatare alcuni importanti miti sulla sicurezza informatica che possono avere una pessima influenza sulla posizione di sicurezza informatica dell'organizzazione. Una volta che il filo del pensiero è più chiaro, potrebbe essere più facile per le PMI stabilire le migliori pratiche di sicurezza per gestire in modo efficiente il loro stato di sicurezza delle informazioni.

Non abbiamo bisogno di conoscere la sicurezza perché abbiamo assunto un esperto

Questo è un mito molto pericoloso che porta a perdere personale. La sicurezza informatica non è qualcosa che puoi semplicemente appoggiare sulle spalle di una persona. Proprio come con la sicurezza fisica, anche se hai le migliori serrature e il miglior sistema di allarme, basta un solo dipendente a caso per dimenticare di chiudere quando esci dal lavoro e l'intero sforzo è inutile. E se una persona viene incolpata in un caso del genere, puoi essere certo che presto troverà un posto migliore in cui lavorare.

Se vuoi che la tua attività prosperi in modo sicuro, tutti all'interno dell'azienda (o anche al di fuori di essa, se la catena di approvvigionamento include l'outsourcing) devono essere consapevoli della sicurezza informatica. E non si tratta solo di una singola formazione iniziale o di inviare regolarmente a tutti e-mail di phishing false per controllare le loro risposte. Si tratta di assicurarsi che tutti si preoccupino veramente, sempre.

Affinché i dipendenti si preoccupino veramente della sicurezza informatica, sono i manager che devono preoccuparsene per primi. Invece di avere aspettative, i manager dovrebbero dare l'esempio e assicurarsi che il rischio informatico sia percepito come importante. E non è difficile, è sufficiente che ogni decisione prenda in considerazione la sicurezza e che ogni discussione importante coinvolga il tema della sicurezza, se appropriato.

Siamo al sicuro perché affidiamo la nostra sicurezza a un'azienda professionale

Non c'è alcuna possibilità che un'azienda in outsourcing possa essere dettagliata nella gestione della sicurezza come te. Un appaltatore di servizi di sicurezza professionale è una buona e facile via d'uscita per una piccola organizzazione che non può permettersi risorse dedicate alla sicurezza informatica. Un fornitore/appaltatore di terze parti può aiutarti a selezionare il tuo framework di sicurezza informatica come NIST, progettare la tua strategia di sicurezza informatica, assisterti nella gestione del rischio e nell'intelligence sulle minacce, aiutarti a impostare i tuoi controlli di sicurezza e persino a prendere parte alla risposta agli incidenti. Tuttavia, non sono in grado di essere ovunque e guardare tutto in tempo reale e probabilmente avranno un tempo di risposta che sarà significativamente meno favorevole di quello dei tuoi dipendenti.

Se esternalizzi la tua sicurezza, devi comunque assicurarti che tutti in azienda siano consapevoli dell'impatto sulla sicurezza di tutte le loro azioni. Ad esempio, l'esternalizzazione della sicurezza a un appaltatore professionista non impedirà ai tuoi sviluppatori di introdurre vulnerabilità di SQL injection nel tuo software. Sarebbe molto raro se il tuo appaltatore partecipasse attivamente al tuo SDLC e controllasse tutte le tue risorse IT

Siamo al sicuro perché abbiamo acquistato una soluzione di sicurezza completa

Non esiste un software in grado di garantire la sicurezza della tua organizzazione. Inoltre, non esiste un unico strumento di sicurezza che copra nemmeno la metà delle potenziali minacce informatiche. Potresti ottenere una soluzione per l'ufficio che ti proteggerà da malware inclusi attacchi ransomware, un firewall per proteggere la tua rete esterna e interna da determinati attacchi di rete ed essere comunque vulnerabile alla completa compromissione del sistema e alla perdita di tutti i dati aziendali a seguito di un singolo SQL injection perché nessuno di questi strumenti ti protegge da tali vulnerabilità anche minimamente.

Non lasciarti influenzare dalle vuote promesse dei fornitori e non aver paura di cercare soluzioni specifiche per minacce alla sicurezza specifiche come uno scanner di vulnerabilità web specializzato per proteggerti dalle minacce relative al web. Cerca i produttori che non hanno paura di raccontarti i fatti invece di usare il linguaggio del grande business per offuscare i tuoi occhi. Cerca produttori specializzati perché hanno i mezzi per proteggerti in modo efficace. E ricorda sempre che l'automazione del software è solo uno strumento ed è il modo in cui usi quegli strumenti che conta davvero.

Un altro errore correlato di molte PMI è il fatto che si concentrano sulla sicurezza dei loro uffici. In passato, questo aveva senso perché la maggior parte delle risorse era conservata in ufficio, spesso inclusi i server. Al giorno d'oggi, le PMI si affidano principalmente a soluzioni cloud e, pertanto, i controlli di sicurezza informatica dovrebbero concentrarsi sulla sicurezza dei dati cloud e sulla presenza sul web perché la maggior parte delle risorse aziendali si basa su tecnologie web (comprese le tecnologie mobili e IoT ).

Forse nel 2000 una soluzione antivirus e uno scanner di rete erano più importanti di uno scanner di vulnerabilità web, ma ora, nel 2020, non è più così. Sebbene le soluzioni antimalware per gli endpoint siano ancora fondamentali per proteggersi da minacce come il ransomware, la protezione del Web è altrettanto importante e solo gli scanner di vulnerabilità Web possono farlo.

Siamo al sicuro perché non esponiamo le nostre applicazioni o i nostri dati al pubblico

Questo è un altro mito molto pericoloso che porta a grossi problemi. I manager delle PMI spesso pensano che se l'azienda non lavora nello spazio pubblico, è al sicuro dagli attacchi. Tuttavia, questo non potrebbe essere più lontano dalla verità.

Ad esempio, se si progetta un'applicazione B2B utilizzata da un numero limitato di aziende e che richiede l'autenticazione per l'accesso, è soggetta a rischi per la sicurezza informatica tanto quanto un sito web pubblico. Un attacco informatico può essere condotto non solo da un dipendente dell'azienda del cliente. Se, ad esempio, il modulo di accesso presenta una vulnerabilità SQL injection, un utente malintenzionato esterno può accedere all'applicazione progettata per essere utilizzata solo da clienti specifici, non dal pubblico in generale.

Inoltre, tieni presente che molte violazioni dei dati si verificano a causa di negligenza dell'interno o intenti dolosi: ad esempio, uno dei tipi più comuni di violazioni dei dati sono i database non protetti che sono stati il ​​risultato della disattenzione di un dipendente (il database non è mai stato concepito per essere pubblicamente disponibile).

Banner

Sebbene disporre di risorse pubbliche aumenti le sfide della sicurezza informatica, non averne una non significa automaticamente che tu abbia una buona protezione dei dati. Per essere sicuro, dovresti proteggere le tue risorse interne e le risorse autenticate così come le tue risorse esterne.

Siamo al sicuro perché hackerarci non ha alcun vantaggio

La criminalità informatica non è sempre il risultato di qualcosa da guadagnare. Altrettanto spesso è il risultato di un'opportunità. Alcuni criminali informatici si concentrano su preziose proprietà intellettuali o dati sensibili (e faranno quasi di tutto per rubarli) mentre altri sparano alla cieca e sperano di cogliere qualcuno alla sprovvista. Stai in guardia?

Banner

Quando si esaminano le più grandi violazioni dei dati negli ultimi anni, pochissime di esse sono state in realtà il risultato di un attacco mirato. In alcuni casi, come Equifax, si è trattato effettivamente di un attacco mirato di, presumibilmente, forze speciali cinesi. Tuttavia, il grande successo del 2019, la violazione di Capital One, è stato causato da un hacker frustrato ed emotivamente instabile che cercava popolarità nei circoli dei black hat. La maggior parte delle altre violazioni, tuttavia, era semplicemente il risultato di una scansione di indirizzi pubblici e di una risorsa vulnerabile.


Articoli su Sicurezza

Sicurezza aziendale: da cosa è minacciata e come proteggerla?Il threat modeling per la sicurezza delle applicazioniScanner di vulnerabilità: ecco come funzionanoWeb security: 5 motivi per cui è essenziale contro i ransomwareChe cos'è DevSecOps e come dovrebbe funzionare?Test di penetrazione vs scansione delle vulnerabilitàConsiderazioni sui test di correzione delle applicazioni WebQuattro modi in cui l'analisi AppSec aiuta i tuoi professionisti DevSecOpsQuattro modi per combattere il divario di competenze di sicurezza informaticaDove i framework di cybersecurity incontrano la sicurezza webCome costruire un piano di risposta agli incidenti informaticiRendi i tuoi utenti parte della soluzione di sicurezza webSei l'unico che può proteggere le tue applicazioni webNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaConvergenza Dev-Sec: i progressi e le sfide sulla strada per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?Sei l'unico che può proteggere le tue applicazioni webCos'è la sicurezza del sito Web: come proteggere il tuo sito Web dall'hackingRendi i tuoi utenti parte della soluzione di sicurezza webConvergenza Dev-Sec: la ricerca illustra i progressi per garantire l'innovazioneAggiornamento FISMA: cosa sta cambiando e perché è importanteChe cos'è la sicurezza continua delle applicazioni Web?La differenza tra XSS e CSRFNuovo studio di settore: il 70% dei team salta i passaggi di sicurezzaPrevenzione e mitigazione XSSStop ai compromessi sulla sicurezza delle applicazioni webSfatare 5 miti sulla sicurezza informaticaBasta compromessi sulla sicurezza delle applicazioni webNozioni di base sulla sicurezza web: la tua applicazione web è sicura?Che cos'è l'iniezione dell’header HTTP?Fare shift left o no?Individuazione e correzione di falle di sicurezza in software di terze partiClassi di vulnerabilità Web nel contesto delle certificazioniScripting tra siti (XSS)Che cos'è un attacco CSRFChe cos'è una SQL Injection (SQLi) e come prevenirlaAttacchi di attraversamento di directoryChe cos'è la falsificazione delle richieste lato server (SSRF)?7 migliori pratiche per la sicurezza delle applicazioni WebBlack Hat 2021: la più grande minaccia alla sicurezza informaticaÈ ben fatto? Chiedi allo sviluppatore!Scegli la soluzione di sicurezza delle applicazioni web che fa per teSicurezza fai-da-te: lo stai facendo bene?Sulla sicurezza delle applicazioni web professionali per MSSPLa cattiva comunicazione è al centro delle sfide di AppSecImpostazione e raggiungimento degli obiettivi di sicurezza delle applicazioniMetriche di sicurezza informatica per le applicazioni WebCome evitare attacchi alla supply chainPerché la maggior parte delle misure di sicurezza delle applicazioni fallisceVuoi che la tua sicurezza sia costruita su scuse?Cos'è SCA e perché ne hai bisognoLa scansione ad hoc non è sufficienteEsposizione dei dati sensibili: come si verificano le violazioniHai paura dei test di sicurezza nell'SDLC?Vantaggi di Web Asset DiscoveryStrumenti di scansione delle vulnerabilità: perché non open source?Protezione WAF - Ottieni il massimo dal tuo firewall per applicazioni webL'errore di comunicazione è al centro delle sfide di AppSecDebugger remoti come vettore di attaccoDAST è una parte essenziale di un programma completo per la sicurezza delle applicazioniCome difendersi dagli attacchi recenti su Microsoft Exchange5 principali vantaggi dei primi test di sicurezzaTecniche di attacco Denial-of-Service con avvelenamento della cacheQuali principali attacchi web possiamo aspettarci nella nuova top 10 di OWASP?Hack di SolarWindsPillole di Sicurezza | Episodio 38Pillole di Sicurezza | Episodio 37Perché gli sviluppatori evitano la sicurezza e cosa puoi fare al riguardoPillole di Sicurezza | Episodio 36Cos'è l'attacco RUDYCos'è la navigazione forzataCome gli scanner trovano le vulnerabilitàPillole di Sicurezza | Episodio 34Pillole di Sicurezza | Episodio 35Come eseguire il benchmark di uno scanner di vulnerabilità Web?Pillole di Sicurezza | Episodio 33Pillole di Sicurezza | Episodio 325 proposte di vendita comuni sulla sicurezza delle applicazioni web5 motivi per non fare affidamento sui programmi BountyPillole di Sicurezza | Episodio 315 motivi per cui la sicurezza web è importante quanto la sicurezza degli endpointPillole di Sicurezza | Episodio 305 motivi per cui la sicurezza web è importante per evitare il ransomwarePillole di Sicurezza | Episodio 293 motivi per cui DAST è il migliore per la sicurezza delle applicazioni WebPillole di Sicurezza | Episodio 28Pillole di Sicurezza | Episodio 27Pillole di Sicurezza | Episodio 24Pillole di Sicurezza | Episodio 25Pillole di Sicurezza | Episodio 21Pillole di Sicurezza | Episodio 22Pillole di Sicurezza | Episodio 20Pillole di Sicurezza | Episodio 17Il flag HttpOnly: protezione dei cookie da XSSPillole di Sicurezza | Episodio 16Il Bug Heartbleed – I vecchi Bug sono duri a morirePillole di Sicurezza | Episodio 15Pillole di Sicurezza | Episodio 14Pillole di Sicurezza | Episodio 13Pillole di Sicurezza | Episodio 12Pillole di Sicurezza | Episodio 11Pillole di Sicurezza | Episodio 10Sicurezza delle reti: gli hacker puntano CitrixCyber hacking: la Germania chiede l’intervento dell’UESicurezza informatica: Cisco rilascia aggiornamentiOcchio al cryptojacking: malware infiltrato in Docker HubSIGRed: bug di sistema in Windows Server scovato dopo 17 anniPillole di Sicurezza | Episodio 9Summit Live - Disponibili le registrazioni delle live di MonteleoneCriminalità informatica: Schmersal sventa un cyber-attaccoPillole di Sicurezza | Episodio 8Pillole di Sicurezza | Episodio 7Analisi pratica dei rischi per il SysAdmin, DevOps e Dev | Summit LivePillole di Sicurezza | Episodio 6Pillole di Sicurezza | Episodio 5Pillole di Sicurezza | Episodio 4Pillole di Sicurezza | Episodio 3Pillole di Sicurezza | Episodio 2Pillole di Sicurezza | Episodio 1Pillole di Sicurezza | Episodio 23