La sicurezza informatica è un tema complesso, ma sempre più fondamentale e attuale. In questo articolo cominceremo ad affrontarlo e ad approfondire i vari aspetti legati a questo tema, per cercare di dare una visione sia generale, sia specifica delle sue componenti principali.
Buona lettura!
L’importanza della sicurezza informatica
È sempre più attuale il tema della sicurezza delle informazioni e soprattutto delle informazioni che poi vengono posizionate in Cloud, quindi al di fuori del
perimetro della rete aziendale.
Le informazioni sono un valore importantissimo per le aziende e devono essere tutelate, soprattutto quando queste vengono portate al di fuori della realtà aziendale. È fondamentale analizzare e studiare bene dove le si posizionano e come le si proteggono.
La sicurezza, dunque, comincia proprio dall’analisi dei dati che stiamo portando nel cloud: è importante capire che dati sono e quale sia la loro criticità.
Questa analisi ci serve per capire quanto dobbiamo investire in protezione, in base ovviamente all’importanza dei dati che trasportiamo in Cloud.
Questi dati saranno poi trattati tramite dei software e ovviamente saranno ospitati presso un Data Center, una piattaforma Cloud o presso un provider di servizi che a loro volta saranno oggetto della nostra analisi, poiché la sicurezza della piattaforma o del provider sono parimenti importanti.
In un ambiente composto da tanti attori ed elementi, il livello di sicurezza che riusciremo a raggiungere è pari alla sicurezza dell’elemento meno sicuro. Questo significa che, per assurdo, se abbiamo un applicativo sicurissimo sviluppato con tutte le attenzioni del caso, ma ospitato su un server che invece non è aggiornato o non viene manutenuto, il nostro livello di sicurezza sarà quello del server che non è aggiornato e manutenuto, quindi un livello basso.
L’analisi degli applicativi
L’analisi è un elemento fondamentale e portante per raggiungere un buon livello
di sicurezza.
Partiamo dall’analisi degli applicativi che utilizziamo o che stiamo sviluppando.
Gli applicativi devono essere sicuramente manutenuti, quindi è necessario verificare che l’applicativo o gli applicativi che scegliete di portare in
Cloud (e quindi di esporre su internet) siano attualmente gestiti da un’azienda che ne verifica le condizioni di sicurezza e li aggiorna.
Questo è fondamentale poiché tutti i giorni vengono rilevate vulnerabilità su software e sistemi e avere dietro ai nostri applicativi un’azienda che li manutiene è indispensabile per essere sempre tempestivamente aggiornati su vulnerabilità di sicurezza.
Nel caso in cui stiate utilizzando un applicativo sviluppato da voi o sviluppato per
vostro conto da parte di una Software House, ci sono alcuni punti importanti da
analizzare.
- Le librerie componenti terze che vengono utilizzate devono essere manutenute: per questo concetto vale lo stesso degli applicativi che acquistate o che portate direttamente in Cloud.
- Ci deve essere una corretta segmentazione della profilazione: ogni utente deve poter vedere solo le informazioni che gli servono.
- I dati nel Database o il Surface System del server devono essere crittografati o protetti in caso di un accesso al server che non sia consentito.
- Devono essere applicati tutti quei concetti di programmazione sicura allo sviluppo: partendo dalla validazione dell’input fino ad arrivare a controlli sulle “sequele inception” o su tutti quegli elementi che possono essere delle criticità.
- Analizzare l’infrastruttura: se l’applicativo gira su un nostro server fisico dobbiamo assicurarci della sicurezza del server fisico, quindi che il sistema operativo venga aggiornato e manutenuto, che i linguaggi di programmazione siano aggiornati e manutenuti, ecc.. Dobbiamo quindi assicurarci che tutta la catena della sicurezza delle applicazioni sia gestita.
La sicurezza del sistema di Cloud
Se utilizziamo un servizio di Cloud la questione diventa ancora più complessa perché dovremo valutare la sicurezza complessiva del sistema di Cloud.
Dobbiamo essere siamo sicuri che l’ambiente di virtualizzazione sia
aggiornato e protetto e che tutto il sistema nella sua complessità abbia un
framework e una Policy di sicurezza adeguate a quello che è il nostro
obiettivo.
Ricapitolando, per costruire un ambiente sicuro dobbiamo fare un’analisi che parta dall’infrastruttura, che poi arrivi all’analisi dei software o degli
applicativi che portiamo in Cloud, e che quindi esponiamo, e che finisca con l’analisi dei dati trattati.
NB: Ovviamente la sicurezza di un sito cambia a seconda dei dati trattati.
Fare la sicurezza di un sito che non contiene nessun dato strategico, ma semplicemente le pagine “Chi siamo”, “Dove siamo” e un form di contatti è un conto. Un altro conto è fare la sicurezza di un sito dove abbiamo la lista clienti, che cosa hanno comprato, le posizioni, e così via.
Queste condizioni cambiano fortemente il nostro approccio al concetto di sicurezza e cambiano quello che è l’investimento in sicurezza.
Penetration test: che cos’è e come funziona?
A tutta questa analisi, una volta che avremo realizzato la nostra
infrastruttura, prima di passarla in produzione e di renderla produttiva, possiamo aggiungere un Penetration test.
Un Penetration test prevede di rivolgersi a un’azienda terza e specializzata in sicurezza informatica, che simulerà un attacco alla piattaforma.
Questo test può essere svolto in vari modi.
- Possiamo avere un Penetration test che viene fatto senza informazioni sulla piattaforma e, quindi, è semplicemente un tentativo di attacco come un soggetto terzo.
- Possiamo fare un Penetration test che prevede alcune informazioni sulla piattaforma in maniera tale che l’azienda attaccante sappia qualcosa, ma non tutto
- Possiamo fare un Penetration test dove diamo all’azienda attaccante una serie di accessi già consentiti alla piattaforma, che loro utilizzeranno per verificare se si possono scalare i privilegi, ovvero se un utente della piattaforma riesce con le proprie password a diventare amministratore e vedere tutti gli altri utenti.
Il Penetration test ci serve per avere un “occhio terzo” che valuta lo stato della sicurezza della nostra piattaforma e che ci indichi tutte le criticità rilevate, sulle quali noi poi potremo porre delle remediation, ovvero potremmo effettuare delle azioni, installare dei software o realizzare delle patch che risolvano i
problemi di sicurezza individuati.
Vulnerability Assessment: perché è importante e come mantenere la sicurezza nel tempo
È importante ricordare sempre che la sicurezza è un percorso: non siamo
sicuri per sempre, la sicurezza si costruisce giorno per giorno.
Per questo motivo, una volta che saremo in produzione, sarà necessario verificare che le condizioni della nostra analisi siano sempre manutenute, che i sistemi siano aggiornati, i dati protetti e così via.
A tutto ciò potremmo affiancare un costante Vulnerability Assessment, ovvero un’analisi sempre esterna, ma più leggera del Penetration test, che monitori da
remoto la nostra piattaforma e verifichi che la sicurezza sia sempre manutenuta.
Conclusioni
Ricapitolando, la sicurezza è un ecosistema complesso che richiede analisi, progettazione e costanza nel tempo.
Noi in All You Cloud prestiamo una grande attenzione alla sicurezza.
Siamo partiti da un’analisi iniziale, quando eravamo più piccoli, che abbiamo
costantemente aggiornato e periodicamente introduciamo nuovi strumenti e nuovi software per raggiungere un livello di sicurezza sempre maggiore.
Facciamo tutto questo perché ogni giorno vediamo quello che succede, monitoriamo la nostra rete, analizziamo il nostro traffico e ci poniamo nelle condizioni di rispondere ai principali e più importanti attacchi che vediamo sul campo.
Ogni giorno costruiamo nuove sinergie e nuove partnership per migliorare e per proporre ai nostri clienti soluzioni di sicurezza sempre più avanzate e puntuali rispetto alle esigenze del mercato.
Se vuoi maggiori informazioni riguardo alla sicurezza delle tue
applicazioni o se hai in questo momento un problema di sicurezza in
corso, puoi compilare il form nella pagina Contatti: saremo felici di ricontattarti e insieme analizzeremo la situazione e lavoreremo su una possibile soluzione!