I framework di cybersecurity sono linee guida strutturate, buone pratiche e standard progettati per aiutare le organizzazioni a gestire e migliorare la propria postura di cybersecurity. Sebbene la cybersecurity possa sembrare complessa, spesso non è così. Lo stesso vale per i framework: molti di essi diventano piuttosto semplici una volta che si inizia a esplorarli. Come comprenderli e utilizzarli a proprio vantaggio? Dušan Kaštan, specialista di cybersecurity di ESET, offre la sua prospettiva e preziosi consigli.
Comprendere i framework di cybersecurity: semplificare il complesso
Quando le persone pensano ai framework di sicurezza, spesso si spaventano per la loro complessità. Qual è la tua opinione in merito?
Forse uno dei problemi è che, quando si cercano informazioni online, navigare tra la miriade di fonti e trovare consigli utili può essere una sfida. Molti degli articoli che si trovano cercano di riassumere i framework, ma sono inaffidabili e mescolano dati vecchi con nuovi. Oppure combinano framework che si concentrano su parti completamente diverse dell'azienda e poi dicono al lettore "Ora scegli". Tuttavia, un'organizzazione trarrebbe maggior vantaggio dall'usare tutti questi framework contemporaneamente.
Lo scopo dei vari framework di sicurezza è lo stesso: proteggere la tua azienda. Ma spesso cercano di raggiungere questo obiettivo attraverso passi diversi. Di conseguenza, non dovresti fare affidamento su un solo framework per proteggere la tua azienda. Idealmente, dovresti seguire tre o quattro di essi e usarli per proteggere la tua attività da più angolazioni.
Quindi, se fossi un proprietario di azienda, da dove dovrei iniziare con i framework?
Il modo più semplice e pratico per iniziare è immaginare la tua casa come una piccola azienda e provare ad applicare il framework lì. Questo è qualcosa che chiunque può fare, non solo i proprietari di aziende. Può aiutarti a comprendere davvero i framework, vedere la loro portata e percepirne gli effetti.
Non è troppo difficile e forse superfluo per alcuni proprietari di aziende, come quelli che esternalizzano l'IT della loro azienda?
Al contrario. Comprendere i framework è importante anche se esternalizzi o utilizzi un MSP per l'IT della tua azienda. Immagina di voler acquistare dei servizi da un MSP, ma non sai nemmeno quali siano questi servizi o cosa comportino. Oppure devi scegliere tra vari servizi, ma non hai idea di quale sia la differenza tra loro. Non ha senso, vero? Testare i framework da soli può essere vantaggioso per qualsiasi proprietario di azienda e, di conseguenza, per la sua azienda.
I framework di cybersecurity si basano su situazioni reali e minacce comuni. E poiché la tecnologia è un campo altamente dinamico, cambiano nel tempo. Per questo motivo, dovresti sempre prestare attenzione alla data di pubblicazione e utilizzare framework aggiornati.
Passi pratici per l'implementazione dei framework di sicurezza.
Quale framework è ottimale per un test "domestico"?
Un buon punto di partenza è il GCA Cybersecurity Toolkit. Può aiutarti a muovere i primi passi nel mondo dei framework di sicurezza. Puoi scegliere tra diversi toolkit, in base al fatto che tu sia un individuo, una piccola azienda, e così via. Ogni toolkit descrive vari aspetti della cybersecurity, come la crittografia, la sicurezza delle password, i backup, e altro. Ti guida quindi attraverso la copertura di tutte queste possibili vulnerabilità, una alla volta. Se ne ometti una, rimani vulnerabile. E questo è un problema comune.
Ad esempio, i professionisti IT spesso conoscono il phishing, quindi scaricano software che può aiutarli con questo problema, ma ci sono anche parti della cybersecurity che trovano troppo complesse e con cui non vogliono avere a che fare, come la crittografia. La loro soluzione è semplicemente saltare queste, il che significa che alla fine rimangono esposti. I framework di cybersecurity possono aiutare i professionisti IT a essere più sistematici e a non trascurare nessuno dei passaggi essenziali.
In termini di framework, da dove cominceresti?
CIS ha una buona guida da seguire. Questo framework è particolarmente utile per le piccole e medie imprese (PMI), ma anche le aziende più grandi possono trarne beneficio. Ha diversi livelli che puoi applicare, partendo dal primo e diventando più complessi man mano che avanzi. La regola principale è completare tutti i punti del primo livello per passare al secondo, poi al terzo, e così via. Per le piccole imprese, forse solo il primo livello è necessario, ma le aziende più grandi possono, e dovrebbero, procedere al secondo o terzo livello.
Che dire del framework NIST?
Questo è un po' più teorico. È anche più sfaccettato. Quando lo esamini, copre la valutazione del rischio, ad esempio, che non è descritta nel framework CIS. D'altro canto, non è così istruttivo come CIS. Mentre il CIS ti dice cosa devi fare, il NIST ti indica alcuni aspetti della tua sicurezza e ti dice: "Ecco le cose che dovresti aver coperto". Se colleghiamo il framework CIS con NIST, otteniamo una combinazione molto utile. Mentre NIST ti informa sui molti asset diversi che dovresti proteggere, CIS può essere la tua guida passo-passo.
Link utili
Per maggiori informazioni sul framework CIS, clicca qui.
Per vedere i diversi livelli e imparare a implementare il framework CIS, passo dopo passo, clicca qui.
Per leggere le risposte alle domande più comuni sul framework CIS, clicca qui.
Per maggiori informazioni sul framework NIST, i suoi vantaggi e le possibilità di implementazione, clicca qui.
Torniamo alle basi. Come si applica un framework di sicurezza nella realtà?
Tutto ciò che dovresti fare è seguire i passaggi descritti dai framework. Ad esempio, il framework CIS consiglia di iniziare con un inventario dettagliato degli asset. Successivamente, il secondo passo secondo il framework CIS è l'inventario del software. Ciò significa che dovresti chiederti: Quale software utilizza la nostra azienda? Quante istanze di ciascun software ci sono? Ci sono app non utilizzate sui nostri dispositivi che non sono state aggiornate di recente? Ogni vulnerabilità su un dispositivo può potenzialmente rappresentare una vulnerabilità per l'intera azienda, quindi dovresti gradualmente eliminare tutte le app potenzialmente non sicure.
Questo è davvero utile.
Sì, è proprio questo il punto. Molti dipendenti non sentono la necessità di seguire un framework di sicurezza e anche i proprietari delle aziende spesso credono che la cybersecurity sia qualcosa su cui solo il loro team IT debba concentrarsi. I framework possono essere utili su una scala più ampia così come su una molto più piccola. I framework di cybersecurity non sono solo un pezzo di carta pieno di regole scritte da qualche persona sconosciuta e intelligente. Esistono per il tuo beneficio, aiutandoti a evitare lacune nella sicurezza che potresti altrimenti trascurare. La chiave è imparare a usarli efficacemente.
Fraintendimenti comuni e vulnerabilità trascurate nella cybersecurity
Quali sono alcuni buchi di cybersecurity che le aziende spesso trascurano?
Per fornire una risposta precisa a questa domanda, avrei bisogno di avere accesso a una grande quantità di dati, cosa che non ho. Tuttavia, posso condividere alcune informazioni su quali asset siano più comunemente presi di mira dai cybercriminali. Sembra esserci una chiara connessione tra questi asset presi di mira e le vulnerabilità trascurate. I criminali informatici si concentrano su quelli che percepiscono come i punti di ingresso più facili. Ma per arrivare alla risposta, molti attacchi prendono di mira i dispositivi mobili. Le password deboli e la mancanza di crittografia sono spesso un problema. Infine, credo che le aziende spesso falliscano in una delle pratiche più basilari: avere una visione completa di quali dispositivi siano presenti nel loro sistema.
ESET PROTECT ha la capacità di recuperare i dettagli dell'inventario hardware dai dispositivi connessi, come dettagli sulla RAM, sull'archiviazione e sul processore di un dispositivo. Puoi anche creare gruppi dinamici personalizzati basati sui dettagli dell'inventario hardware dei dispositivi connessi.
Scopri di più
Quali sono, secondo te, alcuni fraintendimenti comuni sui framework o sulla cybersecurity in generale?
I dipendenti spesso associano la cybersecurity a minacce molto complesse. Ma le minacce più comuni, e quindi più pericolose, sono spesso abbastanza semplici. Ad esempio, i dipendenti presumono che qualcuno possa hackerare il loro telefono e accedere ai loro dati. In realtà, è molto più comune che gli hacker aspettino fino a quando qualcuno inserisce le proprie credenziali in un luogo pubblico per poi rubare il dispositivo quando viene lasciato incustodito. Questo problema potrebbe essere facilmente evitato se le aziende prestassero maggiore attenzione alle basi della cybersecurity, e talvolta della sicurezza in generale. C'è anche un altro fraintendimento comune che mi viene in mente.
Quale sarebbe?
Le aziende, specialmente quelle piccole, spesso si chiedono: "Perché dovrei essere un obiettivo interessante per gli hacker? Sicuramente hanno prede più grandi a cui puntare." Purtroppo, questa convinzione a volte porta le aziende a trascurare la cybersecurity. Tuttavia, la verità è che non tutti gli attacchi prendono di mira specificamente le aziende. Molti criminali informatici attaccano indiscriminatamente utilizzando strumenti come il Ransomware-as-a-Service e metodi simili. Paradossalmente, questa mancanza di attenzione rende le piccole imprese i bersagli perfetti per i cybercriminali. Pertanto, anche le piccole imprese devono dare priorità alla cybersecurity, e l'implementazione di framework può migliorare significativamente le loro difese.