Information security: definizione, principi e opportunità di lavoro
L’information security, talvolta abbreviata in infosec, è un insieme di pratiche intese a proteggere i dati da accessi non autorizzati o alterazioni, sia quando vengono archiviati, sia quando vengono trasmessi da una macchina o posizione fisica a un’altra. A volte potreste vederla indicata come data security. Poiché la conoscenza è diventata una delle risorse più importanti del XXI secolo, gli sforzi per proteggere le informazioni sono diventati di conseguenza sempre più importanti.
Il SANS Institute offre una definizione un po ‘più ampia:
L’information security si riferisce ai processi e alle metodologie progettate e implementate per proteggere la stampa, l’elettronica o qualsiasi altra forma di informazione o dati riservati, privati e sensibili da accessi non autorizzati, uso, uso improprio, divulgazione, distruzione, modifica o interruzione.
Information security vs. cybersecurity
Dato che l’information technology è diventata la parola d’ordine aziendale, a volte vedrete l’information security e la cybersecurity utilizzate in modo intercambiabile. Teoricamente la cybersecurity è la pratica più ampia per difendere gli asset IT dagli attacchi e l’information security è una disciplina specifica sotto l’egida della cybersecurity. La sicurezza della rete e la sicurezza delle applicazioni sono invece pratiche secondarie di infosec che si concentrano rispettivamente sulle reti e sul codice dell’app.
Ovviamente, c’è qualche sovrapposizione. Non è possibile proteggere i dati trasmessi attraverso una rete non sicura o manipolati da un’applicazione compromessa. Inoltre, ci sono molte informazioni che non sono archiviate elettronicamente e che devono essere comunque protette. Pertanto, il mandato dell’infosec è necessariamente ampio.
I principi dell’information security
I componenti di base della sicurezza delle informazioni sono spesso riassunti dalla cosiddetta triade della CIA: riservatezza, integrità e disponibilità.
- La riservatezza è forse l’elemento della triade che viene immediatamente in mente quando si pensa all’ information security. I dati sono riservati quando solo le persone autorizzate ad accedervi possono farlo; per garantire la riservatezza, è necessario essere in grado di identificare chi sta tentando di accedere ai dati e bloccare i tentativi da parte di coloro che non sono autorizzati. Password, crittografia, autenticazione e difesa contro gli attacchi di penetrazione sono tutte tecniche progettate per garantire la riservatezza.
- Integrità significa mantenere i dati nel loro stato corretto e impedire che vengano modificati in modo improprio, sia per caso o con una chiara intenzione malevola. Molte delle tecniche che garantiscono la riservatezza proteggeranno anche l’integrità dei dati (dopotutto un hacker non può modificare i dati a cui non può accedere), ma ci sono altri strumenti che aiutano a fornire una difesa dell’integrità in profondità. I checksum possono aiutare a verificare l’integrità dei dati, ad esempio, e i software di controllo versione e i backup frequenti possono aiutare a ripristinare i dati in uno stato corretto, se necessario. L’integrità copre anche il concetto di non ripudio: dovete essere in grado di dimostrare di aver mantenuto l’integrità dei vostri dati, specialmente in contesti legali.
- La disponibilità è l’immagine speculare della riservatezza. Mentre dovete assicurarvi che i vostri dati non possano essere accessibili da utenti non autorizzati, dovete anche assicurarvi che possano accedervi chi ha le autorizzazioni appropriate. Garantire la disponibilità dei dati significa abbinare le risorse di rete e di elaborazione al volume di accesso ai dati previsto e implementare una buona politica di backup a fini di ripristini di emergenza.
In un mondo ideale i vostri dati dovrebbero sempre essere riservati, nel loro stato corretto e disponibili; in pratica, ovviamente, spesso è necessario fare delle scelte su quali principi di information security enfatizzare e ciò richiede un’attenta valutazione dei dati. Se state memorizzando informazioni mediche sensibili, ad esempio, vi concentrerete sulla riservatezza, mentre un istituto finanziario potrebbe enfatizzare l’integrità dei dati per garantire che i conti bancari dei clienti siano il più al sicuro possibile.
Policy dell’information security
I mezzi con cui questi principi vengono applicati assumono la forma di una policy di sicurezza. Questo non è un componente hardware o software di sicurezza; piuttosto, è un documento che un’impresa elabora, in base alle proprie esigenze specifiche, per stabilire quali dati devono essere protetti e in quali modi. Queste policy guidano le decisioni dell’organizzazione in merito all’acquisizione di strumenti di sicurezza informatica e impongono anche il comportamento e le responsabilità dei dipendenti.
Tra le altre cose, la policy di information security della vostra azienda dovrebbe includere:
- Una dichiarazione che descrive lo scopo del programma infosec e i vostri obiettivi generali
- Definizioni dei termini chiave utilizzati nel documento per garantire la comprensione condivisa
- Una policy di controllo dell’accesso che determina chi ha accesso a quali dati
- Una policy di password
- Un supporto dati e un piano operativo per garantire che i dati siano sempre disponibili per coloro che ne hanno bisogno
- Ruoli e responsabilità dei dipendenti quando si tratta di salvaguardare i dati, incluso chi è in ultima analisi responsabile della sicurezza delle informazioni
Una cosa importante da tenere a mente è che, in un mondo in cui molte aziende esternalizzano alcuni servizi informatici o archiviano dati nel cloud, la vostra policy di sicurezza deve coprire più dei semplici beni che possedete. Dovete sapere come gestirete il tutto, dall’identificazione personale delle informazioni archiviate nelle istanze AWS alle terze parti, che devono essere in grado di autenticarsi per accedere a informazioni aziendali sensibili.
Misure dell’information security
Come dovrebbe essere chiaro ormai, quasi tutte le misure tecniche associate alla sicurezza informatica toccano in una certa misura la sicurezza delle informazioni, ma occorre pensare alle misure di infosec in modo globale:
- Le misure tecniche includono l’hardware e il software che proteggono i dati, dalla crittografia ai firewall
- Le misure organizzative comprendono la creazione di un’unità interna dedicata alla sicurezza delle informazioni, oltre a rendere l’infosec parte delle funzioni di alcuni membri del personale in ogni dipartimento
- Le misure umane includono la formazione di sensibilizzazione per gli utenti sulle pratiche infosec adeguate
- Le misure fisiche comprendono il controllo dell’accesso alle sedi degli uffici e, in particolare, ai data center
Lavori legati all’information security
Non è un segreto che i lavori di cybersicurezza siano molto richiesti e nel 2019 l’information security era in cima alla lista dei desideri di assunzione di ogni CIO, secondo la IT Security Guide di Mondo. Ci sono due principali motivazioni per questo primato. Da un lato ci sono state molte violazioni della sicurezza di alto profilo che hanno provocato danni alle finanze e alla reputazione di tantissime aziende. In secondo luogo la maggior parte delle aziende sta continuando ad accumulare i dati dei clienti e a consentire a sempre più dipartimenti di accedervi, aumentando così la potenziale superficie di attacco.
Esistono svariate figure lavorative nel mondo infosec. Lo stesso titolo professionale può significare cose diverse in aziende diverse e dovreste anche tenere a mente che alcuni di questi ruoli non sono limitati alla sola sicurezza delle informazioni in senso stretto. Ma ci sono conclusioni generali che si possono trarre. Prendiamo per esempio la figura dell’information security analyst, generalmente considerato il primo passo per chi vuole intraprendere una carriera in ambito infosec. Christina Wood di CSO descrive il lavoro come segue:
Gli analisti della sicurezza si occupano in genere di protezione delle informazioni (protezione dalla perdita di dati e classificazione dei dati) e protezione dalle minacce, che comprende informazioni sulla sicurezza e gestione degli eventi (SIEM), analisi del comportamento di utenti ed entità [UEBA], sistema di rilevamento delle intrusioni/sistema di prevenzione delle intrusioni (IDS/IPS) e test di penetrazione. Le funzioni chiave includono la gestione delle misure e dei controlli di sicurezza, il monitoraggio dell’accesso alla sicurezza, l’esecuzione di audit di sicurezza interni ed esterni, l’analisi delle violazioni della sicurezza, la raccomandazione di strumenti e processi, l’installazione di software, l’insegnamento della consapevolezza della sicurezza e il coordinamento della sicurezza con i fornitori esterni.
L’analista della sicurezza delle informazioni è uno di quei ruoli infosec di cui non ci sono abbastanza candidati per soddisfare la domanda. Basti pensare che nel 2017 e nel 2018 c’erano più di 100.000 richieste di analisti della sicurezza delle informazioni che non sono state soddisfatte.
Formazione e corsi sulla sicurezza delle informazioni
Come si ottiene un lavoro nell’information security? Un corso di laurea in informatica non fa certo male, anche se non è affatto l’unico modo per entrare in questo settore; la tecnologia rimane infatti un mondo in cui, ad esempio, la partecipazione a progetti open source o hacking collettivi può fungere da prezioso biglietto da visita.
Tuttavia l’infosec sta diventando sempre più professionalizzata, il che significa che le istituzioni offrono di più tramite credenziali formali. Molte università offrono ora lauree specializzate nella sicurezza delle informazioni. Questi programmi possono essere più adatti a coloro che sono già sul campo in cerca di espandere le proprie conoscenze e dimostrare di avere le carte in regola per fare carriera. All’altra estremità dello spettro ci sono corsi online gratuiti e a basso costo in infosec, molti dei quali abbastanza focalizzati.
Certificazioni per l’information security
Se siete già sul campo e state cercando di rimanere aggiornati sugli ultimi sviluppi, sia per vostro interesse, sia come segnale per i potenziali datori di lavoro, potreste valutare una certificazione in information security. Tra le migliori segnaliamo:
- Systems Security Certified Practitioner (SSCP)
- Certified Cyber Professional (CCP)
- Certified Information System Security Professional (CISSP)
- Certified Ethical Hacker (CEH)
- GCHQ Certified Training (GCT)