Cos'è la sicurezza delle informazioni?

La sicurezza delle informazioni è il processo di protezione di tutte le informazioni aziendali, sia in formato digitale che fisico. Le organizzazioni proteggono le informazioni relative alle operazioni e ai clienti per mantenere la reputazione del marchio, la fiducia dei clienti e la conformità normativa. La sicurezza delle informazioni delinea i processi, gli strumenti e le tecnologie che aiutano a garantire che tutte le informazioni vengano visualizzate, copiate, modificate o distrutte solo dopo l'autorizzazione idonea.

La sicurezza delle informazioni supporta le organizzazioni contribuendo a garantire l'integrità, la disponibilità e la riservatezza dei propri dati privati e dei sistemi aziendali. Esistono diversi motivi per cui la sicurezza delle informazioni è importante.

Abilitare la continuità aziendale

Sistemi informativi efficaci consentono alle aziende di mantenere un accesso ininterrotto ai propri dati e sistemi, anche in caso di eventi di sicurezza imprevisti. La pianificazione della continuità operativa implica l'utilizzo di una gamma di software di sicurezza, la creazione di politiche da seguire durante gli eventi e l'implementazione di misure di sicurezza tecniche che aiutino a proteggere un'organizzazione.

Costruire la fiducia dei clienti

La sicurezza delle informazioni riduce la probabilità di eventi di sicurezza imprevisti, consentendo alle aziende di fornire un servizio ininterrotto ai propri clienti. Quando le organizzazioni hanno una storia di conformità costante alla governance, seguendo le best practice e implementando pratiche di sviluppo sicure, dimostrano ai propri clienti di prendere sul serio i dati degli utenti e li proteggeranno.

Mitigare i rischi per la sicurezza

A seconda del settore in cui opera un'azienda, possono esistere diversi rischi potenziali di cui deve tenere conto. La sicurezza delle informazioni aiuta a consentire l'implementazione di controlli tecnici e procedurali per la gestione e la mitigazione dei rischi.

Le organizzazioni possono integrare una nuova tecnologia di gestione della sicurezza che riduce la probabilità di eventi di sicurezza imprevisti e migliora la capacità dell'azienda di gestire i rischi.

Proteggere la reputazione del marchio

La sicurezza delle informazioni protegge la reputazione di un marchio migliorando la sua capacità di fornire servizi in modo affidabile, proteggere la privacy dei clienti e soddisfare le esigenze operative. Il verificarsi di eventi di sicurezza involontari può danneggiare la reputazione di un marchio; tuttavia, pratiche efficaci di sicurezza delle informazioni riducono la probabilità che ciò accada.  

Esistono diversi principi chiave della sicurezza delle informazioni che ogni azienda segue.

Riservatezza

La riservatezza aiuta a garantire che tutti i dati aziendali privati siano accessibili solo a chi dispone dell’autorizzazione. Questo principio è sia tecnico che fisico, in quanto è possibile implementare controlli di accesso per i file digitali e anche impedire a personale non autorizzato di accedere a un ufficio. La riservatezza si estende anche all'uso della crittografia, alla protezione dei dati in transito e a riposo e alla garanzia che tutti i dati aziendali siano protetti.

Integrità

L'integrità si riferisce all'accuratezza, all'affidabilità e alla coerenza dei dati durante tutto il loro ciclo di vita all'interno di un'azienda. Questo principio mira a proteggere i dati assicurando che siano accurati e non siano stati alterati all'insaputa dei proprietari. L'applicazione dell'integrità dei dati nei sistemi informativi significa includere le firme digitali dei dati, utilizzare l'hashing crittografico, archiviare i dati in registri immutabili e convalidare i dati durante il loro ciclo di vita.

Disponibilità

La disponibilità aiuta a garantire che gli utenti autorizzati abbiano accesso a tutti i dati di cui hanno bisogno, senza ritardi o interruzioni. Questo principio mira a implementare strategie di backup e ripristino in modo che i dati siano sempre accessibili. Inoltre, la disponibilità implica la protezione dalle interruzioni di terze parti, il monitoraggio dello stato dello storage nei data center e la progettazione della tolleranza ai guasti nell'architettura dei dati.

Non ripudiazione

La non ripudiazione aiuta a garantire che ogni azione intrapresa relativa ai dati venga tracciata, monitorata e registrata. Integrando il concetto di non ripudio nei sistemi di sicurezza delle informazioni, le aziende sviluppano una traccia verificabile dietro ogni dato. Ogni volta che un utente interagisce con le informazioni, le modifica, vi accede o ne approva il movimento o le modifiche, questi fattori vengono tutti registrati in un registro immutabile.

Garanzia delle informazioni

La garanzia delle informazioni è la pratica di proteggere i sistemi informativi assicurando che le operazioni mission critical siano supportate. Si tratta di un principio più ampio che prevede la valutazione e l'adesione a framework di sicurezza come ISO 27001, la gestione attiva di eventuali rischi emergenti, il test regolare dei sistemi di sicurezza e il monitoraggio continuo delle potenziali minacce. 

Un sistema di gestione della sicurezza delle informazioni (ISMS) definisce il modo in cui un'organizzazione gestisce la sicurezza delle informazioni durante l'intero ciclo di vita dei dati. Questo sistema definisce in genere il modo in cui persone, processi e tecnologie lavorano per fornire controlli di sicurezza completi per tutti i sistemi informativi all'interno dell'azienda.

Gli standard e i framework internazionali forniscono una guida descrittiva e prescrittiva per aiutare le organizzazioni con la sicurezza delle informazioni e dei dati, come parte di un programma di conformità. Di seguito forniamo alcuni esempi di standard e framework che l’organizzazione può seguire.

ISO-27001

Lo standard ISO-27001 ruota attorno a quattro temi principali: miglioramenti della sicurezza organizzativa, personale, fisica e tecnologica. Ognuna di queste categorie cerca di migliorare la sicurezza in modo diverso, ad esempio:

• Conduzione di corsi di formazione sulla sicurezza per i dipendenti sul tema delle persone.
• Implementazione di rigide politiche di controllo degli accessi per gli uffici sul tema fisico.
• Implementazione della crittografia per i dati a riposo e in transito sul tema tecnologico.

Ciascuno contribuisce a uno standard più elevato di sicurezza delle informazioni.

• AWS dispone di certificazioni di conformità ai sensi degli standard ISO/IEC 27001:2022. Ciò significa che, internamente, valutiamo sistematicamente i rischi di sicurezza relativi alle informazioni, prendendo in esame l'impatto di minacce e vulnerabilità.
• Progettare e implementare una suite completa di controlli di sicurezza delle informazioni e altre forme di gestione del rischio per far fronte ai rischi di sicurezza aziendali e architetturali.
• Adottiamo una procedura di gestione completa che aiuta ad accertare la conformità dei controlli di sicurezza delle informazioni alle esigenze in modo regolare.

PCI-DSS

PCI-DSS è un altro standard ampiamente utilizzato che aiuta a garantire che qualsiasi pagamento con carta, inclusa l'archiviazione, la trasmissione e l'elaborazione dei dati finanziari, avvenga in modo sicuro. Tutte le entità che archiviano, elaborano o trasmettono dati relativi ai titolari di carte di credito (CHD) o dati sensibili di autenticazione (SAD), tra cui esercenti, entità incaricate dell'elaborazione dei dati, acquirenti, autorità emittenti e fornitori di servizi, devono certificarsi secondo lo standard PCI-DSS.

È possibile consultare l' elenco dei servizi AWS nell'ambito attuale del PCI DSS.

HIPAA/HITECH

La HIPAA (Health Insurance Portability and Accountability Act) è una legge federale degli Stati Uniti che aiuta a garantire la protezione delle informazioni sanitarie personali (PHI), per la riservatezza dei dati e per prevenire la divulgazione non autorizzata. L'HIPAA è applicabile alle “entità coperte” (piani sanitari, centri di compensazione sanitaria e fornitori di assistenza sanitaria che trasmettono informazioni sanitarie elettronicamente) e ai loro soci.

È possibile consultare l' elenco dei servizi AWS nell'ambito attuale dell'HIPAA.

FedRAMP

Il FedRAMP (Federal Risk and Authorization Management Program), è un programma federale statunitense che propone un approccio standardizzato a valutazioni di sicurezza, assegnazione di autorizzazioni e monitoraggio continuo nell'ambito dei servizi e prodotti cloud, utilizzati dalle agenzie federali.

È possibile consultare l' elenco dei servizi AWS nell'ambito attuale di FedRAMP.

GDPR

Il GDPR (Regolamento generale sulla protezione dei dati) è un quadro giuridico dell'UE che protegge i dati dei residenti dell'UE. Si tratta di uno standard globale, in quanto qualsiasi azienda che desideri interagire con i clienti dell'UE in qualsiasi modo deve rispettare il GDPR. Il GDPR mira a promuovere la riduzione al minimo dei dati, contribuire a garantire una base legale per la raccolta dei dati e fornire agli utenti il diritto di richiedere la cancellazione dei propri dati.

I clienti AWS possono utilizzare tutti i servizi AWS per elaborare i dati personali (come definiti nel GDPR) caricati nei servizi AWS nei loro account AWS (dati cliente) in conformità con il GDPR.

FIPS 140-3

FIPS 140-3 è un modulo crittografico che tutte le agenzie statunitensi che operano in ambito federale devono utilizzare. Questo standard fa parte del FedRAMP e richiede alle aziende di utilizzare un'ampia gamma di misure di protezione e prevenzione.

AWS fornisce un'ampia gamma di endpoint FIPS per servizio.

Esistono diverse categorie principali di programmi di sicurezza delle informazioni che collaborano per proteggere carichi di lavoro e applicazioni.

Protezione dei dati

La protezione dei dati si riferisce a tutti i servizi che aiutano a proteggere le informazioni sensibili, gli account e i carichi di lavoro da accessi non autorizzati. I principali servizi di protezione dei dati includono la crittografia dei dati in transito e in archiviazione, la gestione delle chiavi e il ripristino dei dati sensibili.

Protezione di reti e applicazioni

Le tecnologie di protezione della rete e delle applicazioni si riferiscono a qualsiasi strategia e policy implementata dall'azienda nei punti di controllo della sicurezza della rete. Queste tecnologie aiutano a identificare il traffico in entrata, filtrarlo e impedire che connessioni non autorizzate accedano alla rete. Le tecnologie principali includono firewall, VPN, rilevamento degli endpoint e altri limiti a livello di applicazione che migliorano la sicurezza della rete.

Identity and Access Management

Gli strumenti di sicurezza Identity and access management (IAM) consentono all'azienda di gestire i controlli degli accessi, assegnare livelli di autorizzazione e determinare quali account possono accedere ai dati sensibili. I controlli di identità aiutano a determinare il livello di accesso di determinati account e con cosa tale livello di accesso consente loro di visualizzare e interagire. Riguarda sia i controlli a livello di dati che i sistemi di privilegi degli account.

Conformità e auditing

La conformità e l'auditing si riferiscono alla capacità di seguire le best practice, monitorare l'ambiente e contribuire a garantire il rispetto degli standard di conformità in tutta l'organizzazione. A seconda del settore in cui opera l’azienda, gli standard esatti da verificare e rispettare varieranno.

Controlli di sicurezza fisica

I controlli di sicurezza fisica rappresentano un'altra forma di controllo degli accessi che riguarda uffici fisici, server e spazi aziendali. Implicano la progettazione sicura del sito, la pianificazione della disponibilità e l'implementazione di politiche di accesso fisico. La sicurezza fisica e ambientale si estende anche al monitoraggio degli accessi, alla registrazione dei movimenti e alla garanzia che venga mantenuta una traccia di dati che le aziende possano controllare. 

Quando un'azienda utilizza i servizi cloud, la sicurezza e la conformità diventano una responsabilità condivisa tra il fornitore di servizi cloud e l'azienda. Tale doppia responsabilità è nota come modello di responsabilità condivisa e si riferisce ai rispettivi compiti che ciascuna parte deve svolgere per contribuire a garantire la sicurezza del cloud.

Il cliente si assume la responsabilità, tra le altre attività, della gestione dei dati del cliente, della piattaforma, delle applicazioni, della gestione delle identità e degli accessi, della crittografia dei dati dei clienti e della configurazione della rete. Il provider cloud è responsabile di qualsiasi infrastruttura che esegue qualsiasi servizio all'interno del cloud, come hardware, software o rete gestita dal provider cloud.

La natura specifica della responsabilità condivisa dipenderà dal provider di servizi cloud con cui un'azienda sceglie di collaborare. La divisione di tale responsabilità è comunemente intesa come sicurezza “del” cloud rispetto alla sicurezza “sul” cloud.

Per AWS, la sicurezza è una priorità assoluta. AWS è progettato per essere l'infrastruttura cloud globale più sicura su cui creare, migrare e gestire applicazioni e carichi di lavoro. Ciò è supportato dalla fiducia dei nostri milioni di clienti, incluse le organizzazioni più attente alla sicurezza, come quelle del settore pubblico, sanitario e finanziario.

La sicurezza è una responsabilità condivisa tra AWS e il cliente. Questo modello condiviso può aiutare ad alleviare il fardello operativo del cliente in quanto AWS aziona, gestisce e controlla i componenti dal sistema operativo host e il livello di virtualizzazione fino alla sicurezza fisica delle strutture in cui il servizio opera. Supportiamo un'ampia gamma di standard di sicurezza e certificazioni di conformità, tra cui PCI-DSS, HIPAA/HITECH, FedRAMP, GDPR e FIPS 140-3, aiutando i clienti a soddisfare i requisiti di conformità in tutto il mondo. Forniamo inoltre il pieno controllo sui dati, consentendo di determinare come vengono utilizzati i dati, chi ha accesso ad essi e come vengono crittografati.

I servizi di sicurezza AWS possono supportare ulteriormente le iniziative di sicurezza delle informazioni sul cloud. Ad esempio:

• I servizi di audit e configurazione AWS offrono una visione completa dello stato di conformità e monitorano continuamente l’ambiente.
• Servizi quali AWS Identity and Access Management (IAM), consentono di gestire in sicurezza l'accesso ai servizi e alle risorse AWS. AWS CloudTrail e Amazon Macie consentono conformità, rilevamento e verifica, mentre altri come AWS CloudHSM e AWS Key Management Service (KMS) permettono di generare e gestire in modo sicuro le chiavi di crittografia. AWS Control Tower offre governance e controlli per la residenza dei dati.
• I servizi di rilevamento e risposta di AWS aiutano a migliorare il livello di sicurezza e a semplificare le operazioni di sicurezza nell'intero ambiente AWS.
• I servizi AWS Identity permettono di gestire identità, risorse e permessi in modo sicuro e su vasta scala.
• I servizi di protezione di reti e applicazioni AWS consentono di applicare le policy di sicurezza granulare a punti di controllo della rete in tutta l'organizzazione.

Inizia a usare la sicurezza delle informazioni su AWS creando un account gratuito oggi stesso.