L’approccio detto “Cyber-Security by Design” si basa su un approfondito studio del rischio. La maggior parte delle aziende oggi ha necessità di integrare nuove tecnologie e tenersi continuamente aggiornate; ciò per rimanere competitive nel proprio campo. Tuttavia, la fretta di modernizzare i propri sistemi introduce molteplici vulnerabilità, e possono esporre a un numero crescente di rischi. Tali rischi possono essere sfruttati in molteplici modi. Proprio in questo scenario è importante avere un approccio Cyber-Security by Design. Vediamone insieme i dettagli.
Cyber-Security by Design: cosa vuol dire?
La Cyber-Security by Design può essere spiegata con un semplice esempio: è come quando un architetto progetta i piani di un edificio. Le principali caratteristiche di sicurezza sono presenti fin dall’inizio, sono le fondamenta. I requisiti possono variare da attività in attività. Oppure cambiare nel tempo.
In ogni caso l’obiettivo è sempre lo stesso: dare un grado di protezione adeguato al rischio percepito. Ovviamente, una gioielleria avrà bisogno di più allarmi e porte blindate rispetto a una proprietà residenziale. Per questo motivo è chiave la definizione “by design”, che premette un grado di studio e personalizzazione in base alla singola attività.
L’analisi del rischio è un passaggio essenziale; l’integrazione di una struttura di sicurezza sin dall’inizio è un must. In caso contrario, possono sorgere grossi problemi. Ad esempio, in caso di attacco, le misure di sicurezza che non sono state incorporate in una fase iniziale possono finire per costare 10 o 15 volte di più. Per non parlare poi dei danni alla reputazione che tali attacchi possono causare…
La Cyber-Security by Design aiuta la crescita delle aziende
Associare la cyber-security by design alla protezione dei dati e dei servizi aziendali è un obiettivo principale al giorno d’oggi. La valutazione attenta del rischio, sia fisico che informativo, permette una giusta integrazione delle innovazioni digitali.
L’innovazione digitale comprende la gestione di tutti i nuovi mezzi: dal Cloud, al 5G, fino a Intelligenza Artificiale e IoT. Tutti i passaggi e i processi vengono digitalizzati. Proprio sulla base di questo si impianta la necessità della Cyber-Security by Design.
È impossibile che esista una Cyber-Security by Default – e quindi un piano di sicurezza predefinito. Ogni azienda e infrastruttura ha delle diverse priorità di sicurezza. Ecco allora che un piano by design diventa necessario.
Piuttosto che evitare del tutto il rischio, la Cyber-Security by Design mira a garantire fiducia nei sistemi, nei progetti e nei dati in modo che le organizzazioni possano assumersi maggiori rischi e innovare con sicurezza.
Un esempio: l’Intelligenza Artificiale
Nel campo in costante crescita dell’Intelligenza Artificiale (AI), ad esempio, la necessità di un tale approccio diventa ogni giorno più importante. Nel campo del Machine Learning, le “macchine” hanno a disposizione degli algoritmi per imparare a prevenire i rischi e agire di conseguenza. Eppure, anche algoritmi all’avanguardia possono portare cattivi risultati corrotti se i dati al loro interno vengono manipolati.
Oggi, non viene prestata sufficiente attenzione alla protezione dell’integrità dei dati che alimentano i sistemi di IA. Gli hacker lo sanno e vanno ad attaccare proprio i dati. La maggior parte dei sistemi digitali attualmente in uso sono già a rischio di tali manipolazioni.
Una buona pianificazione riduce di oltre il 95% la superficie di attacco
Sono sette, secondo l’esperto di Cyber-Security Tschersich, le regole da seguire per mantenersi al sicuro.
1. Mantenere la superficie di attacco piccola
La superficie di attacco può essere ridotta al minimo disattivando ciò che è superfluo. Disattivare programmi e componenti software non necessari; se non ci sono, e non servono, non possono essere attaccati.
2. Una giusta autenticazione fa miracoli
Le informazioni riservate e i sistemi informatici dovrebbero essere accessibili solo alle persone preposte. Esclude tutti gli altri minimizza i rischi.
3. Verificare gli ingressi
Ogni input dovrebbe essere controllato accuratamente.
4. Sistemi separati
Dopo un attacco a un sistema, gli hacker spesso cercano di ottenere gradualmente l’accesso ad altri sistemi partendo da lì. I sistemi dovrebbero quindi essere separati gli uni dagli altri. Se il server web, ad esempio, viene violato, l’aggressore è ancora lontano dall’entrare nel database. Questo solo se sono sistemi separati.
5. Crittografare i dati riservati
L’accesso ai sistemi di archiviazione, elaborazione e trasferimento dei dati non è sempre completamente nelle mani dell’azienda stessa. Ad esempio, possono essere trasferiti su servizi cloud. Anche se un utente malintenzionato hackera un sistema, non può accedere a dati crittografati.
6. Aggiornare regolarmente
I sistemi non sono protetti se non sono sempre aggiornati. Questo è l’unico modo per impedire agli aggressori di sfruttare le lacune di sicurezza. Le nuove versioni spesso sono dotate di meccanismi per colmare i problemi di sicurezza identificati nelle versioni precedenti.
7. Testare continuamente la sicurezza
Lo stato di sicurezza dei sistemi e la loro vulnerabilità agli attacchi devono essere continuamente riesaminati mediante controlli di sicurezza. I sistemi sono come esseri viventi e continuano ad evolversi. In questo modo, si scoprono nuove debolezze.
CNS – Cyber-Security by Design
Grazie all’esperienza maturata nel tempo, CNS è in grado di realizzare sistemi sicuri partendo proprio dalla fase di progettazione: la sicurezza, quindi, non è un requisito che si aggiunge nel tempo, bensì un elemento da considerare sin dalla fase di design.
In particolare, CNS considera i requisiti di sicurezza logica e fisica come un tutt’uno, realizzando cyber-physical systems sicuri ed affidabili. Dal sistema di comunicazione cablato a quello senza fili, dai singoli componenti informatici al sistema di controllo accessi, tutto viene tenuto in considerazione per creare un sistema intrinsecamente sicuro.