We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

Che cos'è la difesa in profondità?

La difesa in profondità, o Defense in Depth, è una strategia che utilizza più misure di sicurezza per proteggere l'integrità delle informazioni. Questo approccio viene usato per gestire la protezione aziendale da tutte le possibili angolazioni, risultando anche intenzionalmente ridondante quando necessario. Se una linea di difesa è compromessa, vengono messi in atto ulteriori livelli di protezione per garantire che le minacce non sfuggano ai controlli. Questo metodo prende in considerazione le vulnerabilità per la sicurezza che inevitabilmente contraddistinguono tecnologia, personale e modalità operative all'interno di una rete.

Le attuali minacce informatiche sono in rapida crescita ed evoluzione. La difesa in profondità è un approccio solido e completo basato sull'uso di una combinazione di strumenti di sicurezza avanzati per proteggere i dati cruciali e bloccare le minacce prima che raggiungano gli endpoint. La protezione degli endpoint, inclusi firewall e antivirus, è ancora un elemento fondamentale per una sicurezza completa; tuttavia, la strategia di difesa in profondità sta prendendo sempre più piede dal momento che, da soli, questi metodi di sicurezza di rete non sono più sufficienti.

Il concetto di difesa in profondità fa un passo avanti nell'ambito della sicurezza informatica prendendo atto dei macro-controlli necessari per una protezione più completa, inclusi gli aspetti fisici, tecnici e amministrativi della rete.

Questi tre controlli costituiscono l'architettura di una strategia di difesa in profondità:

I controlli fisici sono le misure di sicurezza che proteggono i sistemi IT dai danni fisici. Esempi di controlli fisici sono la presenza di addetti alla sicurezza e porte chiuse a chiave.

I controlli tecnici sono i metodi di protezione che tengono al sicuro i sistemi di rete. Tra i controlli tecnici specifici di un'azienda rientra la protezione a livello di hardware, software e rete. Anche le iniziative per la sicurezza informatica, inclusa la sicurezza multilivello, sono riconducibili a questa categoria.

I controlli amministrativi sono i criteri e le procedure messi in atto da un'organizzazione e indirizzati al personale. Formare i dipendenti in modo da assicurarsi che etichettino le informazioni sensibili come "riservate" o conservino i file personali in cartelle appropriate è un esempio di controllo amministrativo.

Storia e origine

La difesa in profondità, come concetto e definizione, nasce come strategia militare basata sull'uso di barricate per rallentare l'avanzata del nemico, in modo da garantire alle truppe il tempo per monitorarne le manovre e mettere a punto una risposta. L'obiettivo di questo metodo era quello di rallentare o ritardare l'invasore invece di passare subito al contrattacco.

Prima che Internet diventasse il fulcro centrale di qualsiasi cosa, quando le aziende facevano affidamento solo sui data center fisici, la sicurezza era garantita da diversi livelli tangibili. La struttura era accessibile solo al personale dotato di badge ed era necessario disporre di un account Active Directory e di un portatile aziendale con autorizzazioni di accesso ai file. Lo scenario peggiore era quando qualcuno del reparto marketing otteneva accidentalmente l'autorizzazione per una cartella del reparto tecnico.

Oggi, tutti i processi aziendali e lavorativi in genere avvengono online e nel cloud. E la difesa in profondità richiede controlli tecnici molto più avanzati per garantire la sicurezza online delle organizzazioni. I provider di servizi cloud più importanti mettono in atto misure di protezione all'avanguardia e processi standardizzati, che tuttavia sono sicuri solo se utenti e dipendenti li rispettano. Spesso gli utenti sono vittime di truffe di phishing e collegamenti dannosi online, che espongono la rete a criminali informatici che vagliano Internet alla ricerca di dati personali da sottrarre. Nel cloud gli utenti non hanno bisogno di un badge o di un dispositivo aziendale specifico per accedere ai file: bastano un paio di clic per lasciare la rete in balia delle minacce in agguato nel World Wide Web.

Falle comuni nelle strategie di sicurezza informatica

  • Il rilevamento di virus o malware richiede troppo tempo
  • Il personale può essere vittima di tattiche di phishing che espongono la rete alle minacce
  • Non vengono applicate patch per le vulnerabilità note e gli aggiornamenti sono ignorati
  • I criteri di protezione non vengono applicati o non sono noti a utenti e dipendenti
  • Criptaggio mancante o scarsamente implementato
  • Mancanza di protezione malware
  • I collaboratori in remoto si connettono a reti non protette esponendo i dati
  • Problemi di sicurezza fisica
  • I partner aziendali o le supply chain non sono sempre sicure

Come funziona la difesa in profondità?

Questa strategia crea una rete più sicura organizzando su diversi livelli e addirittura duplicando determinati metodi di protezione per ridurre al minimo le probabilità di una violazione. Un unico livello di sicurezza non può essere efficace nell'attuale panorama del crimine informatico, intelligente e in rapida evoluzione. Organizzando su più livelli una serie di misure di difesa differenti, come firewall, antivirus, rilevamento delle intrusioni, scansione delle porte, gateway sicuri e molto altro, le aziende sono in grado di colmare le lacune e chiudere le eventuali falle nella sicurezza che si potrebbero presentare se la rete facesse affidamento solo su un livello di protezione. Ad esempio, se il livello di protezione di rete è compromesso da un hacker, la difesa in profondità concede ad amministratori e tecnici altro tempo per distribuire aggiornamenti e contromisure, mentre i livelli dell'antivirus e del firewall entrano in azione per bloccare ulteriori accessi non autorizzati.

Come si rapporta alla sicurezza multilivello??

Nell'ambito delle piccole e medie imprese (PMI), la sicurezza multilivello utilizza una combinazione di più soluzioni per la sicurezza informatica pensate espressamente per ridurre la superficie di attacco di una rete e proteggerla da tutte le possibili angolazioni.

Questo approccio è stato introdotto con la diffusione del mobile working, dei dispositivi IoT e della sempre maggiore dipendenza delle aziende da Internet in generale. I dispositivi endpoint, i servizi cloud e le applicazioni Web oggi detengono la chiave di accesso a dati che per i criminali informatici ormai hanno più valore del denaro. Ai tempi in cui i dati erano custoditi in un edificio chiuso, erano sufficienti uno o al massimo due livelli.

Oggi le superfici di attacco delle PMI sono in rapida crescita, di pari passo con l'introduzione e l'aggiunta di nuovi dispositivi volti a rendere più efficienti i processi operativi. I dati vengono raccolti e archiviati in applicazioni di terze parti o nel cloud e le vie di attacco sono fondamentalmente infinite. Un firewall da solo non è più sufficiente.

La sicurezza multilivello è una parte essenziale dell'aspetto della difesa in profondità inerente ai controlli tecnici. La sicurezza multilivello è focalizzata sulla sicurezza informatica e protegge completamente reti ed endpoint, mentre la difesa in profondità prende atto del fatto che la protezione totale non è realistica, ma rallentare una minaccia finché non costituisce più un pericolo è il modo più efficace per proteggere le aziende. La difesa in profondità offre un livello più elevato di protezione, dal momento che si concentra anche sui controlli amministrativi e fisici che un'organizzazione dovrebbe mettere in atto per stare al sicuro, oltre alla sicurezza informatica.

Di quali livelli ha bisogno una PMI?

Per determinare quali livelli sono necessari, occorre stabilire di quali dati sensibili si dispone, dove si trovano e chi può accedervi. Dispositivi, dati e utenti costituiscono spesso la chiave per valutare i rischi per la sicurezza. Dopo avere identificato i dati o i dispositivi a rischio, è più semplice decidere quali sono i livelli necessari e come si inseriscono nella strategia di protezione complessiva.

Alcuni dei prodotti e servizi di sicurezza riportati di seguito possono sembrare ripetitivi o sono effettivamente già inclusi nelle funzionalità di un altro livello di sicurezza; vengono elencati separatamente perché svolgono una funzione importante di per sé o la loro ripetizione è richiesta per una maggiore protezione.

Livelli di sicurezza informatica consigliati per le PMI

Livelli di base:
Questi prodotti e servizi per la sicurezza informatica sono considerati "di base" per una piccola o media impresa perché proteggono dalle principali minacce che potrebbero rapidamente causare a un'azienda danni alla reputazione, costi e tempi di inattività non necessari.

  • Antivirus
  • Gateway Web Sicuro
  • Gateway Internet Sicuro
  • Firewall
  • Gestione patch
  • Backup e Ripristino

Di pari passo con la crescita della PMI, l'adozione di servizi cloud aggiuntivi e l'espansione dell'offerta, diventano più importanti questi livelli di sicurezza:

  • Autenticazione a due fattori
  • Sistemi IDS (Intrusion Detection System) e IPS (Intrusion Prevention System)
  • Criptaggio*
  • Prevenzione della perdita di dati*
  • Rete VPN (Virtual Private Network)

*a seconda del mercato verticale e in base ai requisiti di conformità