DOMANDA
Sempre più si sente parlare di crittografia per la sicurezza aziendale, ma come capire quando è necessaria?
RISPOSTA
La cifratura dei dati e dei supporti è il meccanismo tramite il quale si è spesso in grado di rispondere ai seguenti bisogni:
- riservatezza delle informazioni in transito;
- riservatezza delle informazioni archiviate;
- limitazione dei danni in caso di fuga di dati per imperizia o effrazione digitale;
- certezza delle comunicazioni.
La cifratura nelle aziende si declina nei seguenti ambiti:
- cifratura delle comunicazioni in transito: necessaria per qualsiasi tipo di dato trasferito, sia esso una comunicazione punto-punto, con un server web o un’e-mail;
- cifratura del dato e cifratura del supporto/volume di archiviazione dati: in grado di garantire che l’accesso a determinate informazioni sia possibile solamente ad utenti autorizzati. In caso di furto di dati o di elaboratori, le informazioni contenute sugli stessi non sono accessibili all’attaccante;
- non repudiation: la certezza delle comunicazioni e la non repudiation possono essere ottenute tramite la firma digitale, uno strumento utilizzato per dimostrare l’autenticità di un messaggio quando esso transita su un canale non sicuro e potrebbe quindi essere oggetto di compromissione o modifiche da parte di attaccanti. Una firma digitale valida è in grado di garantire l’identità del mittente, fornendo quindi la certezza di chi ha inviato (autenticazione) ed il fatto che egli non possa negare di aver spedito tale messaggio (non repudiation) e che il messaggio sia ricevuto esattamente come è stato spedito (integrità).
Gli step da intraprendere per mettere l’azienda ed i suoi asset produttivi al riparo da moltissimi attacchi informatici devono seguire il corretto completamento dei seguenti passaggi:
- implementazione di tecnologie: TLS in primis (e quindi del protocollo HTTPS) sui portali Web, in modo che i dati di dipendenti, collaboratori o utenti in transito non possano venire intercettati in chiaro;
- implementazione di sistemi di cifratura del disco per i dispositivi dei road warrior, quali PC portatili, cellulari e tablet;
- implementazione di sistema di cifratura dei file sugli archivi aziendali;
- implementazione di protocolli o sistemi di comunicazione sicura per lo scambio dei messaggi all’interno dell’universo aziendale, quali ad esempio firma digitale dei messaggi e-mail inviati.
Essendo un argomento ricco, e meritorio di una più attenta analisi difficilmente completabile in queste poche righe, il consiglio è leggere l’approfondimento sul tema trattato nell’articolo Crittografia per le aziende, protette e compliant al Gdpr: ecco come.
Mandate i vostri quesiti ai nostri esperti
Quesiti legal: espertolegal@cybersecurity360.it
Quesiti tecnologici: espertotech@cybersecurity360.it
