Alla luce delle nuove richieste normative introdotte con il General Data Protection Regulation (GDPR) si sente sempre più parlare di crittografia in azienda, anche perché le realtà produttive si stanno rendendo conto di poter trarre grandi benefici dalle potenzialità della cifratura e dalla sua adozione nell’ambito dei processi di trattamento del dato.
Ricordiamo, infatti, che in sicurezza informatica la crittografia è uno strumento fondamentale che viene utilizzato non solamente per proteggere i dati, archiviati o in transito, da accessi non autorizzati o occhi indiscreti, ma anche e soprattutto da divulgazioni accidentali che potrebbero avvenire per imperizia degli utenti che trattano le informazioni, furto, smarrimento dei device o altro evento infausto.
E se, genericamente, si pensa che la cifratura sia un argomento complesso e inavvicinabile dai neofiti, molto si può fare con un po’ di chiarezza di base, come quella offerta da CyberSecurity360 nell’articolo Crittografia per le aziende, protette e compliant al Gdpr: ecco come, che dettaglia le differenti tipologie e contesti di applicazione dei differenti algoritmi all’interno della vita aziendale.
In particolar modo, molteplici sono gli utilizzi possibili che alle volte vengono dimenticati per le tecnologie crittografiche.
Forse primo tra tutti abbiamo il problema delle comunicazioni (sicure) anche via Web e interfacce (protocollo HTTP) che usiamo tutti i giorni, in cui l’applicazione di implementazioni di tecnologie TLS (e quindi del protocollo “gemello” ma cifrato HTTPS) sui portali Web, consente che i dati di dipendenti, collaboratori o utenti in transito non possano venire intercettati da una terza parte in ascolto. In aggiunta a questi, ovviamente, vi è l’implementazione dei classici sistemi di cifratura del disco per i dispositivi degli utenti in mobilità (o anche solamente che portano i portatili a casa) per device di facile sottrazione quali PC portatili, cellulari e tablet.
Il medesimo meccanismo di cifratura viene sempre più spesso implementato anche a livello dei file sugli archivi aziendali, per scongiurare che una effrazione fisica si “porti via” l’intero patrimonio aziendale o per meglio gestire il lavoro degli amministratori di sistema che restano ciechi verso il contenuto documentale delle macchine che amministrano.
Non manca l’utilizzo per l’implementazione di protocolli o sistemi di comunicazione sicura per lo scambio dei messaggi all’interno dell’universo aziendale, quali ad esempio firma digitale dei messaggi e-mail inviati o chat cifrate, sempre più indispensabili nella vita di tutti i giorni.
E se alle volte una crittografia simmetrica è sufficiente (per la differenza tra crittografia simmetrica e asimmetrica si veda l’articolo Cifratura simmetrica e asimmetrica: definizione e differenze di crittografia dedicato a tale argomento su ZeroUnoWeb, altre volte è necessario sviluppare sistemi a chiave pubblica e privata che consentano, ad esempio, a gruppi di soggetti di ottenere una chiave di decifratura o di revocarne una senza compromettere la cifratura complessiva dei documenti.
Solo il comprendere ed implementare in modo corretto i singoli passaggi come quelli segnalati mette l’azienda e suoi preziosissimi asset produttivi (che tipicamente corrispondono con i dati archiviati e gestiti) al riparo da buona parte dei rischi informatici in modo semplice da implementare e sicuro da buona parte degli attacchi informatici.
A cura di Jusef Khamlichi Consulente senior presso P4I – Partners4Innovation e Gaia Rizzato Trainee Information & Cyber Security presso P4I – Partners4Innovation