Pubblicato il di

In che modo ISO 27001 può aumentare la sicurezza del cloud

Le organizzazioni utilizzano sempre di più i servizi Cloud.  Secondo un recente sondaggio , il 92% delle organizzazioni ne utilizza più di uno, in media 2,6 cloud negli enti pubblici e 2,7 nelle aziende private.

I principali vantaggi del cloud sono  una maggiore accessibilità all’automazione e una superiore sincronizzazione dei dati e delle informazioni.

Tuttavia, molte persone credono che l’utilizzo di un provider di archiviazione cloud aumenti la sicurezza informatica. Ciò è vero in parte.

Infatti  le informazioni archiviate nel Cloud sono  conservate in un luogo fisico e, se sono accessibili a te, significa che potrebbero essere accessibili anche ai criminali informatici.

Per proteggere veramente i dati archiviati nel Cloud, devi prendere le stesse precauzioni che avresti con le informazioni conservate altrove. Ciò significa implementare controlli adeguati basati sul quadro delineato nella ISO 27001 , lo standard internazionale che descrive le migliori pratiche per un SGSI  (sistema di gestione della sicurezza delle informazioni).

In questo articolo, esaminiamo tre modi in cui ISO 27001 può aiutare a proteggere le informazioni archiviate nel cloud.

Programma antivirus
Il Cloud, come qualsiasi database accessibile tramite Internet, è suscettibile agli attacchi di malware.

Questi possono presentarsi in qualsiasi forma, inclusi worm, adware, keylogger e ransomware. L’unico modo per rilevarli costantemente è con la tecnologia antivirus e anti-malware.

L’allegato A.12.2 della ISO 27001 riguarda la prevenzione del malware e l’ovvio punto di partenza è il software antimalware.

Questi sono alcuni degli strumenti di sicurezza informatica più comuni sul mercato, quindi non dovresti avere problemi a trovare un pacchetto adatto. Aziende come  Norton, Bitdefender e Kaspersky offrono tutti servizi, differenziandosi attraverso funzionalità aggiuntive.

Bitdefender, ad esempio, si distingue per la sua capacità di rilevare i ransomware, mentre F-Secure è uno dei pochi servizi utilizzabili sui dispositivi Apple.

Consapevolezza del personale
E’ più importante la prevenzione del malware che rilevarne le minacce. L’allegato A.12.2 indica ulteriori azioni che le organizzazioni possono intraprendere per garantire che le vulnerabilità siano affrontate tempestivamente e che i dipendenti non commettano errori che potrebbero consentire al malware di entrare nei sistemi dell’organizzazione.

Un modo per farlo è implementare un programma di patch di vulnerabilità per garantire che gli aggiornamenti vengano applicati tempestivamente.

Le organizzazioni dovrebbero anche testare l’efficacia di tali patch per garantire la disponibilità continua e l’integrità delle informazioni, riducendo al minimo le incompatibilità.

La formazione alla sensibilizzazione del personale gioca un ruolo cruciale in questo processo. I dipendenti dovrebbero essere istruiti sull’importanza della gestione delle patch e ricevere linee guida sui passaggi da seguire.

Inoltre, consideriamo che l’infezione da malware avviene più comunemente tramite e-mail di phishing. Pertanto, le organizzazioni dovrebbero condurre una formazione regolare di sensibilizzazione del personale per aiutare i dipendenti a individuare le e-mail sospette e segnalarle tempestivamente.

Backup delle informazioni
Un altro controllo che aiuta con la sicurezza del Cloud può essere trovato nell’allegato A.12.3, dove viene indicato che le organizzazioni dovrebbero eseguire il backup delle informazioni sensibili .

Le organizzazioni spesso pensano erroneamente che il Cloud stesso sia un backup, perché sarà al sicuro nel caso in cui accada qualcosa ai server di proprietà dell’organizzazione.

Tuttavia, anche i server cloud sono vulnerabili alle compromissioni, quindi le organizzazioni devono conservare copie delle informazioni preziose in più posizioni.

I regimi di backup dovrebbero essere progettati in base ai requisiti di ciascuna organizzazione e in funzione dei livelli di rischio relativi alla disponibilità delle informazioni. Le organizzazioni dovrebbero anche testare regolarmente i loro backup per assicurarsi che le informazioni possano essere ripristinate completamente e senza danneggiamenti.

Lavoro a distanza
Lo sviluppo del lavoro a distanza in seguito  alla pandemia è una delle principali cause dell’aumento dello spazio di archiviazione nel cloud. Con dipendenti sparsi in tutto il paese, o in alcuni casi in tutto il mondo, le organizzazioni hanno bisogno di una posizione centrale che consenta ai dipendenti di accedere alle informazioni.

Tuttavia, il lavoro a distanza introduce rischi per la sicurezza legati all’accesso alle informazioni. L’allegato A.6.2.2 della ISO 27001 contiene linee guida per affrontare questi rischi, concentrandosi sui dispositivi mobili e sul telelavoro.

Creando politiche intorno a queste tematiche, le organizzazioni possono impostare regole per chi può accedere, archiviare ed elaborare le informazioni nel cloud mentre lavora in remoto.

La maggior parte delle organizzazioni dovrebbe avere controlli di accesso sui propri sistemi interni per garantire che le informazioni siano visibili solo a determinati membri del personale. In questo modo si riduce il rischio di minacce interne e si attenua il danno nel caso in cui un criminale informatico comprometta l’account di un dipendente.

Misure simili devono essere applicate ai sistemi Cloud. A volte si tratta di un semplice accesso limitato ai database cloud, ma potresti scoprire che ci sono informazioni all’interno di quei sistemi che devono essere ulteriormente limitate.

Fonte: it.governance.eu – Luke Irwin

Share