Magic Quadrant™ per la gestione degli accessi privilegiati 2025: Netwrix riconosciuta per il quarto anno consecutivo. Scarica il report.

ContattaciSupportoCommunity
English Español Italiano Français Deutsch Português
Piattaforma
Soluzioni

Data Security Posture Management

Scopri e classifica i dati in ambienti ibridi. Valuta, dai priorità e mitiga i rischi per i dati sensibili.

Directory Management

Semplifica e proteggi l'amministrazione delle directory riducendo complessità, rischio e sforzo manuale.

Endpoint Management

Proteggi gli endpoint e previeni la perdita di dati mantenendo produttivi i team, indipendentemente da dove lavorano.

Identity Management

Proteggi ogni identità, semplifica ogni processo e mantieniti in anticipo sulla conformità — senza aggiungere complessità.

Identity Threat Detection & Response

Rimani un passo avanti alle minacce basate sull'identità — rimedia proattivamente ai rischi, blocca gli attacchi e assicura un recupero rapido.

Privileged Access Management

Riduci la superficie di attacco eliminando i privilegi permanenti, bloccando le credenziali e monitorando le sessioni privilegiate.
Prodotti in evidenza Vedi tutti i prodotti
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La piattaforma Netwrix 1Secure™

Esplora
Netwrix AI Ambienti che proteggiamo Integrazioni MSPs Rischi per la sicurezza di Active Directory Conformità Prezzi
Centro Risorse Vedi tutto
BlogCatalogo degli AttacchiConformitàStorie dei clientiFramework di cybersecurityGlossario di CybersecurityEventiFreewareGuideIdeas PortalNotiziePodcastPubblicazioniAnnunci dei ProdottiRicercaWebinar
Asset not found

Storia di successo in primo piano

DXC Technology consente ai clienti di ottenere la conformità PCI DSS e di concentrarsi su iniziative strategiche
Partner
Partner ProgramDiventa un PartnerMSPsTrova partnerWebinar
Asset not found

Storia in primo piano di un cliente

AppRiver migliora il controllo su Active Directory riducendo notevolmente il tempo di auditing
Asset not found

Storia in primo piano di un cliente

MSP aiuta il cliente a riprendersi dal ransomware in 6 ore
Perché Netwrix
Chi siamoLeadershipNetwrix AICasi di successoRiconoscimentiNotizieLavora con noi
Asset not found

Storia in primo piano di un cliente

Horizon Leisure Centres accelera la classificazione dei dati per conformarsi al GDPR e risparmia £80.000 all’anno
Asset not found

Storia in primo piano di un cliente

Samsung R&D Institute protegge i dati con l'utilizzo multipiattaforma e il rapido dispiegamento su macOS usando Netwrix Endpoint Protector
Centro risorseBlog
Il Triangolo CIA e la sua applicazione nel mondo reale

Il Triangolo CIA e la sua applicazione nel mondo reale

Mar 26, 2019

Cos'è il triade CIA?

La sicurezza delle informazioni ruota attorno ai tre principi fondamentali: confidenzialità, integrità e disponibilità (CIA). A seconda dell'ambiente, dell'applicazione, del contesto o del caso d'uso, uno di questi principi potrebbe essere più importante degli altri. Ad esempio, per un'agenzia finanziaria, la confidenzialità delle informazioni è di massima importanza, quindi è probabile che cripti qualsiasi documento classificato che venga trasferito elettronicamente al fine di impedire a persone non autorizzate di leggerne il contenuto. D'altra parte, organizzazioni come i marketplace su internet subirebbero gravi danni se la loro rete fosse fuori servizio per un periodo prolungato, quindi potrebbero concentrarsi su strategie per garantire un'elevata disponibilità piuttosto che preoccuparsi di dati criptati.

Riservatezza

La riservatezza si occupa di prevenire l'accesso non autorizzato a informazioni sensibili. L'accesso potrebbe essere intenzionale, come nel caso di un intruso che penetra nella rete e legge le informazioni, oppure potrebbe essere non intenzionale, a causa della negligenza o incompetenza degli individui che gestiscono le informazioni. I due principali metodi per garantire la riservatezza sono la crittografia e il controllo degli accessi.

Contenuti correlati selezionati

Crittografia

La crittografia aiuta le organizzazioni a soddisfare la necessità di proteggere le informazioni sia dalla divulgazione accidentale che dai tentativi di attacco interni ed esterni. L'efficacia di un sistema crittografico nel prevenire la decrittazione non autorizzata è definita come la sua forza. Un sistema crittografico forte è difficile da decifrare. La forza può anche essere espressa come fattore di lavoro, che è una stima del tempo e dello sforzo necessari per rompere un sistema.

Un sistema è considerato debole se permette chiavi deboli, presenta difetti nella sua progettazione o è facilmente decifrabile. Molti sistemi disponibili oggi sono più che adeguati per l'uso aziendale e personale, ma sono inadeguati per applicazioni militari o governative sensibili. La crittografia dispone di algoritmi simmetrici e asimmetrici.

Algoritmi simmetrici

Gli algoritmi simmetrici richiedono che sia il mittente sia il destinatario di un messaggio criptato dispongano della stessa chiave e degli stessi algoritmi di elaborazione. Gli algoritmi simmetrici generano una chiave simmetrica (talvolta chiamata chiave segreta o chiave privata) che deve essere protetta; se la chiave viene persa o rubata, la sicurezza del sistema è compromessa. Ecco alcuni degli standard comuni per gli algoritmi simmetrici:

  • Standard di Crittografia dei Dati (DES). DES è stato utilizzato dalla metà degli anni '70. Per anni, è stato lo standard principale utilizzato nel governo e nell'industria, ma ora è considerato insicuro a causa della sua piccola dimensione della chiave — genera una chiave di 64 bit, ma otto di questi bit sono solo per la correzione degli errori e solo 56 bit sono la chiave effettiva. Ora AES è lo standard primario.
  • Triple-DES (3DES). 3DES è un miglioramento tecnologico del DES. 3DES è ancora utilizzato, anche se AES è la scelta preferita per le applicazioni governative. 3DES è considerevolmente più difficile da violare rispetto a molti altri sistemi ed è più sicuro del DES. Aumenta la lunghezza della chiave a 168 bit (utilizzando tre chiavi DES da 56 bit).
  • Standard di Crittografia Avanzata (AES). AES ha sostituito DES come standard utilizzato dalle agenzie governative statunitensi. Utilizza l'algoritmo Rijndael, che prende il nome dai suoi sviluppatori, Joan Daemen e Vincent Rijmen. AES supporta dimensioni di chiave di 128, 192 e 256 bit, essendo 128 bit il valore predefinito.
  • Il Cifrario di Ron o Codice di Ron (RC). RC è una famiglia di crittografia prodotta dai laboratori RSA e prende il nome dal suo autore, Ron Rivest. I livelli attuali sono RC4, RC5 e RC6. RC5 utilizza una dimensione della chiave fino a 2.048 bit; è considerato un sistema forte. RC4 è popolare con la crittografia wireless e WEP/WPA. È un cifrario a flusso che lavora con dimensioni della chiave tra 40 e 2.048 bit, ed è utilizzato in SSL e TLS. È anche popolare con i programmi di utilità; lo usano per scaricare file torrent. Molti fornitori limitano il download di tali file, ma utilizzare RC4 per offuscare l'intestazione e il flusso rende più difficile per il fornitore di servizi accorgersi che si tratta di file torrent in movimento.
  • Blowfish e Twofish. Blowfish è un sistema di crittografia inventato da un team guidato da Bruce Schneier che esegue una cifratura a blocchi di 64 bit a velocità molto elevate. Si tratta di un cifrario a blocchi simmetrico che può utilizzare chiavi di lunghezza variabile (da 32 bit a 448 bit). Twofish è piuttosto simile ma lavora su blocchi di 128 bit. La sua caratteristica distintiva è che ha una programmazione delle chiavi complessa.
  • Algoritmo Internazionale di Crittografia dei Dati (IDEA). IDEA è stato sviluppato da un consorzio svizzero e utilizza una chiave a 128 bit. Questo prodotto è simile in velocità e capacità al DES, ma è più sicuro. IDEA è utilizzato in Pretty Good Privacy (PGP), un sistema di crittografia del dominio pubblico che molte persone usano per le email.
  • Blocchi monouso. I blocchi monouso sono le uniche implementazioni crittografiche veramente completamente sicure. Sono così sicuri per due motivi. Primo, utilizzano una chiave lunga quanto il messaggio in chiaro. Questo significa che non c'è un modello nell'applicazione della chiave che un attaccante possa utilizzare. Secondo, le chiavi dei blocchi monouso vengono utilizzate una sola volta e poi scartate. Quindi anche se si riuscisse a rompere una cifratura con blocco monouso, la stessa chiave non verrebbe mai più utilizzata, quindi la conoscenza della chiave sarebbe inutile.

Algoritmi asimmetrici

Gli algoritmi asimmetrici utilizzano due chiavi: una chiave pubblica e una chiave privata. Il mittente utilizza la chiave pubblica per criptare un messaggio e il destinatario utilizza la chiave privata per decriptarlo. La chiave pubblica può essere veramente pubblica oppure può essere un segreto tra le due parti. La chiave privata, tuttavia, è mantenuta privata; solo il proprietario (destinatario) la conosce. Se qualcuno vuole inviarti un messaggio criptato, può utilizzare la tua chiave pubblica per criptare il messaggio e poi inviartelo. Puoi utilizzare la tua chiave privata per decriptare il messaggio. Se entrambe le chiavi diventano disponibili a una terza parte, il sistema di criptazione non proteggerà la privacy del messaggio. La vera “magia” di questi sistemi è che la chiave pubblica non può essere utilizzata per decriptare un messaggio. Se Bob invia ad Alice un messaggio criptato con la chiave pubblica di Alice, non importa se tutti gli altri sul pianeta hanno la chiave pubblica di Alice, poiché quella chiave non può decriptare il messaggio. Ecco alcuni degli standard comuni per gli algoritmi asimmetrici:

  • RSA. RSA prende il nome dai suoi inventori, Ron Rivest, Adi Shamir e Leonard Adleman. L'algoritmo RSA è uno dei primi sistemi di crittografia a chiave pubblica che utilizza grandi numeri interi come base per il processo. È ampiamente implementato ed è diventato uno standard de facto. RSA funziona sia con la crittografia che con le firme digitali. RSA è utilizzato in molti ambienti, inclusi Secure Sockets Layer (SSL), e può essere utilizzato per lo key exchange.
  • Diffie-Hellman. Whitfield Diffie e Martin Hellman sono considerati i fondatori del concetto di chiave pubblica/privata. Il loro algoritmo Diffie-Hellman è utilizzato principalmente per generare una chiave segreta condivisa attraverso reti pubbliche. Il processo non è utilizzato per cifrare o decifrare messaggi; è utilizzato solamente per la creazione di una chiave simmetrica tra due parti.
  • Crittografia a Curve Ellittiche (ECC). ECC offre funzionalità simili a RSA ma utilizza dimensioni di chiave più piccole per ottenere lo stesso livello di sicurezza. I sistemi di crittografia ECC si basano sull'idea di utilizzare punti su una curva combinati con un punto all'infinito e la difficoltà di risolvere i problemi di logaritmo discreto.

Controllo degli accessi

La crittografia è un metodo per garantire la riservatezza; un secondo metodo è il controllo degli accessi. Esistono diversi approcci al controllo degli accessi che aiutano con la riservatezza, ognuno con i propri punti di forza e debolezze:

  • Controllo obbligatorio degli accessi (MAC). In un ambiente MAC, tutte le capacità di accesso sono predefinite. Gli utenti non possono condividere informazioni a meno che i loro diritti di condivisione siano stabiliti dagli amministratori. Di conseguenza, gli amministratori devono apportare qualsiasi modifica che debba essere fatta a tali diritti. Questo processo impone un modello di sicurezza rigido. Tuttavia, è anche considerato il modello di cybersecurity più sicuro.
  • Controllo degli Accessi Discrezionale (DAC). In un modello DAC, gli utenti possono condividere informazioni dinamicamente con altri utenti. Il metodo consente un ambiente più flessibile, ma aumenta il rischio di divulgazione non autorizzata delle informazioni. Gli amministratori hanno più difficoltà a garantire che solo gli utenti appropriati possano accedere ai dati.
  • Controllo degli Accessi Basato sui Ruoli (RBAC). Il controllo degli accessi basato sui ruoli implementa un accesso basato sulla funzione lavorativa o responsabilità. Ogni dipendente ha uno o più ruoli che consentono l'accesso a informazioni specifiche. Se una persona passa da un ruolo all'altro, l'accesso per il ruolo precedente non sarà più disponibile. I modelli RBAC offrono maggiore flessibilità rispetto al modello MAC e meno flessibilità rispetto al modello DAC. Tuttavia, hanno il vantaggio di essere strettamente basati sulla funzione lavorativa piuttosto che sulle esigenze individuali.
  • Controllo degli accessi basato su regole (RBAC). Il controllo degli accessi basato su regole utilizza le impostazioni nelle politiche di sicurezza preconfigurate per prendere decisioni sull'accesso. Queste regole possono essere impostate per:
    • Nega l'accesso a tutti tranne a coloro che compaiono specificamente in un elenco (una lista di accesso consentito)
    • Nega l'accesso solo a coloro che appaiono specificatamente nell'elenco (una vera lista di negazione accesso)

Le voci nell'elenco possono essere nomi utente, indirizzi IP, nomi host o addirittura domini. I modelli basati su regole sono spesso utilizzati insieme ai modelli basati sui ruoli per ottenere la migliore combinazione di sicurezza e flessibilità.

  • Controllo degli accessi basato sugli attributi (ABAC). ABAC è un metodo relativamente nuovo per il controllo degli accessi definito in NIST 800-162, Definizione e Considerazioni del Controllo Basato sugli Attributi. Si tratta di una metodologia di controllo degli accessi logici dove l'autorizzazione a eseguire un insieme di operazioni è determinata valutando attributi associati al soggetto, all'oggetto, alle operazioni richieste e, in alcuni casi, alle condizioni ambientali rispetto alla security policy, regole o relazioni che descrivono le operazioni consentite per un dato insieme di attributi.
  • Le smart card sono generalmente utilizzate per il controllo degli accessi e per scopi di sicurezza. La carta stessa contiene solitamente una piccola quantità di memoria che può essere utilizzata per memorizzare permessi e informazioni di accesso.
  • Un token di sicurezza era originariamente un dispositivo hardware necessario per ottenere l'accesso, come una chiave wireless o un portachiavi elettronico. Ora esistono anche implementazioni software di token. I token spesso contengono un certificato digitale che viene utilizzato per autenticare l'utente.

Integrità

L'integrità ha tre obiettivi che aiutano a raggiungere la Data Security:

  • Prevenire la modifica delle informazioni da parte di utenti non autorizzati
  • Prevenire la modifica non autorizzata o involontaria delle informazioni da parte degli utenti autorizzati
  • Preservare la coerenza interna ed esterna:
    • Coerenza interna — Garantisce che i dati siano coerenti internamente. Ad esempio, in un database organizzativo, il numero totale di oggetti posseduti da un'organizzazione deve essere uguale alla somma degli stessi oggetti mostrati nel database come detenuti da ciascun elemento dell'organizzazione.
    • Consistenza esterna — Garantisce che i dati memorizzati nel database siano coerenti con il mondo reale. Ad esempio, il numero totale di articoli fisicamente presenti sullo scaffale deve corrispondere al numero totale di articoli indicato dal database.

Vari metodi di crittografia possono aiutare a garantire l'integrità fornendo l'assicurazione che un messaggio non sia stato modificato durante la trasmissione. Una modifica potrebbe rendere un messaggio incomprensibile o, ancora peggio, inaccurato. Immagina le gravi conseguenze se le alterazioni ai record medici o alle prescrizioni dei farmaci non venissero scoperte. Se un messaggio viene manomesso, il sistema di crittografia dovrebbe avere un meccanismo per indicare che il messaggio è stato corrotto o alterato.

Hashing

Anche l'integrità può essere verificata utilizzando un algoritmo di hashing. Fondamentalmente, viene generato un hash del messaggio e aggiunto alla fine dello stesso. La parte ricevente calcola l'hash del messaggio ricevuto e lo confronta con l'hash ricevuto. Se qualcosa è cambiato durante il transito, gli hash non corrisponderanno.

L'hashing è un controllo di integrità accettabile in molte situazioni. Tuttavia, se una parte intercettante desidera modificare intenzionalmente un messaggio e il messaggio non è criptato, allora un hash risulta inefficace. La parte intercettante può vedere, ad esempio, che al messaggio è allegato un hash di 160 bit, il che suggerisce che è stato generato utilizzando SHA-1 (che viene discusso di seguito). Quindi l'intercettore può semplicemente modificare il messaggio come desidera, eliminare l'hash SHA-1 originale e ricalcolare un hash dal messaggio modificato.

Algoritmi di hashing

Gli hash utilizzati per memorizzare i dati sono molto diversi dagli hash crittografici. In crittografia, una funzione hash deve avere tre caratteristiche:

  1. Deve essere unidirezionale. Una volta che hai fatto l'hash di qualcosa, non puoi più decriptarlo.
  2. L'input di lunghezza variabile produce un output di lunghezza fissa. Che tu faccia l'hash di due caratteri o di due milioni, la dimensione dell'hash è la stessa.
  3. L'algoritmo deve avere poche o nessuna collisione. L'hashing di due input diversi non fornisce lo stesso output.

Ecco alcuni algoritmi di hashing e concetti correlati con cui dovresti essere familiare:

  • Algoritmo di Hash Sicuro (SHA). Originariamente chiamato Keccak, lo SHA è stato progettato da Guido Bertoni, Joan Daemen, Michaël Peeters e Gilles Van Assche. SHA-1 è un hash unidirezionale che fornisce un valore di hash di 160 bit che può essere utilizzato con un protocollo di crittografia. Nel 2016, sono stati scoperti problemi con SHA-1; ora si raccomanda di utilizzare invece SHA-2. SHA-2 può produrre hash di 224, 256, 334 e 512 bit. Non ci sono problemi noti con SHA-2, quindi è ancora l'algoritmo di hashing più utilizzato e raccomandato. SHA-3 è stato pubblicato nel 2012 ed è ampiamente applicabile ma non ampiamente utilizzato. Questo non è dovuto a problemi con SHA-3, ma piuttosto al fatto che SHA-2 è perfettamente adeguato.
  • Algoritmo di Message Digest (MD). MD è un altro hash unidirezionale che crea un valore di hash utilizzato per mantenere l'integrità. Esistono diverse versioni di MD; le più comuni sono MD5, MD4 e MD2. MD5 è la versione più recente dell'algoritmo; produce un hash di 128 bit. Sebbene sia più complesso dei suoi predecessori MD e offra una maggiore sicurezza, non ha una forte resistenza alle collisioni e, pertanto, non è più raccomandato per l'uso. SHA (2 o 3) sono le alternative consigliate.
  • RACE Integrity Primitives Evaluation Message Digest (RIPEMD). RIPEMD si basava su MD4. C'erano dubbi riguardo alla sua sicurezza, ed è stato sostituito da RIPEMD-160, che utilizza 160 bit. Esistono anche versioni che utilizzano 256 e 320 bit (RIPEMD-256 e RIPEMD-320, rispettivamente).
  • GOST è un cifrario simmetrico sviluppato nell'antica Unione Sovietica che è stato modificato per funzionare come una funzione hash. GOST elabora un messaggio di lunghezza variabile in un output di lunghezza fissa di 256 bit.
  • Prima del rilascio di Windows NT, i sistemi operativi di Microsoft utilizzavano il protocollo LANMAN per l'autenticazione. Funzionando solo come protocollo di autenticazione, LANMAN usava LM Hash e due chiavi DES. È stato sostituito dal NT LAN Manager (NTLM) con il rilascio di Windows NT.
  • Microsoft ha sostituito il protocollo LANMAN con NTLM (NT LAN Manager) con il rilascio di Windows NT. NTLM utilizza algoritmi di hashing MD4/MD5. Esistono diverse versioni di questo protocollo (NTLMv1 e NTLMv2), ed è ancora ampiamente utilizzato nonostante il fatto che Microsoft abbia nominato Kerberos come protocollo di autenticazione preferito. Sebbene LANMAN e NTLM impieghino entrambi l'hashing, sono utilizzati principalmente ai fini dell'autenticazione.
  • Un metodo comune per verificare l'integrità implica l'aggiunta di un codice di autenticazione del messaggio (MAC) al messaggio. Un MAC viene calcolato utilizzando un cifrario simmetrico in modalità di concatenazione dei blocchi cifrati (CBC), producendo solo l'ultimo blocco. Essenzialmente, l'output del CBC viene utilizzato come l'output di un algoritmo di hashing. Tuttavia, a differenza di un algoritmo di hashing, il cifrario richiede una chiave simmetrica che viene scambiata tra le due parti in anticipo.
  • HMAC (codice di autenticazione del messaggio basato su hash) utilizza un algoritmo di hashing insieme a una chiave simmetrica. Così, ad esempio, due parti concordano sull'uso di un hash MD5. Una volta calcolato l'hash, questo viene esclusivamente OR'd (XOR) con il digest, e quel valore risultante è l'HMAC.

Baseline

Stabilire un punto di riferimento (configurazione, punto di riferimento, punto di riferimento dei sistemi, punto di riferimento dell'attività) è una strategia importante per il secure networking. Fondamentalmente, si trova un punto di riferimento che si considera sicuro per un determinato sistema, computer, applicazione o servizio. Certamente, la sicurezza assoluta non è possibile — l'obiettivo è abbastanza sicuro, basato sulle esigenze di sicurezza della propria organizzazione e sull'appetito al rischio. Qualsiasi cambiamento può essere confrontato con il punto di riferimento per vedere se il cambiamento è abbastanza sicuro. Una volta definito un punto di riferimento, il passo successivo è monitorare il sistema per assicurarsi che non si sia discostato da quel punto di riferimento. Questo processo è definito come misurazione dell'integrità.

Disponibilità

La disponibilità assicura che gli utenti autorizzati di un sistema abbiano accesso tempestivo e ininterrotto alle informazioni nel sistema e alla rete. Ecco i metodi per raggiungere la disponibilità:

  • Allocazione distributiva. Comunemente nota come bilanciamento del carico, l'allocazione distributiva permette di distribuire il carico (richieste di file, instradamento dei dati e così via) in modo che nessun dispositivo sia eccessivamente sovraccarico.
  • Alta disponibilità (HA). L'alta disponibilità si riferisce a misure che vengono utilizzate per mantenere operativi servizi e sistemi informativi durante un'interruzione. L'obiettivo dell'HA è spesso quello di avere servizi chiave disponibili il 99,999 percento del tempo (noto come disponibilità “cinque nove”). Le strategie di HA includono la ridondanza e il failover, che sono discussi di seguito.
  • Ridondanza. La ridondanza si riferisce a sistemi che sono duplicati o passano ad altri sistemi in caso di malfunzionamento. Il failover si riferisce al processo di ricostruzione di un sistema o passaggio ad altri sistemi quando viene rilevato un guasto. Nel caso di un server, il server passa a un server ridondante quando viene rilevato un difetto. Questa strategia consente di continuare il servizio senza interruzioni fino al ripristino del server primario. Nel caso di una rete, ciò significa che l'elaborazione passa a un altro percorso di rete in caso di guasto nel percorso primario.
    I sistemi di failover possono essere costosi da implementare. In una grande rete aziendale o in un ambiente di e-commerce, un failover potrebbe comportare il passaggio di tutto l'elaborazione a una posizione remota fino a quando la struttura primaria non è operativa. Il sito primario e il sito remoto sincronizzerebbero i dati per garantire che le informazioni siano il più aggiornate possibile.
    Molti sistemi operativi, come Linux, Windows Server e Novell Open Enterprise Server, sono in grado di effettuare il clustering per fornire capacità di failover. Il clustering coinvolge più sistemi connessi insieme in modo cooperativo (che fornisce bilanciamento del carico) e collegati in rete in modo tale che, se uno dei sistemi fallisce, gli altri sistemi prendono il sopravvento e continuano a operare. La capacità complessiva del cluster di server può diminuire, ma la rete o il servizio rimarranno operativi. Per apprezzare la bellezza del clustering, considera il fatto che questa è la tecnologia su cui è costruito Google. Non solo il clustering ti consente di avere ridondanza, ma ti offre anche la possibilità di scalare man mano che la domanda aumenta.
    La maggior parte degli ISP e dei fornitori di rete hanno ampie capacità interne di failover per fornire alta disponibilità ai clienti. I clienti aziendali e i dipendenti che non riescono ad accedere alle informazioni o ai servizi tendono a perdere fiducia.
    Il compromesso per l'affidabilità e l'affidabilità, ovviamente, è il costo: i sistemi di failover possono diventare proibitivamente costosi. Dovrai studiare attentamente le tue esigenze per determinare se il tuo sistema richiede questa capacità. Ad esempio, se il tuo ambiente richiede un alto livello di disponibilità, i tuoi server dovrebbero essere clusterizzati. Ciò consentirà agli altri server nella rete di assumere il carico se uno dei server nel cluster fallisce.
  • Tolleranza ai guasti. La tolleranza ai guasti è la capacità di un sistema di mantenere le operazioni in caso di guasto di un componente. I sistemi tolleranti ai guasti possono continuare a funzionare anche se un componente critico, come un'unità disco, ha smesso di funzionare. Questa capacità implica una sovraingegnerizzazione dei sistemi aggiungendo componenti e sottosistemi ridondanti per ridurre il rischio di inattività. Ad esempio, la tolleranza ai guasti può essere integrata in un server aggiungendo un secondo alimentatore, un secondo processore e altri componenti chiave. La maggior parte dei produttori (come HP, Sun e IBM) offre server tolleranti ai guasti; di solito hanno più processori che passano automaticamente al backup in caso di malfunzionamento.
    Ci sono due componenti chiave della tolleranza ai guasti che non si dovrebbero mai trascurare: parti di ricambio e alimentazione elettrica. Le parti di ricambio dovrebbero essere sempre prontamente disponibili per riparare qualsiasi componente critico del sistema in caso di guasto. La strategia di ridondanza “N+1” significa che si ha il numero di componenti necessario, più uno da inserire in qualsiasi sistema se necessario. Poiché i sistemi informatici non possono funzionare in assenza di alimentazione elettrica, è imperativo che la tolleranza ai guasti sia integrata anche nella vostra infrastruttura elettrica. Come minimo indispensabile, ogni server e postazione di lavoro dovrebbe essere accompagnato da un'alimentazione senza interruzioni (UPS) con protezione da sovratensioni. Quell'UPS dovrebbe essere valutato per il carico che si prevede di sostenere in caso di interruzione di corrente (considerando il computer, il monitor e qualsiasi altro dispositivo ad esso collegato) e controllato periodicamente come parte della vostra routine di manutenzione preventiva per assicurarsi che la batteria sia operativa. Dovrete sostituire la batteria ogni pochi anni per mantenere l'UPS operativo.
    Un UPS vi permetterà di continuare a funzionare in assenza di corrente solo per una breve durata. Per la tolleranza ai guasti in situazioni di durata più lunga, avrete bisogno di un generatore di riserva. I generatori di riserva funzionano a benzina, propano, gas naturale o diesel e generano l'elettricità necessaria per fornire energia costante. Sebbene alcuni generatori di riserva possano attivarsi istantaneamente in caso di interruzione di corrente, la maggior parte impiega un breve periodo di tempo per scaldarsi prima di poter fornire energia costante. Pertanto, scoprirete che avrete comunque bisogno di implementare UPS nella vostra organizzazione.
  • Array Ridondante di Dischi Indipendenti (RAID). RAID è una tecnologia che utilizza più dischi per fornire tolleranza ai guasti. Esistono diversi livelli RAID: RAID 0 (dischi striati), RAID 1 (dischi specchiati), RAID 3 o 4 (dischi striati con parità dedicata), RAID 5 (dischi striati con parità distribuita), RAID 6 (dischi striati con doppia parità), RAID 1+0 (o 10) e RAID 0+1. Puoi leggere di più su di essi in questo elenco di migliori pratiche per la sicurezza dei dati.
  • Piano di recupero dei disastri (DR). Un piano di recupero dei disastri aiuta un'organizzazione a rispondere efficacemente quando si verifica un disastro. I disastri includono guasti ai sistemi, guasti alla rete, guasti alle infrastrutture e disastri naturali come uragani e terremoti. Un piano DR definisce metodi per ripristinare i servizi il più rapidamente possibile e proteggere l'organizzazione da perdite inaccettabili in caso di disastro.
    In un'organizzazione di piccole dimensioni, un piano di recupero dei disastri può essere relativamente semplice e diretto. In un'organizzazione più grande, potrebbe coinvolgere più strutture, piani strategici aziendali e interi dipartimenti.
    Un piano di recupero dei disastri dovrebbe affrontare l'accesso e la memorizzazione delle informazioni. Il tuo piano di backup per i dati sensibili è una parte integrante di questo processo.

Domande frequenti

Quali sono i componenti della triade CIA?

  • Riservatezza: I sistemi e i dati sono accessibili solo agli utenti autorizzati.
  • Integrità: I sistemi e i dati sono accurati e completi.
  • Disponibilità: I sistemi e i dati sono accessibili quando necessario.

Perché il triade CIA è importante per la sicurezza dei dati?

L'obiettivo finale della data security è garantire la riservatezza, l'integrità e la disponibilità dei dati critici e sensibili. Applicare i principi del CIA triad aiuta le organizzazioni a creare un programma di sicurezza efficace per proteggere i loro beni preziosi.

Come può essere applicato il triade CIA nella gestione del rischio?

Durante le valutazioni dei rischi, le organizzazioni misurano i rischi, le minacce e le vulnerabilità che potrebbero compromettere la riservatezza, l'integrità e la disponibilità dei loro sistemi e dati. Implementando controlli di sicurezza per mitigare tali rischi, soddisfano uno o più dei principi fondamentali del triade CIA.

Come può essere compromessa la riservatezza dei dati?

La riservatezza richiede di prevenire l'accesso non autorizzato a informazioni sensibili. L'accesso potrebbe essere intenzionale, come nel caso di un intruso che penetra nella rete e legge le informazioni, oppure potrebbe essere non intenzionale, a causa della negligenza o incompetenza degli individui che gestiscono le informazioni.

Quali misure possono aiutare a preservare la riservatezza dei dati?

Una delle migliori pratiche per proteggere i dati riservati consiste nel crittografare tutti i dati sensibili e regolamentati. Nessuno può leggere il contenuto di un documento crittografato a meno che non disponga della chiave di decrittazione, quindi la crittografia protegge sia dai compromessi intenzionali che accidentali della riservatezza.

Come può essere compromessa l'integrità dei dati?

L'integrità dei dati può essere compromessa sia attraverso errori umani che attraverso cyberattacchi come malware distruttivi e ransomware.

Quali misure possono aiutare a preservare l'integrità dei dati?

Per preservare l'integrità dei dati, è necessario:

  • Prevenire modifiche ai dati da parte di utenti non autorizzati
  • Prevenire modifiche non autorizzate o involontarie ai dati da parte di utenti autorizzati
  • Assicurati l'accuratezza e la consistenza dei dati attraverso processi come il controllo degli errori e la convalida dei dati

Una pratica migliore e preziosa per garantire l'accuratezza dei dati è il file integrity monitoring (FIM). Il FIM aiuta le organizzazioni a rilevare modifiche improprie ai file critici sui loro sistemi attraverso l'audit di tutti i tentativi di accesso o modifica di file e cartelle contenenti informazioni sensibili e verificando se tali azioni sono autorizzate.

Come può essere compromessa la disponibilità dei dati?

Le minacce alla disponibilità includono guasti all'infrastruttura come problemi di rete o hardware; tempi di inattività del software non pianificati; sovraccarico dell'infrastruttura; interruzioni di corrente; e attacchi informatici come attacchi DDoS o ransomware.

Quali misure possono aiutare a preservare la disponibilità dei dati?

È importante implementare misure di protezione contro le interruzioni per tutti i sistemi che richiedono un funzionamento continuo. Le opzioni includono la ridondanza hardware, il failover, il clustering e backup di routine memorizzati in una posizione geograficamente separata. Inoltre, è fondamentale sviluppare e testare un piano di disaster recovery completo.

Condividi su

Scopri di più

Informazioni sull'autore

Asset Not Found

Ryan Brooks

Scopri di più su questo argomento

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Cos'è la gestione dei documenti elettronici?

Analisi quantitativa del rischio: Aspettativa di perdita annuale

Ultimi blog

I prossimi cinque minuti di conformità: costruire la Data Security That Starts with Identity in tutto l'APAC

Gestione della configurazione per il controllo sicuro degli endpoint

Classificazione dei dati e DLP: Prevenire la perdita di dati, dimostrare la conformità

Conformità CMMC e il ruolo critico del controllo USB in stile MDM nella protezione del CUI

DSPM, ASM e ITDR: Costruire una strategia di sicurezza guidata dai dati e consapevole delle esposizioni

Dal rumore all'azione: trasformare il rischio dei dati in risultati misurabili

L'intelligenza artificiale sul lavoro: Velocità, Rischio e Perché la Semplicità Vince

Leggi sulla Privacy dei Dati per Stato: Diversi Approcci alla Protezione della Privacy

Esempio di Analisi del Rischio: Come Valutare i Rischi

Il Triangolo CIA e la sua applicazione nel mondo reale

I nostri articoli principali

Tipi comuni di dispositivi di rete e le loro funzioni

Come eseguire uno script PowerShell da Task Scheduler

Come installare e utilizzare Active Directory Users and Computers (ADUC)?

Scarica e installa PowerShell 7

Gli attacchi informatici più grandi e noti della storia

Comandi PowerShell essenziali: una guida rapida per principianti

Panoramica dell'attacco informatico MGM

Estrazione degli hash delle password dal file Ntds.dit

Guida al montaggio di condivisioni Unix con un client NFS Windows

Come le porte aperte insicure e vulnerabili rappresentano seri rischi per la sicurezza