Sebbene il Regolamento generale sulla protezione dei dati (GDPR) non sia esplicito su tutte le azioni che devi intraprendere per proteggere i dati dei clienti, seguendo il principio dell’accountability ci sono alcune tecnologie di base che dovresti mettere in atto. Nelle parti uno e due di questa serie, abbiamo coperto la sicurezza delle applicazioni, la protezione della posta e la whitelisting delle applicazioni. Questo blog affronta ulteriori strategie vincenti tra cui la gestione delle patch, le regole dei privilegi di amministratore e la crittografia dell’intero disco.

Gestione delle Patch più veloce

Rimanere aggiornati con le patch è fondamentale per aiutare a prevenire la violazione dei dati. In particolare, i passati attacchi ransomware WannaCry e NotPetya hanno dimostrato le gravi conseguenze della mancanza di patch critiche, poiché erano disponibili correzioni per entrambi prima degli attacchi. Più recentemente, i criminali informatici hanno sfruttato una vulnerabilità pubblicata in Apache ® Struts entro un paio di giorni dalla divulgazione al pubblico.

Abbiamo visto le conseguenze che possono verificarsi quando le organizzazioni non riescono ad applicare rapidamente le patch di sicurezza, in particolare quelle che riparano le vulnerabilità sotto sfruttamento attivo. Un paio di rapporti illustrano in modo esauriente l’entità del problema:

NopSec ® , una società di previsione e correzione delle minacce alla sicurezza informatica, ha pubblicato un rapporto intitolato “State of Vulnerability Risk Management”. Ha compilato 20 anni di dati, disegnando un quadro triste dello stato della gestione delle vulnerabilità delle imprese:

Il tempo medio necessario per correggere una vulnerabilità della sicurezza è di 103 giorni. Tuttavia, questo varia a seconda del settore; mentre i fornitori di servizi cloud rispondono più velocemente (50 giorni), seguiti da vicino dalle organizzazioni sanitarie (97 giorni), le società di servizi finanziari e le organizzazioni educative impiegano 176 giorni preoccupanti per intraprendere azioni correttive. 1

Inoltre, Qualys Inc., fornitore leader di soluzioni cloud per la sicurezza e la conformità delle informazioni per le piccole e medie imprese, così come le grandi aziende, ha sponsorizzato un documento di ricerca che suggerisce che un’efficace sicurezza informatica richiede la correzione di tutte le “vulnerabilità critiche in un giorno, perché il rischio raggiunge livelli moderati nel segno di una settimana e diventa elevato quando una vulnerabilità rimane in un sistema critico per un mese o più. Tra gli intervistati, il 10% ha dichiarato di essere in grado di rimediare alle vulnerabilità critiche in 24 ore o meno “. 2

Ad essere onesti, un ciclo di patch di un giorno è piuttosto ambizioso, anche per  l’MSP più ossessionato dalla sicurezza. Tuttavia, se si considera che la vulnerabilità in Apache Struts è stata individuata entro 96 ore dalla scoperta, gli MSP potrebbero anche aver bisogno di compiere questo sforzo estremo per scacciare i criminali informatici, in particolare se l’ambiente è complesso. Fortunatamente, nella maggior parte dei casi, con ambienti non complessi, il patching settimanale automatizzato può aiutare a tenere a bada la maggior parte degli exploit informatici.

Blocca i privilegi di amministratore

Il “gestito” nel fornitore di servizi gestiti significa che sei responsabile dei sistemi dei tuoi clienti. Tuttavia gli MSP a volte rinunciano a questa responsabilità fornendo privilegi di amministratore ai dipendenti dei loro clienti, mettendo a rischio l’attività.

I dati di un rapporto di ricerca di Avecto ® , un’organizzazione di gestione dei privilegi specializzata in software di sicurezza degli endpoint, hanno dimostrato il valore di sicurezza della limitazione dei privilegi di amministrazione a livello locale e di dominio. Se la tua attività MSP non revoca i privilegi di amministratore dagli utenti, crei un potenziale problema di sicurezza.

Cosa offre il blocco dei privilegi di amministratore? Può proteggere dalle truffe del supporto tecnico, poiché gli utenti non saranno in grado di modificare i propri sistemi per consentire l’accesso ai programmi di falsi team di supporto tecnico sui loro computer. Inoltre, gli utenti spesso usano inconsapevolmente software gratuito per uso personale, ma che richiedono una licenza per uso aziendale. Il controllo dell’accesso dell’amministratore impedisce agli utenti di installare software con licenza impropria che potrebbe comportare multe durante un controllo del software.

Proteggi i tuoi dispositivi mobili con la crittografia

Kensington ® , leader negli accessori per desktop e dispositivi mobili, nell’ormai lontano 2017 affermava che i costi reali associati alla perdita o al furto di dispositivi mobili (laptop, tablet e smartphone) superavano i $ 49.000 per dispositivo3.  Chiaramente, i costi hanno poco a che fare con l’hardware e il software sul dispositivo. Ci sono costi associati alla sostituzione del dispositivo e alla perdita di produttività, ma i dati persi possono causare multe elevate per la violazione delle norme GDPR.

Nell’aprile del 2017, CardioNet ® è stato severamente multato per un laptop rubato con 1.400 cartelle cliniche. Poiché questo dispositivo non disponeva della crittografia dell’intero disco, la conseguente violazione di HIPAA è costata all’azienda 2,5 milioni di dollari. 5 Questo è significativamente più del prezzo dell’hardware, del software e della perdita di produttività dei dipendenti.

È difficile immaginare perché le persone IT che si occupano di CardioNet non abbiano semplicemente attivato la crittografia dell’intero disco, già  inclusa nel sistema operativo. Se sei seriamente intenzionato a mitigare la perdita di dati sui dispositivi mobili dei tuoi clienti, dovresti distribuire la crittografia dell’intero disco al più presto possibile. Questa semplice pratica legata alla formazione dei dipendenti avrebbe potuto risparmiare a CardioNet una multa di $ 2,5 milioni.

Proteggi i dati dei tuoi clienti

Con l’entrata in vigore del  GDPR, le aziende devono fare di più per gestire, controllare e proteggere i propri dati. Applicando patch più rapidamente, controllando i privilegi amministrativi e attivando la crittografia dell’intero disco, gli MSP possono aiutare a ridurre il rischio di una violazione dei dati e multe pesanti.

FONTE: Solarwinds MSP BLOG

TRADUZIONE: N4B SRL Distributore Autorizzato Solarwinds MSP

1. “Le organizzazioni impiegano troppo tempo per correggere le vulnerabilità della sicurezza”, BetaNews.  https://betanews.com/2015/06/02/organizations-take-too-long-to-fix-security-vulnerabilities/ (accesso ottobre 2017).

2. “Sopraffatto dalle vulnerabilità della sicurezza? Ecco come stabilire le priorità ”, Qualys, Inc. https://blog.qualys.com/news/2017/01/17/overwhelmed-by-security-vulnerabilities-heres-how-to-prioritize (accesso a ottobre 2017).

3. “Sicurezza dei dispositivi mobili: statistiche sorprendenti sulla perdita e la violazione dei dati”, ChannelPro Network. http://www.channelpronetwork.com/article/mobile-device-security-startling-statistics-data-loss-and-data-breaches (accesso ottobre 2017).

4. “Il laptop rubato porta a $ 2,5 milioni di penalità per violazione della violazione HIPAA”, MSPmentor. http://mspmentor.net/mobile-device-management/stolen-laptop-leads-25-million-hipaa-breach-penalty (accesso ottobre 2017).

 

Questo documento è fornito a solo scopo informativo e non deve essere considerato come una consulenza legale o per determinare come il Regolamento generale sulla protezione dei dati (GDPR) dell’UE può essere applicato a te e alla tua organizzazione. Ti invitiamo a lavorare con un professionista legalmente qualificato per discutere del GDPR, di come si applica alla tua organizzazione e del modo migliore per garantire la conformità. SolarWinds MSP non rilascia alcuna garanzia, espressa o implicita, né si assume alcuna responsabilità legale per le informazioni contenute nel presente documento, inclusa l’accuratezza, la completezza o l’utilità di tali informazioni.