In un panorama digitale in costante evoluzione, dove le minacce informatiche si moltiplicano e si raffinano a velocità vertiginosa, la sicurezza delle informazioni è diventata una priorità imprescindibile per le organizzazioni di ogni dimensione e settore.
La Direttiva NIS 2 (Network and Information Security 2), recepita in Italia con il Decreto Legislativo 4 settembre 2024, n. 138 (in seguito il Decreto), ha introdotto un nuovo standard di sicurezza informatica, imponendo alle aziende che erogano servizi essenziali o importanti di adottare misure di protezione più rigorose e un approccio più strutturato alla gestione del rischio.
Il Decreto, in linea con la Direttiva NIS 2, pone particolare enfasi sulla gestione del rischio informatico, imponendo ai soggetti obbligati (entità essenziali e importanti) di adottare un approccio strutturato e proattivo per identificare, valutare e mitigare i rischi per la sicurezza delle proprie infrastrutture.
Nello specifico, l’articolo 21 della direttiva stabilisce l’obbligo di adottare misure di gestione dei rischi per la sicurezza informatica “adeguate e proporzionate”, basate su una valutazione del rischio che tenga conto delle specifiche minacce e vulnerabilità a cui l’organizzazione è esposta.
Ciò chiarito occorre osservare che la sicurezza delle informazioni non è un concetto monolitico, ma un insieme articolato di misure e strategie volte a proteggere le risorse critiche e i dati sensibili di un’organizzazione, poiché, in un panorama di minacce informatiche in continua evoluzione, è essenziale adottare un approccio multi-livello, implementando una varietà di controlli di sicurezza che agiscono in sinergia per creare un sistema di difesa robusto e resiliente.
Dal punto di vista teorico, possiamo distinguere diverse tipologie di controlli di sicurezza, ognuna con un ruolo specifico nella protezione delle informazioni: i controlli preventivi mirano a prevenire gli incidenti di sicurezza prima che si verifichino, agendo come una barriera protettiva contro le minacce.
Tra questi, firewall e sistemi IAM (Identity and Access Management) svolgono un ruolo di primo piano: il firewall, posizionato al confine tra la rete interna e il mondo esterno, filtra il traffico di rete e blocca gli accessi non autorizzati, i sistemi IAM, invece, gestiscono l’autenticazione e l’autorizzazione degli utenti, garantendo che solo le persone autorizzate possano accedere ai dati e
alle risorse.
Altri esempi di controlli preventivi includono l’utilizzo di antivirus e anti-malware, la crittografia dei dati, la formazione e la sensibilizzazione del personale, e i controlli di accesso fisici.
I controlli rilevativi hanno lo scopo di identificare gli incidenti di sicurezza in corso o già avvenuti, monitorano costantemente l’attività dei sistemi e delle reti, analizzando i log, rilevano anomalie e generano alert in caso di eventi sospetti. Esempi di controlli rilevativi sono i sistemi di rilevamento delle intrusioni (IDS), il monitoraggio della sicurezza, l’analisi dei log e gli audit di sicurezza.
I controlli correttivi si applicano quando un incidente di sicurezza si è già verificato, con l’obiettivo di mitigare l’impatto e ripristinare la normalità operativa. Questi controlli includono i piani di risposta agli incidenti, che definiscono le procedure da seguire in caso di attacco informatico, i sistemi di backup e disaster recovery, che consentono di ripristinare i dati e i sistemi in caso di perdita o danneggiamento, e i sistemi di ripristino di emergenza, che garantiscono la continuità operativa in caso di disastri naturali o altri eventi imprevisti.
Alla luce di ciò che precede, risulta chiaro allora che, tra le misure di sicurezza che le organizzazioni possono adottare per conformarsi al Decreto, firewall e sistemi IAM (Identity and Access Management), svolgono un ruolo cruciale, costituendo i pilastri di un sistema di gestione della sicurezza delle informazioni (SGSI) e si confermano essere strumenti fondamentali per garantire la conformità normativa e la protezione delle infrastrutture critiche.
In concreto, l’implementazione di un firewall non si limita alla semplice installazione di un dispositivo hardware o software, ma richiede una progettazione accurata dell’architettura di sicurezza, che tenga conto delle specificità dell’organizzazione e delle minacce a cui è esposta (Security By Design).
Nella maggior parte dei casi, il firewall perimetrale, posizionato al confine tra la rete interna dell’azienda e il mondo esterno (Internet o altre reti non attendibili), rappresenta la prima linea di difesa, la sua funzione principale è quella di filtrare tutto il traffico in entrata e in uscita, bloccando le connessioni non autorizzate e proteggendo la rete interna da attacchi esterni, come tentativi di intrusione, scansioni di porte, malware e attacchi DDoS.
Inoltre, per aumentare la resilienza e limitare l’impatto di eventuali attacchi, la rete interna viene spesso suddivisa in zone di sicurezza, isolate tra loro da firewall interni.
Ad esempio, una zona demilitarizzata (DMZ) può ospitare i server web e di posta elettronica accessibili dall’esterno, mentre una zona interna più protetta può ospitare i server e i dati critici dell’azienda, come database, sistemi di gestione aziendale e informazioni riservate. Questa segmentazione permette di contenere la propagazione di un attacco, impedendo agli intrusi di accedere a tutte le risorse aziendali.
Nel tempo le tecnologie firewall si sono evolute, e oggi sono disponibili soluzioni di nuova generazione (Next-Generation Firewall – NGFW) che offrono funzionalità avanzate di sicurezza, come l’ispezione approfondita dei pacchetti (deep packet inspection), il controllo delle applicazioni, la prevenzione delle intrusioni (IPS) e il sandboxing, e consentono di identificare e bloccare minacce più sofisticate, come malware zero-day, attacchi mirati e APT (Advanced Persistent Threats).
Naturalmente il firewall non opera in isolamento, ma si integra con altri sistemi di sicurezza per creare una difesa più efficace. Ad esempio, il firewall può interagire con sistemi di rilevamento delle intrusioni (IDS) per identificare attività sospette sulla rete, con sistemi di prevenzione delle intrusioni (IPS) per bloccare automaticamente gli attacchi, e con sistemi di gestione degli eventi di sicurezza (SIEM) per raccogliere e analizzare i log di sicurezza.
Del resto, la configurazione del firewall è un processo critico che richiede competenze specifiche e una profonda conoscenza delle esigenze di sicurezza dell’organizzazione.
Le regole di filtraggio del firewall devono essere definite con precisione, tenendo conto dei diversi tipi di traffico, dei protocolli utilizzati, degli indirizzi IP e delle porte di comunicazione, così come è fondamentale mantenere il firewall aggiornato con le ultime patch di sicurezza e monitorare costantemente le sue attività per identificare eventuali anomalie o tentativi di intrusione.
Di seguito alcuni esempi di configurazioni tipiche:
Piccola Impresa: Una piccola impresa con una rete limitata potrebbe utilizzare un firewall “all-in-one” che combina funzionalità di firewall, antivirus, anti-malware e VPN. Questo dispositivo, spesso gestito tramite un’interfaccia web, permette di proteggere la rete da minacce basiche e di consentire l’accesso remoto sicuro ai dipendenti.
Media Impresa: Una media impresa con una rete più complessa e diversi server potrebbe utilizzare un firewall dedicato con funzionalità avanzate, come la segmentazione della rete, il controllo delle applicazioni e la prevenzione delle intrusioni. La gestione del firewall potrebbe essere affidata a un amministratore di sistema o a un fornitore di servizi IT esterno.
Grande Azienda: Una grande azienda con una rete estesa e diversi uffici potrebbe utilizzare una combinazione di firewall hardware e software, creando una struttura di sicurezza a più livelli. I firewall perimetrali, più potenti e performanti, proteggono la rete aziendale da attacchi esterni, mentre i firewall interni segmentano la rete e proteggono i sistemi critici.
La gestione della sicurezza potrebbe essere affidata a un team di esperti di sicurezza informatica, con un Security Operations Center (SOC) dedicato al monitoraggio e alla risposta agli incidenti.
Organizzazioni con Requisiti Specifici: Organizzazioni con requisiti di sicurezza specifici, come quelle che operano nel settore sanitario o finanziario, potrebbero adottare firewall specializzati con funzionalità di conformità normativa, come la crittografia dei dati sanitari o la protezione dalle frodi finanziarie.
Se il firewall costituisce, come detto, la prima linea di difesa, i sistemi IAM (Identity and Access Management) sono strumenti fondamentali per la gestione degli accessi degli utenti ai sistemi e alle informazioni aziendali. Attraverso meccanismi di autenticazione e autorizzazione, tali sistemi garantiscono che solo le persone autorizzate possano accedere ai dati e alle risorse, in linea con il principio del “minimo privilegio”. In base al quale gli utenti devono avere accesso solo alle informazioni e alle risorse strettamente necessarie per svolgere il proprio lavoro.
I sistemi IAM consentono quindi di implementare meccanismi di autenticazione forte, che vanno oltre la semplice combinazione di username e password, come l’autenticazione a due fattori (2FA) o l’autenticazione multifattoriale (MFA), permettono altresì di definire ruoli e di assegnare permessi di accesso in base al ruolo dell’utente all’interno dell’organizzazione, semplificando la gestione degli accessi e garantendo che gli utenti abbiano accesso solo alle risorse e ai dati pertinenti al loro ruolo.
Registrano, inoltre, tutte le attività di accesso degli utenti, creando un audit trail dettagliato che può essere utilizzato per monitorare gli accessi ai dati sensibili, identificare eventuali anomalie o comportamenti sospetti e dimostrare la conformità alla NIS 2. Infine, semplificano la gestione del ciclo di vita degli utenti, automatizzando la creazione, la modifica e la revoca degli account utente e dei relativi permessi di accesso.
L’integrazione tra firewall e sistemi IAM può amplificare significativamente il livello di sicurezza informatica, consentendo di creare un sistema di difesa multilivello più robusto ed efficace.
Questa sinergia permette, ad esempio, un controllo degli accessi basato sul contesto, in cui il firewall può utilizzare le informazioni fornite dal sistema IAM, come l’identità dell’utente, il ruolo e la posizione, per prendere decisioni più accurate sul traffico di rete da consentire o bloccare.
Un utente che tenta di accedere a dati sensibili da un dispositivo non aziendale o da una posizione insolita potrebbe essere bloccato, anche se le sue credenziali sono valide.
Inoltre, l’integrazione tra firewall e sistemi IAM consente di ottenere una visibilità più completa sulle attività degli utenti e sul traffico di rete, facilitando l’identificazione di anomalie e comportamenti sospetti.
Ad esempio, se un utente tenta di accedere a dati al di fuori del suo normale orario di lavoro o da una postazione insolita, il sistema può generare un alert di sicurezza.
L’integrazione può anche automatizzare la gestione degli accessi, semplificando la creazione, la modifica e la revoca dei permessi degli utenti in base ai loro ruoli e responsabilità.
Quando un dipendente cambia ruolo o lascia l’azienda, i suoi permessi di accesso possono essere aggiornati o revocati automaticamente, garantendo che solo le persone autorizzate abbiano accesso ai dati.
Infine, in caso di incidente di sicurezza, l’integrazione tra firewall e sistemi IAM può facilitare l’identificazione della fonte dell’attacco e la limitazione dei danni.
Ad esempio, se un account utente viene compromesso, il sistema IAM può fornire informazioni al firewall per bloccare immediatamente l’accesso dell’utente malintenzionato, impedendogli di causare ulteriori danni.
Avv. Giuseppe Serafini
Hai una domanda per l'autore?
Al codice del consumo (n.206/2005) vengono aggiunti nuovi articoli
