Crittografia
La crittografia consiste nel codificare le informazioni (convertendo il testo normale in testo cifrato) in modo che le persone non autorizzate non possano accedervi. In caso di smarrimento o furto di dati in forma crittografata, il rischio di divulgazione è minimo perché l'utente malintenzionato non avrà la chiave di decrittazione.
•Crittografia dei dati come parte della sicurezza online
•Perché usare la crittografia?
•Metodi di crittografia dei dati selezionati
•Perché crittografare i dati aziendali?
•Come proteggere la crittografia dei dati?
In un'azienda, la crittografia protegge la proprietà intellettuale e il know-how dell'azienda, nonché i dati personali di clienti, dipendenti e partner commerciali.
Tutto questo può essere monetizzato o utilizzato in modo improprio da un aggressore o da un ladro.
Crittografia dei dati come parte della sicurezza online
La comunicazione può avvenire tramite il protocollo HTTPS durante il trasferimento di dati su Internet, ad esempio quando si accede a siti web. Questo protocollo utilizza il protocollo TLS/SSL per crittografare la comunicazione. Ciò garantisce che le informazioni sensibili, come i dati di accesso o di pagamento, siano crittografate e protette durante la trasmissione.
Alcuni servizi di posta elettronica supportano anche la crittografia della trasmissione dei dati (ad esempio, utilizzando TLS/SSL) o la crittografia end-to-end, utile se si inviano informazioni sensibili.
La crittografia completa del disco viene utilizzata per proteggere i dati archiviati sui dispositivi. Questa misura aiuta a proteggere il contenuto dei dati sul disco in caso di smarrimento o furto del dispositivo.
La crittografia viene utilizzata anche per il backup dei dati. Se qualcuno ottiene l'accesso al backup, può leggerlo solo con la chiave corretta.
I dati sensibili possono essere archiviati in un archivio crittografato, ad esempio un'unità crittografata esterna o un archivio cloud con meccanismi di crittografia avanzati.
Perché usare la crittografia?
Per l'utente medio, la crittografia può offrire diversi vantaggi, soprattutto per quanto riguarda la sicurezza e la protezione delle informazioni sensibili. Ecco alcuni dei principali vantaggi della crittografia per l'utente medio:
•La crittografia protegge le informazioni personali, come password, coordinate bancarie e altre informazioni sensibili, da accessi non autorizzati, contribuendo a proteggere la privacy dell'utente.
•La crittografia riduce il rischio di furto di dati durante l'esecuzione di transazioni online come acquisti, pagamenti o operazioni bancarie.
•L'utilizzo di comunicazioni e-mail crittografate protegge il contenuto delle e-mail da persone non autorizzate. Quando un utente si connette a una rete Wi-Fi pubblica, la crittografia impedisce agli aggressori di monitorare e intercettare i dati trasmessi, rafforzando la sicurezza della connessione.
•La crittografia del disco su dispositivi come computer e telefoni cellulari protegge i dati anche in caso di smarrimento o furto del dispositivo.
•Quando si utilizza l'archiviazione cloud, la crittografia protegge i dati caricati dall'accesso non autorizzato da parte di fornitori di servizi o terze parti.
•La crittografia può fungere da difesa efficace contro il ransomware. Gli strumenti di comunicazione crittografati (come le chat crittografate) riducono il rischio di uso improprio del contenuto della comunicazione.
Metodi di crittografia dei dati selezionati
Crittografia dei dati inattivi
Crittografia completa del disco: l'intero disco viene crittografato automaticamente, quindi l'utente non ha alcun controllo sul fatto che il file sia archiviato crittografato o meno. Tuttavia, è necessario considerare requisiti hardware e di tempo più elevati per la crittografia.
Crittografia a livello di file o cartella: l'utente seleziona e crittografa solo i dati che desidera proteggere. Le singole cartelle o i singoli file sono sempre crittografati con un'unica chiave che può essere utilizzata per decrittografarli nuovamente. La crittografia è più veloce della crittografia dell'intero disco e i requisiti hardware sono inferiori.
Crittografia dei dati in transito
Crittografia end-to-end (E2E): si tratta di un metodo in cui le informazioni vengono crittografate e decrittografate solo nei dispositivi finali. Ciò garantisce la riservatezza dei dati trasmessi ed elimina il rischio di intercettazione o elaborazione sul server che media la comunicazione. Spesso combina la crittografia simmetrica e asimmetrica o utilizza lo scambio di chiavi Diffie-Hellman.
Crittografia client-to-server (C2S): un metodo in cui il messaggio viene crittografato solo per il server attraverso il quale passa la comunicazione, ma i dati vengono eseguiti non crittografati tra il client e il server. Questa forma di crittografia delle comunicazioni non è la più sicura perché può essere intercettata da un utente malintenzionato.
Perché crittografare i dati aziendali?
La crittografia fornisce un livello di protezione per le informazioni personali, i dati finanziari, i segreti commerciali e i piani strategici dei dipendenti. Questo aiuta a prevenire l'accesso non autorizzato e l'uso improprio di questi dati.
Molti settori hanno prescritto standard e regolamenti legali che richiedono la protezione delle informazioni sensibili. La crittografia può aiutare un'azienda a conformarsi a questi standard e ridurre al minimo il rischio di multe o problemi legali.
La crittografia aiuta a proteggere i dati da accessi illegittimi o perdite in caso di perdita del dispositivo o violazione della sicurezza dall'interno o dall'esterno dell'azienda. Pertanto, la crittografia protegge anche dalle minacce interne, come i dipendenti con accesso non autorizzato.
La fuga di informazioni sensibili può danneggiare seriamente la reputazione di un'azienda. La crittografia dei dati contribuisce a costruire un'immagine aziendale affidabile e segnala che l'azienda è attivamente preoccupata per la sicurezza dei propri dati e dei propri clienti.
Crittografia e normative
La crittografia è anche richiesta o raccomandata da molte normative e leggi odierne, tra cui GDPR, NIS2, PCI-DSS, HIPAA, SOX e GLBA. È molto meno probabile che le violazioni dei dati vengano considerate un fallimento della conformità quando i dati personali sono crittografati correttamente.
La crittografia è richiesta anche da molte normative e leggi
Come proteggere la crittografia dei dati?
La sicurezza della crittografia dei dati richiede una combinazione di misure tecniche, amministrazione delle policy e formazione dei dipendenti. Di seguito sono riportati i passaggi che puoi eseguire per proteggere la crittografia dei dati nella tua azienda:
•Crea una politica di sicurezza chiara e completa che includa la crittografia dei dati. Definisci quali dati verranno crittografati, con quali metodi e chi accederà ai dati decrittografati.
•Utilizza una VPN (Virtual Private Network) per connetterti in remoto alla rete in modo sicuro e crittografare le e-mail durante la trasmissione di informazioni sensibili.
•Utilizza la crittografia del disco per dispositivi come computer, laptop e telefoni cellulari. La crittografia del disco protegge i dati memorizzati sul dispositivo e fornisce un livello di sicurezza, anche in caso di smarrimento o furto.
•Se si usano servizi cloud, assicurarsi che i provider supportino la crittografia dei dati inattivi e in transito.
•La gestione delle chiavi di crittografia è un elemento essenziale del processo di crittografia. Garantisci l'archiviazione e la gestione sicure delle chiavi di crittografia. Rinnovali regolarmente e monitorane l'uso.
•Implementa l'autenticazione a più fattori (2FA) per l'accesso a sistemi e dati sensibili. Ciò fornisce un ulteriore livello di protezione anche se la password è stata compromessa.
•Monitora regolarmente i dati crittografati ed esegui audit. Rispondi ad attività o incidenti insoliti.
•Assicurati che i dipendenti abbiano familiarità con le procedure di sicurezza relative alla crittografia. La formazione dovrebbe includere l'importanza della crittografia e delle procedure per gestire in modo sicuro i dati crittografati.
•Mantieni aggiornati il software e i sistemi di crittografia. Eseguire regolarmente il backup dei dati crittografati per ridurre al minimo il rischio di perdita di dati durante problemi chiave o altri incidenti.
Tipi di crittografia
La crittografia simmetrica utilizza un'unica chiave per la crittografia e la decrittografia, che le parti comunicanti devono conoscere.
La crittografia asimmetrica utilizza una coppia di chiavi: una chiave pubblica (che il destinatario del messaggio non ha bisogno di conoscere) e una chiave privata (che il mittente non conosce). Pertanto, la crittografia asimmetrica consente la comunicazione riservata, l'autenticazione e l'identificazione del mittente. Un certificato digitale può verificare l'autenticità della chiave pubblica.
Algoritmi di crittografia simmetrica consigliati
•Advanced Encryption Standard (AES) - lunghezza della chiave: 128, 192 e 256 bit
•Twofish—lunghezza della chiave: Da 128 a 256 bit
•Camelia - lunghezza della chiave: 128, 192 e 256 bit
•Serpente - lunghezza della chiave: 128, 192 e 256 bit
•SNOW 2.0, SNOW 3G—lunghezza chiave: 128, 256 bit
(Fonte: NUCIB, 2022)
Scambio di chiavi Diffie-Hellman (D-H)
Metodo per lo scambio sicuro di chiavi di crittografia su un canale pubblico. È uno dei primi protocolli ed esempi pratici di scambio di chiavi pubbliche implementato in crittografia.
RSA (Rivest-Shamir-Adleman)
Il primo algoritmo è adatto per la crittografia e la firma elettronica (allegare una firma digitale verificata a un messaggio di dati).