Claroty Domande frequenti su sicurezza e privacy

Aggiornato 14/1/2025

Claroty implementa e mantiene un solido programma di protezione dei dati e sicurezza delle informazioni a più livelli. Il nostro programma di protezione dei dati prevede l’implementazione di un’ampia gamma di controlli tecnici, organizzativi e procedurali, che Claroty ritiene necessari per proteggere i dati dei clienti, salvaguardare l’ambiente Clarory dalle minacce alla sicurezza informatica e rispettare i requisiti normativi (ISO 27001, ISO 27701, SOC2 Tipo 2, GDPR, HIPAA e le leggi locali sulla privacy, nonché le disposizioni sulle migliori pratiche).

ClarotyLa strategia di infosec e protezione dei dati di include i seguenti componenti chiave:

• Governance, rischio e conformità (GRC)

• Politiche di sicurezza aziendale

• Sicurezza organizzativa

• Programma di gestione dei rischi per la sicurezza

• Classificazione e controllo delle risorse

• Personale/Risorse umane per una gestione sicura

• Consapevolezza della sicurezza delle informazioni

• Crittografia

• Sicurezza delle comunicazioni

• Gestione dei rischi per la sicurezza dei fornitori

• Gestione delle modifiche

• Sicurezza fisica e ambientale

• Sicurezza operativa

• Gestione delle vulnerabilità di sicurezza

• Controlli di accesso

• Sviluppo e manutenzione sicuri dei sistemi

• Disaster recovery e business continuity

• Programma di azioni correttive

• Conformità normativa

1. Governance, rischio e conformità (GRC)

• Politiche sulla sicurezza delle informazioni: stabilire e applicare politiche per la protezione dei dati, la sicurezza e la conformità a standard come HIPAA, GDPR, SOC 2 e ISO 27001.

• Classificazione dei dati: classificare i dati in base alla sensibilità (ad es., riservati, interni, pubblici) e applicare controlli di sicurezza appropriati per ciascuna classe.

• Quadro di gestione del rischio: implementare un processo formale di gestione del rischio per identificare, valutare e mitigare i rischi per la sicurezza.

• Monitoraggio della conformità: monitora continuamente la conformità con quadri normativi come GDPR, HIPAA e standard di settore.

• Audit interni: verifica regolarmente i processi e i controlli di sicurezza interni per garantire la conformità alle politiche e agli standard stabiliti.

• Piano di risposta agli incidenti: sviluppare e mantenere un risposta agli eventi di sicurezza degli incidenti che includa ruoli, responsabilità e procedure per la gestione delle violazioni della sicurezza.

2. Controllo degli accessi e gestione delle identità

• Identity and Access Management (IAM): implementare soluzioni IAM per gestire e controllare l'accesso degli utenti a sistemi, applicazioni e dati.

• Controllo degli accessi basato sui ruoli (RBAC): assicurarsi che gli utenti abbiano accesso solo alle risorse necessarie per i loro ruoli lavorativi.

• Autenticazione a più fattori (Multi-Factor Authentication, MFA): applicare la MFA per l’accesso a sistemi e dati critici, sia per i dipendenti che per i clienti.

• Applicare il principio del privilegi minimi per limitare i diritti di accesso per gli utenti al minimo necessario.

• Single Sign-On (SSO): Implementa SSO per semplificare l'autenticazione e migliorare la sicurezza.

• Revisione e ricertificazione dell'account: condurre revisioni periodiche delle autorizzazioni di accesso degli utenti per garantire che siano aggiornate e appropriate.

3. Crittografia dei dati

• Crittografia a riposo: crittografa tutti i dati a riposo utilizzando algoritmi di crittografia forti (ad esempio, AES-256) per database, file system e backup.

• Crittografia in transito: utilizzare TLS/SSL per crittografare i dati in transito tra la piattaforma SaaS e i clienti.

• Crittografia end-to-end: per i dati altamente sensibili, implementare la crittografia end-to-end per garantire che i dati rimangano crittografati dall'origine alla destinazione.

• Gestione delle chiavi di crittografia: gestione sicura delle chiavi di crittografia, inclusi rotazione delle chiavi, archiviazione e controlli di accesso.

4. Sicurezza di rete

• Firewall: Implementa firewall per controllare il traffico di rete in entrata e in uscita e prevenire accessi non autorizzati.

• Sistemi di rilevamento e prevenzione delle intrusioni (IDPS): utilizzare IDPS per monitorare il traffico di rete per attività sospette e bloccare comportamenti dannosi.

• Segmentazione della rete: Segmentare la rete in diverse zone (ad esempio, produzione, sviluppo, test) per limitare la diffusione di un attacco.

• Virtual Private Networks (VPN): utilizza le VPN accesso remoto sicuro sistemi interni, in particolare per i dipendenti che lavorano fuori sede.

• Protezione DDoS: implementare meccanismi di protezione DDoS (Distributed Denial of Service) per proteggersi dagli attacchi su larga scala sulla disponibilità della rete.

5. Sicurezza degli endpoint

• Antivirus e anti-malware: installare e mantenere aggiornati i software antivirus e anti-malware su tutti gli endpoint.

• Endpoint Detection and Response (EDR): implementare soluzioni EDR per rilevare e rispondere alle attività dannose sui dispositivi endpoint .

• Gestione delle patch: assicurarsi che tutti i dispositivi endpoint siano regolarmente aggiornati con patch di sicurezza e aggiornamenti software.

• Mobile Device Management (MDM): applicare soluzioni MDM per gestire, proteggere e monitorare i dispositivi mobili utilizzati dai dipendenti.

6. Sicurezza delle applicazioni

• Secure Software Development Lifecycle (SDLC): integrare la sicurezza durante tutto il processo di sviluppo, comprese le pratiche di codifica sicura, le revisioni del codice e le valutazioni delle vulnerabilità.

• Test di sicurezza delle applicazioni statiche e dinamiche (SAST & DAST): eseguire test automatizzati per identificare le vulnerabilità nel codice e nelle applicazioni durante e dopo lo sviluppo.

• Test di penetrazione: condurre test di penetrazione regolari per identificare i punti deboli della sicurezza nelle applicazioni.

• Patching di sicurezza: applicare patch per le vulnerabilità delle applicazioni non appena vengono identificate.

• Web Application Firewall (WAF): utilizzare i WAF per proteggere le applicazioni Web da minacce come SQL injection, cross-site scripting (XSS) e altri attacchi.

7. Minimizzazione e protezione della privacy dei dati

• Anonimizzazione e pseudonimizzazione dei dati: utilizzare tecniche come l’anonimizzazione e la pseudonimizzazione per proteggere le informazioni di identificazione personale (PII) e altri dati sensibili.

• Minimizzazione dei dati: limitare la raccolta e il trattamento dei dati personali solo a ciò che è necessario per gli scopi aziendali.

• Conservazione ed eliminazione dei dati: implementare politiche per la conservazione e la cancellazione sicura dei dati dei clienti in conformità con le normative sulla privacy.

• Gestione dei diritti degli interessati: fornire meccanismi per soddisfare le richieste dei clienti in materia di accesso, rettifica, cancellazione e portabilità dei dati come richiesto dal GDPR e da normative simili.

8. Sicurezza cloud

• Cloud Access Security Broker (CASB): utilizza CASB per applicare le policy di sicurezza per l’utilizzo del cloud, monitorare l’accesso ai servizi cloud e proteggere i dati ospitati nel cloud.

• Sicurezza dei container: implementare controlli di sicurezza per i container (ad es. Docker, Kubernetes), compresa la scansione delle immagini e la protezione runtime.

• Sicurezza Infrastructure-as-Code (IaC): configurazioni di infrastruttura sicure distribuite utilizzando strumenti IaC come Terraform o AWS CloudFormation convalidando i file di configurazione per configurazioni errate di sicurezza.

• Isolamento delle risorse cloud: utilizzare tecniche di isolamento delle risorse cloud (ad es. VPC) per garantire che i dati dei clienti siano separati e isolati in ambienti multi-tenant.

9. Backup e disaster recovery

• Backup regolari: eseguire backup regolari di dati critici, garantendo che i backup siano crittografati e archiviati in modo sicuro in posizioni geograficamente separate.

• Disaster Recovery Plan (DRP): Sviluppare e mantenere un piano di disaster recovery che delinea le procedure per il ripristino di sistemi e dati in caso di disastro.

• Test di backup: testare periodicamente le procedure di backup e ripristino per garantire che i dati possano essere recuperati in modo efficace.

10. Registrazione e monitoraggio

• Security Information and Event Management (SIEM): utilizzare i sistemi SIEM per raccogliere e analizzare i registri di sicurezza in tempo reale per rilevare e rispondere agli eventi di sicurezza.

• Monitoraggio continuo: Implementare il monitoraggio continuo di monitoraggio sistemi, reti e applicazioni per attività sospette.

• Conservazione dei registri: conservare i registri di sicurezza per un periodo definito dai requisiti normativi e dalle esigenze aziendali per facilitare l’auditing e analisi forense

• Audit Trail: gestire audit trail dettagliati delle attività degli utenti e del sistema, comprese le modifiche ai dati, alla configurazione e alle impostazioni di controllo degli accessi.

11. Gestione delle vulnerabilità

• Scansione regolare delle vulnerabilità: eseguire scansioni regolari delle vulnerabilità di reti, applicazioni e sistemi per identificare potenziali problemi di sicurezza.

• Gestione delle patch: Implementare un processo formale di gestione delle patch per garantire che tutte le vulnerabilità critiche siano patchate in modo tempestivo.

• Programmi di bug bug bounty: considera l'esecuzione di un programma di bug bounty per incoraggiare i ricercatori di sicurezza esterni a trovare vulnerabilità.

12. Sicurezza fisica

• Sicurezza dei data center: garantire la sicurezza fisica nei data center, compresi i controlli biometrici di accesso, la sorveglianza 24/7 e i controlli ambientali (ad es., antincendio, climatizzazione).

• Controllo degli accessi per gli uffici: utilizzare meccanismi di controllo degli accessi come badge, dati biometrici e telecamere a circuito chiuso negli edifici degli uffici per impedire accessi non autorizzati.

13. Risposta e recupero degli incidenti

• Piano di risposta agli incidenti (Incident Response Plan, IRP): stabilire un IRP documentato che definisca i passi da intraprendere in caso di incidente di sicurezza.

• Rilevamento e segnalazione degli incidenti: implementare processi per rilevare, segnalare e gestire gli incidenti di sicurezza in tempo reale.

• Revisione post-incidente: condurre revisioni post-incidente per analizzare le cause profonde degli incidenti e migliorare gli sforzi di risposta futuri.

14. Formazione e consapevolezza

• Formazione sulla consapevolezza della sicurezza: fornire ai dipendenti una formazione continua sulla consapevolezza della sicurezza su argomenti come phishing, ingegneria sociale e gestione corretta dei dati.

• Simulazioni di phishing: esegui simulazioni di phishing regolari per testare e migliorare la consapevolezza dei dipendenti sugli attacchi di social engineering.

• Formazione sulle politiche di sicurezza: assicurarsi che tutti i dipendenti siano istruiti sulle politiche e sulle procedure di sicurezza dell'azienda.

15. Gestione di terze parti e fornitori

• Valutazione del rischio del fornitore: eseguire valutazioni di sicurezza di fornitori terzi per garantire che aderiscano agli stessi standard di sicurezza e privacy dell'azienda.

• Verifiche di terze parti: richiedere ai fornitori critici di sottoporsi a regolari controlli di sicurezza (ad es. SOC 2, ISO 27001) e di fornire report per la revisione.

• Accordi sul trattamento dei dati: assicurarsi che i contratti con i responsabili del trattamento di terze parti includano clausole di protezione dei dati conformi agli standard normativi come GDPR e HIPAA.

16. Pianificazione della continuità operativa (Business Continuity Planning, BCP)

• Piano di continuità aziendale: sviluppare e mantenere un BCP che garantisca la continuità delle operazioni critiche in caso di interruzione o interruzione prolungata.

• Business Impact Analysis (BIA): Condurre una BIA per identificare le funzioni aziendali e le risorse critiche necessarie per la continuità durante le interruzioni.