Categorie
Case Studies

Insurance: caso cybersecurity Insoore

Whoosnap Srl sceglie Security Architect per la sicurezza informatica e dei dati della nuova piattaforma Insoore!

Security Architect srl è vicina anche al mondo dell’Insurance: collabora con Whoosnap sul fronte della sicurezza informatica per le sue piattaforme applicative. Approfondiamo il caso Insoore per Whoosnap.

In particolare Security Architect srl si occupa della piattaforma Insoore. Una realtà innovativa che aiuta le compagnie assicurative e le aziende di fleet management a ottimizzare il processo di gestione dei sinistri. Utilizza ispezioni video/fotografiche effettuate da una community di esperti e stime dei danni realizzate da un team di periti, in real time e on demand.

Una grande community presuppone un grande network, compagnie e aziende possono utilizzare il proprio network convenzionato, la sicurezza informatica diviene di centrale importanza.

Con i requisiti di conformità in continua evoluzione e le complessità del settore assicurativo, ora più che mai, le agenzie hanno bisogno di reti affidabili e sicure per soddisfare gli standard del cliente e restare competitivi.

Il settore assicurativo deve affrontare crescenti pressioni finanziarie mentre raccoglie un pool di dati in continua espansione. È fondamentale che le aziende dispongano di un supporto tecnologico che consenta loro di stare al passo con i cambiamenti del mercato. L’innovazione deve sempre andare di pari passo alla sicurezza informatica.

WAF – Web Application Firewall

Un Web Application Firewall è, appunto, un Firewall pensato per le applicazioni Web.

Consente di proteggere l’applicazione filtrando e consentendo il monitoraggio del traffico HTTP tra un’applicazione o un sito web e Internet. In genere protegge le applicazioni da attacchi quali cross-site forgery (CRS), cross-site-scripting (XSS), inclusione di file e SQL injection, tra gli altri.

Un WAF è una difesa del livello 7 del protocollo (secondo il modello OSI), in collaborazione con altre soluzioni facenti parte di una suite di cybersecurity, difende un perimetro.

Protocollo-OSI
Protocollo OSI

Anteporre un WAF a un’applicazione equivale a porre uno scudo tra essa e Internet. Mentre un server proxy protegge l’identità di una macchina client utilizzando un intermediario, un WAF funge da proxy inverso, facendo passare i client attraverso il WAF prima che raggiungano il server, proteggendo così quest’ultimo.

Un servizio pensato per raccogliere dati degli automobilisti, delle assicurazioni, immagini dei sinistri, rilevazioni Pre-assuntive e Assuntive, dati finanziari, ecc… necessita di un’implementazione di criteri e policy per proteggersi dalle vulnerabilità applicative. Variabili che devono essere veloci e facili da modificare per garantire una rapida reazione ai vettori di attacco.

Per esempio, durante un DDoS modificando i criteri WAF è possibile abbassare nell’immediato il rate limiting ed arginare i tempi di disservizio.

Anti-DDoS

Essendo uno degli attacchi più diffusi e causando tempi lunghi di disservizio o rallentamento dei servizi è stato necessario focalizzarsi su un servizio anti-DDoS, per garantire alla web application la velocità e la sicurezza dei dati che promette.

Alcuni dei punti cardine del servizio sono:

  • analizzare in tempo reale e a grande velocità tutti i pacchetti
  • deviare il traffico in entrata sul server qualora anomalo o non legittimo
  • separare tutti pacchetti IP non legittimi dal resto, lasciando passare il traffico valido.

Una volta rilevato l’attacco è necessario un’intervento di mitigazione nei più brevi tempi possibili.

Una soluzione preventiva necessaria al caso Insoore per Whoosnap.

Adeguamento PCI – DSS

Lo standard PCI (Payment Card Industry) DSS (Data Security Standard) è un insieme di requisiti pensato per garantire la sicurezza delle informazioni sui titolari di carte di credito e debito, indipendentemente dalle loro modalità o posizioni di raccolta, elaborazione, trasmissione e archiviazione.

Per Insoore che gestisce grandi moli di dati personali e dati finanziari è di fondamentale importanza che il rispetto dei regolamenti legislativi e il loro aggiornamento non diventi un peso insormontabile.

Per raggiungere gli obiettivi di conformità con efficienza ed efficacia, utilizziamo un framework di controllo. L’uso di un framework di controllo permette all’organizzazione di eseguire il mapping tra le normative e gli standard applicabili e il framework. Così facendo, l’organizzazione può concentrarsi sulle iniziative di controllo IT mirate all’osservanza dei requisiti definiti nel framework, senza disperdersi tra le singole normative.

Se, successivamente, dovessero presentarsi nuovi standard e nuove normative, sarà possibile eseguire il mapping anche di questi ultimi e concentrare gli sforzi sulle parti del framework in cui si è verificato un cambiamento dei requisiti. Nel framework può essere eseguito il mapping di una vasta gamma di requisiti correlati al controllo IT, ad esempio alcuni requisiti specifici del settore quali i requisiti di protezione PCI, i criteri aziendali interni e così via.

I vantaggi che questo framework offre alle organizzazioni che desiderano raggiungere i loro obiettivi di conformità alle normative sono molteplici.

L’approccio basato sull’uso del framework di controllo, infatti, consente di:
  • Combinare vari controlli IT per ottenere la conformità a più standard normativi, ad esempio gli standard PCI – DSS ed EUDPD, ed evitare così l’uso di controlli distinti.
  • Adempiere alle nuove normative non appena queste vengono introdotte.
  • Assegnare priorità alle spese, scegliendo i controlli IT di maggiore efficacia.
  • Evitare sforzi duplicati per raggiungere gli obiettivi di conformità nelle diverse Business Unit dell’azienda.
  • Aggiornare con efficienza le normative grazie a modifiche incrementali dei controlli IT già implementati nell’organizzazione.
  • Stabilire una base comune su cui possano lavorare reparto IT, revisori, dipendenti, ecc…

Concludiamo con successo il case study: caso Insoore per Whoosnap.

Immutable Backup: una certezza contro il ransomware
Blog

Immutable Backup: una certezza contro il ransomware

Tutto quello che devi sapere per proteggere i tuoi dati... Ogni 11 secondi si verifica un attacco ransomware. Ciò significa che nello stesso tempo che impieghiamo a leggere un articolo migliaia di ransomware...
Leggi tutto
Scenari di hacking: come gli hacker scelgono le loro vittime
News

Scenari di hacking: come gli hacker scelgono le loro vittime

Estorsione e Ransomware Gli scenari di hacking sono in aumento. L'applicazione della tecnica della double-extortion o doppia estorsione, nota anche come pay-now-or-get-breached (paga ora o sarai violato), è emersa largamente tra gli scenari...
Leggi tutto
Una strategia di sicurezza informatica unificata è la chiave per la protezione aziendale
Blog News

Una strategia di sicurezza informatica unificata è la chiave per la protezione aziendale

Perchè aumentano gli investimenti in sicurezza informatica? A seguito dei cambiamenti che gli eventi degli ultimi anni hanno determinato nel mondo del lavoro e della finanza, le organizzazioni hanno aumentato in modo significativo...
Leggi tutto
Come proteggere i tuoi dati dai Ransomware
Blog News

Come proteggere i tuoi dati dai Ransomware

Le nuove frontiere del Ransomware In questo articolo cercheremo di fornire delle tracce su come proteggere i tuoi dati aziendali dai Ransomware. Il ransomware non è un nuovo vettore di attacco. In effetti,...
Leggi tutto
Obsolescenza tecnologica: un danno economico
Blog News

Obsolescenza tecnologica: un danno economico

Obsolescenza tecnologica: di cosa si tratta? Nell’immaginario collettivo il mondo digitale è sempre all’avanguardia, con i suoi dispositivi e le sue piattaforme. Ma la costante evoluzione delle nuove tecnologie porta inevitabilmente a un...
Leggi tutto
Perché investire nella sicurezza IT dovrebbe essere in cima all’agenda
Blog News

Perché investire nella sicurezza IT dovrebbe essere in cima all’agenda

Perché un'azienda deve investire in sicurezza informatica avanzata? La sicurezza informatica è essenziale oggi, non c'è dubbio, abbiamo discusso diffusamente dell'argomento. Tuttavia, molti imprenditori non riescono a capirne la vera importanza prima che...
Leggi tutto

News Letter

Leave this field blank
Per saperne di piÙ

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.