Il volume dei dati di un’azienda si espande tra vari ambienti, partner ed endpoint e crescono anche i rischi per la sicurezza informatica. I criminali informatici che cercano di sfruttare le vulnerabilità nella sicurezza mettono a rischio informazioni sensibili e preziose.
La protezione dei dati, che costituiscono una base critica per ogni operazione aziendale, è fondamentale per un approccio alla sicurezza “zero trust”. Le soluzioni per la sicurezza dei dati, siano esse implementate in azienda o in un cloud ibrido, consentono di porre rimedio alle minacce informatiche, applicare controlli in tempo reale e gestire la conformità alle normative. Oggi la cyber security è quindi un fattore essenziale per il successo delle attività di un’azienda e favorisce la creazione di fiducia tra produttori, fornitori ed utenti finali. Segui la nostra guida per imparare a gestire la sicurezza informatica.
Cos’è la cyber security?
La cyber security è l’insieme di tutte le pratiche di condotta studiate per difendere computer, server, dispositivi mobili, sistemi elettronici, reti e dati da possibili attacchi da parte di hacker. È nota anche come sicurezza informatica o sicurezza delle informazioni elettroniche.
Il termine “cyber security” si applica a diversi contesti, dalle aziende al mobile computing e può essere suddiviso in alcune categorie comuni:
- sicurezza della rete, è la pratica di proteggere una rete di computer da intrusi, sia che si tratti di aggressori mirati che di malware.
- Sicurezza delle applicazioni, si focalizza sul mantenimento di software e dispositivi liberi da minacce. Un’applicazione compromessa potrebbe infatti consentire l’accesso a quei dati che è stata progettata per proteggere. Una sicurezza efficace inizia nella fase di progettazione, ben prima che un programma venga distribuito.
- Sicurezza delle informazioni, protegge l’integrità e la privacy dei dati, sia in fase di archiviazione che di transito.
- Sicurezza operativa, comprende i processi e le attività necessarie per la gestione e la protezione delle risorse e dei dati. Le autorizzazioni che gli utenti hanno quando accedono ad una rete e le procedure che determinano come e dove i dati possono essere archiviati o condivisi rientrano in questo ambito.
- Disaster recovery. Le politiche di disaster recovery definiscono il modo in cui l’organizzazione ripristina le operazioni e le informazioni per tornare alla stessa capacità operativa di prima dell’evento.
- Formazione degli utenti finali, affronta il fattore più imprevedibile della sicurezza informatica: le persone. Chiunque può introdurre accidentalmente un virus in un sistema altrimenti sicuro, non seguendo le buone pratiche di sicurezza. Insegnare agli utenti a eliminare gli allegati di posta elettronica sospetti, a non collegare unità USB non identificate e altre norme di condotta importanti, è fondamentale per la sicurezza di qualsiasi organizzazione.
Come gestire la sicurezza informatica in azienda
Un solido programma di sicurezza informatica è una componente essenziale della gestione di un’azienda nell’era digitale, un’epoca in cui il numero di violazioni dei dati sta aumentando in modo esponenziale.
Senza un programma di sicurezza informatica, un’azienda, i suoi clienti e tutti i dati sono a rischio. Si tratta di un programma che ricomprende tutte le policy, le procedure, gli standard e le linee guida di un’azienda in fatto di cyber security, ma che fa riferimento anche alla cultura che vige in merito alla protezione dei dati e delle reti. Tutti questi elementi creano un programma di sicurezza, delineando il modo in cui l’azienda pianifica ed agisce relativamente alla gestione della sicurezza.
Lo scopo del programma di sicurezza informatica è quello di garantire la sicurezza dei dati e delle informazioni di cui si è responsabili.
I programmi di sicurezza informatica devono:
- stabilire un benchmark (parametro di riferimento) per la sicurezza;
- misurare rispetto a tale benchmark;
- consentire un processo decisionale;
- supportare l’esecuzione delle decisioni.
Gli step per implementare un programma di sicurezza informatica
Per implementare un programma di sicurezza informatica è fondamentale seguire i prossimi 9 step.
Step 1. Creare un team dedicato alla sicurezza informatica
Da un lato vi è il team esecutivo, composto da dirigenti di alto livello responsabili della definizione della mission e degli obiettivi del programma di sicurezza, della definizione delle politiche di sicurezza e dei limiti di rischio. Dall’altro invece vi è il gruppo di persone responsabili delle operazioni quotidiane. Nel complesso, questo gruppo progetta e costruisce il quadro del programma di sicurezza informatica.
Step 2. Inventario e gestione delle risorse
Il primo compito del team della sicurezza è quello di capire quali strumenti, beni ed attrezzature esistono, dove si trovano, assicurarsi che siano tracciati e proteggerli adeguatamente. Il team crea un inventario di tutto ciò che potrebbe contenere dati sensibili, dall’hardware ai dispositivi, dalle applicazioni (sviluppate sia internamente che da terzi) ai database, alle cartelle condivise.
Step 3. Analisi del rischio
Per valutare il rischio è necessario pensare alle minacce ed alle vulnerabilità. Iniziare a stilare un elenco di tutte le potenziali minacce alle risorse dell’organizzazione, quindi assegnare un punteggio a queste minacce in base alla loro probabilità e al loro impatto. Poi si deve pensare a quali vulnerabilità esistono all’interno dell’azienda e classificarle in base all’impatto potenziale. Queste vulnerabilità possono essere costituite da persone (dipendenti, clienti, terze parti), da processi o dalla loro mancanza,oppure dalle tecnologie in uso.
Esaminare i due elenchi creati e trovare i punti in cui le minacce e le vulnerabilità possono intersecarsi, mostrando dove esistono i maggiori livelli di rischio. Ad esempio, una minaccia ad alto impatto con un’alta vulnerabilità diventa un rischio elevato.
Step 4. Gestire il rischio
Una volta classificati i rischi, occorre decidere se questi vanno ridotti, trasferiti, accettati o ignorati.
È fondamentale quindi:
- ridurre il rischio: individuare e applicare soluzioni per contrastare il rischio (ad esempio, creare un firewall, stabilire sedi locali e di backup, acquistare sistemi di rilevamento delle fughe di dati per un centro dati).
- Trasferire il rischio: stipulare un’assicurazione per i beni o coinvolgere una terza parte che si assuma il rischio.
- Accettare il rischio: se il costo dell’applicazione di una contromisura supera il valore della perdita, si può scegliere di non fare nulla per mitigare il rischio.
- Evitare il rischio: si verifica quando si nega l’esistenza o l’impatto potenziale di un rischio, il che è sconsigliato perché può portare a conseguenze irreversibili.
Step 5. Sviluppare un piano di gestione degli incidenti e di disaster recovery
Senza un piano di gestione degli incidenti e di ripristino, l’organizzazione è a rischio in caso di incidenti relativi alla sicurezza. Fra questi possono esserci anche semplici interruzioni di corrente, crash dei sistemi IT, hacking, problemi alla catena di approvvigionamento e persino pandemie come il Covid-19.
Un buon piano identifica gli incidenti più comuni e delinea le azioni da intraprendere – e da chi – per recuperare i dati e i sistemi IT.
Step 6. Inventario e gestione delle terze parti
Stilare un elenco di venditori, fornitori e altre terze parti che hanno accesso ai dati o ai sistemi dell’organizzazione, quindi stabilire un ordine di priorità in base alla sensibilità dei dati. Una volta identificati, serve scoprire quali misure di sicurezza adottano le terze parti ad alto rischio o quali controlli sono necessari. È bene monitorare costantemente e mantenere un elenco aggiornato di tutti i fornitori terzi.
Step 7. Applicare i controlli di sicurezza
Si sono identificati i rischi e si è deciso come gestirli. Per i rischi su cui si è deciso di agire, è il momento di implementare i controlli. Questi controlli mitigano o eliminano i rischi. Possono essere tecnici (ad esempio, crittografia, software di rilevamento delle intrusioni, antivirus, firewall) o non tecnici (ad esempio, politiche, procedure, sicurezza fisica e personale).
Un controllo non tecnico da implementare è la politica di sicurezza, la quale funge da ombrello per una serie di altre politiche come la politica di backup, la politica delle password, la politica di controllo degli accessi.
Step 8. Formazione e sensibilizzazione sulla sicurezza
Occorrono in azienda frequenti corsi di formazione sulla sicurezza per condividere il piano di sicurezza informatica e stabilire il ruolo di ciascun dipendente. Dopo tutto, le nuove misure e politiche di sicurezza non servono a nulla se i dipendenti che lavorano con i dati non vengono istruiti su come ridurre al minimo i rischi.
Ogni volta che un elemento del programma di sicurezza cambia, i dipendenti devono esserne informati. Senza dimenticare di documentare e conservare le prove della formazione per futuri controlli.
Step 9. Verifica e revisione del programma
Il modo migliore per determinare l’efficacia del programma di sicurezza informatica è assumere un revisore terzo che offra una valutazione imparziale delle lacune esistenti.
Gli auditor possono anche fare valutazioni sulla vulnerabilità, mediante test di penetrazione per identificare i punti deboli nelle reti, nei sistemi e nelle applicazioni dell’organizzazione.
L’azienda, ovviamente, può anche condurre audit interni per valutare l’efficacia di controlli, policy, procedure, gestione del rischio.
