Dalla formazione, alla protezione della posta. Dal backup e dal cloud, agli aggiornamenti. Dal piano di gestione degli incidenti, alla sottoscrizione di un’assicurazione. Ecco la sintesi dei dieci consigli fondamentali alle aziende, contenuti nella pubblicazione “Il decalogo per la sicurezza informatica nelle imprese” realizzata e voluta dal Gruppo merceologico “Terziario Avanzato” dell’Unione Industriali varesina nell’ambito dell’iniziativa “Punto Zero”. Perché il momento richiede di ripartire dall’abc
Il 70% degli incidenti informatici è causato non da una falla tecnologica, ma dal “fattore umano”, dall’errore o dalla distrazione del singolo. È da questa constatazione che parte una pubblicazione redatta dai Sistemi Informativi dell’Unione degli Industriali della Provincia di Varese, a vantaggio delle aziende e, più in generale, di qualsiasi organizzazione. Dieci consigli molto pratici contenuti in una guida intitolata “Il decalogo per la sicurezza informatica nelle imprese”, realizzata dal Gruppo merceologico “Terziario Avanzato” di Univa nell’ambito del Progetto “Punto Zero”. Un percorso di avvicinamento ad una maggiore consapevolezza su rischi e strumenti legati alla cyber security di cui qui di seguito Varesefocus propone una sintesi della più dettagliata versione scaricabile sul
sito www.univa.va.it/puntozero.
1. Mappare attori, ruoli e responsabilità
“Non puoi proteggere ciò che non sai di avere”. Un puntuale censimento di tutti i sistemi aziendali e di tutte le ramificazioni verso clienti e fornitori è indispensabile prima di attuare qualsiasi piano di sicurezza. Attenzione agli shadow-It, cioè quelle aree di utilizzo di strumenti di elaborazione o archiviazione dati aziendali non autorizzati, come ad esempio drive cloud personali o applicazioni non standard.
2. Formazione e informazione
La formazione sulla sicurezza è obbligatoria ai sensi del Gdpr (General data protection regulation) ossia il regolamento Ue sulla privacy e il rispetto dei dati personali che rappresenta ad oggi il principale strumento di prevenzione. Il “fattore umano” è causa scatenante di oltre il 70% degli incidenti informatici. Anche l’informazione è preziosa. Informare puntualmente il personale sui rischi più rilevanti aiuta a mantenere alta l’attenzione e contribuisce a mantenere sul tema un clima collaborativo.
3. Gdpr policy e certificazioni
Il Regolamento Europeo su Privacy e Dati interessa praticamente ogni azienda. Andando oltre agli obblighi burocratici legati a nomine, informative e policy, può rappresentare un’occasione preziosa per iniziare a ragionare sulla protezione dei dati e sulle misure da attuare per mitigare i rischi. Per le imprese che vogliono compiere un ulteriore salto di qualità nella gestione della sicurezza delle informazioni, esistono le normative come la Iso 27001 con la possibilità di conseguire le relative certificazioni.
4. Privilegi minimi
Il principio dei privilegi minimi è un concetto di sicurezza delle informazioni in base al quale a un utente vengono concessi i livelli – o permessi – minimi di accesso per svolgere le proprie mansioni. Nulla di più. Questo principio è universalmente ritenuto una buona pratica per la sicurezza informatica ed è un passo fondamentale per proteggere gli accessi a dati personali e risorse di massima criticità. Il principio si può estendere agli accessi non umani. Il modello può essere applicato anche a sistemi o dispositivi connessi che richiedano privilegi o permessi per eseguire un’attività necessaria.
5. Protezione della posta e del perimetro
Se riusciamo ad immaginare il “perimetro” aziendale come le mura di una città medievale, la posta elettronica rappresenta il principale ponte levatoio: un accesso ad alto rischio da proteggere ad ogni costo. Per questo occorre mettere in campo la massima tecnologia disponibile per la difesa da attacchi che provengano dall’esterno, senza dimenticare che a causa dello smart working e delle sempre più profonde interdipendenze digitali con la catena di subfornitura, la superficie da proteggere è cresciuta a dismisura.
6. Backup e cloud
Una adeguata politica di backup periodicamente revisionata e verificata con collaudi e test rappresenta per l’azienda un aspetto irrinunciabile e vitale. Un backup inadeguato o peggio inutilizzabile è come un paracadute che non si apre al momento giusto. Uno strumento su cui abbiamo riposto troppa fiducia senza verificare che fosse meritata.
7. Aggiornamenti
Ogni giorno vengono scoperte nuove vulnerabilità su sistemi interconnessi di ogni genere: pc, server, firewall, router, laptop, smarphone, tablet, oggetti di domotica... L’aggiornamento puntuale presidiato da un professionista di ogni elemento della rete aziendale è di fondamentale importanza. Molto importante è anche la “segregazione digitale” di tutto ciò che non è più supportato ed aggiornabile e la separazione tra le reti di fabbrica e quelle degli uffici.
8. Dispositivi mobili
L’emergenza è finita. Ora smartphone, laptop e dispositivi mobili assegnati in tutta fretta per fronteggiare la pandemia devono essere messi in sicurezza. Contengono dati aziendali critici e rappresentano una “superficie di attacco” estremamente ambita dai criminali informatici. Blocchi, codici, crittografia, sistemi di mobile device management, backup in cloud, sono ormai elementi chiave per la sicurezza delle imprese.
9. Monitoraggio, piano gestione incidente e disaster recovery
Anche nel complesso mondo della sicurezza informatica, la prevenzione gioca un ruolo fondamentale. Pianificare per tempo come reagire ad un incidente informatico di qualunque origine analizzandone le conseguenze può aiutare a predisporre per tempo un piano di emergenza che farà risparmiare tempo prezioso nel momento del bisogno. Le imprese più strutturate potranno poi avvalersi di strumenti avanzati di monitoraggio e reazione rapida in caso di attacco.
10. Assicurazioni
Le polizze assicurative dedicate alla sicurezza informatica possono fornire all’impresa un aiuto essenziale in caso di incidente grave, sia sottoforma di aiuto economico che come supporto operativo rapido. È però importante stipulare la protezione più adeguata al rischio di impresa per non lasciare scoperture pericolose. Le polizze assicurative non devono naturalmente sostituirsi ad una proattiva attività di mitigazione dei rischi in azienda.
Per saperne di più leggi anche: