Come attuare la sicurezza informatica in azienda

60

Come abbiamo già affermato nei precedenti articoli la sicurezza informatica può essere definita come l’unione di prodotti, servizi, regole organizzative e comportamenti individuali che tutelano i sistemi informatici di un’azienda.

Quando si parla di cyber security nelle imprese, bisogna focalizzarsi specificatamente su tre aspetti principali.

  • Prima di tutto, la disponibilità dei dati: è necessario ridurre a livelli accettabili i rischi connessi al loro furto o alle intrusioni abusive.
  • Poi va protetta l’integrità dei dati, ovvero bisogna garantire che le informazioni non vengano modificate o cancellate per via di una manomissione volontaria, un errore o un malfunzionamento tecnico.
  • Infine, deve essere tutelata la riservatezza informatica, cioè difendere le informazioni da accessi e usi non autorizzati.

Prevenire gli attacchi

Il primo passo per ottenere una buona sicurezza informatica aziendale è la formazione del personale.  Difatti le cattive intenzioni, ma ancor più spesso semplici disattenzioni, costituiscono i rischi maggiori.

Ad esempio, la perdita di una chiavetta Usb con all’interno informazioni sensibili relative all’attività dell’impresa e ai suoi clienti,  potrebbe rovinarne la reputazione, se non portare a pesanti sanzioni pecuniarie.

Una delle misure più importanti è, poi, l’installazione di un buon antivirus, che deve essere costantemente aggiornato, a cui è necessario affiancare l’esecuzione di scansioni regolari.

Utile è anche un backup dei dati, cioè una copia dei propri file. In questo modo, se un ransomware infetta il pc, una copia dei dati rimarrebbe protetta, dandoci l’opportunità di ripristinarli all’occorrenza.

Infine, va realizzata una strategia di sicurezza informatica efficace. Questa prevede nell’attuazione di un piano di gestione della crisi che deve prevedere lo scenario peggiore: quello in cui vengono compromesse risorse importanti per il cliente.

Privacy e protezione dei dati di un’organizzazione

Un occhio di riguardo va riservato alla protezione dei dati all’interno di un contesto aziendale.

Ecco una serie di regole che si affiancano alle norme già menzionate, per garantire la tutela delle informazioni all’interno di ciascun’impresa.

  • Per proteggerli, è necessario sapere quali sono i dati a disposizione della nostra organizzazione, dove si trovano e chi ne è responsabile. Un registro dei dati raccolti, da realizzare e mantenere, può quindi risultare fondamentale.
  • Un altro consiglio prevede la creazione di un elenco dei dipendenti che hanno accesso ai dati sensibili. Non tutti hanno bisogno di accedere a tutte le informazioni a disposizione dell’azienda, per cui buona norma è concedere la visione solo ai dati di cui ogni risorsa ha effettivamente bisogno.
  • In ultimo anche delle regolari valutazioni del rischio sono d’ausilio perché permettono all’impresa di individuare in anticipo le potenziali minacce che mettono in pericolo i dati dell’azienda.

L’importanza del CISO e del DPO

Due figure professionali ad hoc risultano sempre più importanti per garantire la sicurezza informatica in azienda sono il CISO (Chief Information Security Officer) e il DPO (Data Protection Officer).

Il primo ha il compito di definire la visione strategica, implementare programmi di protezione e volti a ridurre i potenziali effetti collaterali all’adozione di strumenti hi-tech. Per questo deve avere competenze che vanno al di là dell’ambito strettamente tecnologico: è necessario che comprenda il business dell’impresa, mediante un costante dialogo con i responsabili di prodotto e che sappia comunicare alla dirigenza i rischi legati alle nuove minacce.

La figura del DPO, invece è espressamente previsto dal nuovo regolamento europeo sulla protezione dei dati personali. Il suo ruolo è di applicare una politica di gestione del trattamento dei dati personali all’interno dell’impresa, che sia rispettosa delle normative in vigore. Anche in questo caso fondamentali risultano essere competenze multidisciplinari che vanno dall’ambito giuridico, a quello informatico, passando dalla gestione del rischio e di analisi dei processi aziendali.

In entrambi i casi, questo ruolo professionale può essere occupato sia da una persona che già si trova all’interno dell’azienda oppure essere scelto all’esterno.

Al prossimo articolo del blog di Sicurezza Informatica Italia!

 

Vuoi approfondire le tematiche di sicurezza informatica e di Ethical Hacking?

Scopri il corso di Ethical Hacker & Security Manager targato Musa Formazione.

Leave A Reply

Your email address will not be published.