Proteggere la vostra azienda è più semplice ed economico di quanto voi pensiate.

Le fughe di notizie sono un problema sempre più concreto e dannoso per le aziende, da uno studio che abbiamo condotto nell’ultimo anno è emerso che la maggior parte delle PMI non ha protocolli di sicurezza delle informazioni e che le società di livello corporate applicano dei modelli di sicurezza costosi e dall’approccio eccessivamente aperto.
Nel primo semestre del 2018 i danni provocati dalla perdita, o dal furto, delle informazioni vitali delle aziende ammontano a circa 221 milioni di € con un incremento del dato rispetto all’intero anno precedente del 7%.

 

Se il secchio perde è meglio riparare la perdita piuttosto che continuare a riempirlo d’acqua – Questa metafora è la chiave di lettura di una sicurezza proattiva ed efficiente.
Da mera sicurezza passiva si deve passare ad una strategia d’attacco. E’ fondamentale anticipare le vulnerabilità se vogliamo garantire l’efficienza e la continuità dei sistemi di gestione tale da rendere l’azienda competitiva e sempre operativa. Avremo ottenuto con questa “strategia preventiva” un risparmio in termini economici, di ricerca e sviluppo ed una capacità operativa sempre in linea con le tecnologie.

1. La formazione parte dall’alto

Per adottare sistemi di sicurezza efficaci e pienamente applicati è importante che le figure chiave dell’azienda siano adeguatamente formate, con incontri, seminari e corsi che facciano comprendere loro la reale condizione attuale e che insegnino loro l’importanza di applicare delle regole semplici ma ferree sulla gestione di flussi informativi. E’ fondamentale coinvolgere in questo processo non solo i diretti interessanti ma tutta la catena di comando aziendale partendo da chi è chiamato ad amministrarla.
Bisogna far comprendere che non basta più aggiustare l’ingranaggio rotto per essere in sicurezza, ma che bisogna stabilire una politica di manutenzione costante, con controlli a campione e senza preavviso per verificare sempre la corretta applicazione delle regole introdotte.

2. Istituire più sistemi di backup e testarli con costanza

E’ fondamentale studiare lo stato attuale dell’ecosistema informatico dell’azienda, comprendere chi ha quali accessi, e analizzare quanto facile sia accedere alla rete interna. Alla luce di questo studio stabilire delle gerarchie dei sistemi, e creare piccoli centri di recupero dati (backup) per ogni settore, differenziando tra dati sensibili e dati di ordinaria amministrazione.
E’ cruciale nella prevenzione dalla perdita di informazioni creare dei sistemi che quotidianamente, se non ad ogni cambio di versione di un file, creino delle copie virtuali che rendano il lavoro sempre recuperabile, anche in caso di perdita di un computer, nel giro di pochissimo tempo.
Una volta implementato questo sistema non basta testarne il corretto funzionamento prima del rilascio del servizio interno, ma è bene testarne l’integrità con costanza per individuare eventuali problematicheprima che possano insorgere e creare un danno all’azienda.

3. Adottare un modello di criptazione Corporate-wide

Una volta risolto il problema della perdita delle informazioni è fondamentale creare un sistema che impedisca ad occhi indiscreti di accedere a notizie riservate, conti aziendali o strategie per i mesi a seguire.
Per fare ciò è necessario lavorare su due fronti:
a) creare un inventario dei sistemi che hanno accesso alla rete, istituendo protocolli piramidali per i quali chi non ha l’autorizzazione non può accedere ad una risorsa pur essendo collegato alla stessa rete.
b) adottare un sistema di criptazione che permetta di accedere alle informazioni solo chi ne abbia realmente l’autorizzazione, volendo anche fuori dall’azienda con particolari supporti dedicati.
Una volta implementato questo sistema è importante anche in questo caso mantenerlo sempre aggiornato e vigilare sulla corretta applicazione delle regole di accesso ai sistemi.

4. Istituire un manuale operativo “vivo”

Si definisce documento vivo quel documento che non ha mai fine ai suoi aggiornamenti. Nel caso del manuale operativo è fondamentale che esso sia costantemente aggiornato in base all’infrastruttura tecnologica e alle politiche di accesso alle informazioni. Esso è un documento dalla duplice natura, una di tipo manageriale ed una di tipo operativo.
Infatti in esso devono essere contenute le informazioni sulla composizione dell’infrastruttura e le linee guida sulla manutenzione e sulla gestione degli accessi. Dovranno inoltre essere contenute delle regole pratiche su come comportarsi in caso di perdita dell’accesso da parte di un dipendente, o sulla gestione della manutenzione dell’infrastruttura hardware.

5. Formare i dipendenti sulle regole

Il fattore umano è molto spesso l’elemento debole di una catena di sicurezza. Una volta creato il manuale operativo è importante farne comprendere il valore ai propri dipendenti, che devono essere adeguatamente formati sulle nuove procedure di sicurezza e devono prenderne familiarità, soprattutto se in azienda è accettato che essi possano portare dispositivi propri.
Formarli sulla pericolosità dell’invio o ricezione di email non criptate, sul rischio a cui espongono l’azienda se cliccano su link sospetti allegati nelle mail o su quanto sia importante aggiornare sempre i loro codici di accesso.
Meeting e seminari sulla sicurezza interna devono diventare una regola, la cui frequenza è da valutare sulla base dell’infrastruttura.

6. Device personali in azienda si o no?

Al giorno d’oggi praticamente tutti abbiamo uno smartphone, un tablet o semplicemente un dispositivo di lettura sempre con noi. Questi dispositivi ci seguono ovunque, anche sul posto di lavoro.
Impedirne l’accesso sarebbe praticamente impossibile, ma limitarne l’interazione con i sistemi aziendali è possibile.
Bisogna creare una rete indipendente a cui questi dispositivi possono accedere, con regole ferree sulle dinamiche di acceso. Negli incontri di formazione è importante trattare l’argomento, facendo capire ai dipendenti che potenzialmente un’app gratuita di fotoritocco potrebbe celare al suo interno un sofisticato sistema studiato per rubare informazione. Regole semplici come il vietare di utilizzare le porte USB dei propri computer per ricaricare uno smartphone devono essere istituite, facendo capire al dipendente che non è uno sgarbo personale ma un sistema di protezione della rete aziendale.

7. Istituire un ufficio dedicato alla protezione dei dati

Creare delle regole o dotarsi del più sofisticato firewall non bastano da soli, essi infatti rappresentano solo il 5% del sistema di prevenzione.
Come già detto nei punti sopra elencanti è la costante vigilanza dei sistemi informativi che genera la reale protezione.
Intervenire prontamente in caso di attacco, perdita di dati di accesso o sostituzione di una componente hardware secondo le regole del manuale sono la chiave vincente per una reale sicurezza.

Copyright© 2017 Tomponzi Investigations & Intelligence