-: Dic 02, 2020 / Staff

Proteggere la vostra azienda è più semplice ed economico di quanto voi pensiate

Le fughe di notizie sono un problema sempre più concreto e dannoso per le aziende, da uno studio che abbiamo condotto nell’ultimo anno è emerso che la maggior parte delle PMI non ha protocolli di sicurezza delle informazioni e che le società di livello corporate applicano dei modelli di sicurezza costosi e dall’approccio eccessivamente aperto.
Nel primo semestre del 2018 i danni provocati dalla perdita, o dal furto, delle informazioni vitali delle aziende ammontano a circa 221 milioni di € con un incremento del dato rispetto all’intero anno precedente del 7%.

Se il secchio perde è meglio riparare la perdita piuttosto che continuare a riempirlo d’acqua – Questa metafora è la chiave di lettura di una sicurezza proattiva ed efficiente.
Da mera sicurezza passiva si deve passare ad una strategia d’attacco. E’ fondamentale anticipare le vulnerabilità se vogliamo garantire l’efficienza e la continuità dei sistemi di gestione tale da rendere l’azienda competitiva e sempre operativa. Avremo ottenuto con questa “strategia preventiva” un risparmio in termini economici, di ricerca e sviluppo ed una capacità operativa sempre in linea con le tecnologie.

1. La formazione parte dall’alto

Per adottare sistemi di sicurezza efficaci e pienamente applicati è importante che le figure chiave dell’azienda siano adeguatamente formate, con incontri, seminari e corsi che facciano comprendere loro la reale condizione attuale e che insegnino loro l’importanza di applicare delle regole semplici ma ferree sulla gestione di flussi informativi. E’ fondamentale coinvolgere in questo processo non solo i diretti interessanti ma tutta la catena di comando aziendale partendo da chi è chiamato ad amministrarla.
Bisogna far comprendere che non basta più aggiustare l’ingranaggio rotto per essere in sicurezza, ma che bisogna stabilire una politica di manutenzione costante, con controlli a campione e senza preavviso per verificare sempre la corretta applicazione delle regole introdotte.

2. Istituire più sistemi di backup e testarli con costanza

E’ fondamentale studiare lo stato attuale dell’ecosistema informatico dell’azienda, comprendere chi ha quali accessi, e analizzare quanto facile sia accedere alla rete interna. Alla luce di questo studio stabilire delle gerarchie dei sistemi, e creare piccoli centri di recupero dati (backup) per ogni settore, differenziando tra dati sensibili e dati di ordinaria amministrazione.
E’ cruciale nella prevenzione dalla perdita di informazioni creare dei sistemi che quotidianamente, se non ad ogni cambio di versione di un file, creino delle copie virtuali che rendano il lavoro sempre recuperabile, anche in caso di perdita di un computer, nel giro di pochissimo tempo.
Una volta implementato questo sistema non basta testarne il corretto funzionamento prima del rilascio del servizio interno, ma è bene testarne l’integrità con costanza per individuare eventuali problematicheprima che possano insorgere e creare un danno all’azienda.

3. Adottare un modello di criptazione Corporate-wide

Una volta risolto il problema della perdita delle informazioni è fondamentale creare un sistema che impedisca ad occhi indiscreti di accedere a notizie riservate, conti aziendali o strategie per i mesi a seguire.
Per fare ciò è necessario lavorare su due fronti:
a) creare un inventario dei sistemi che hanno accesso alla rete, istituendo protocolli piramidali per i quali chi non ha l’autorizzazione non può accedere ad una risorsa pur essendo collegato alla stessa rete.
b) adottare un sistema di criptazione che permetta di accedere alle informazioni solo chi ne abbia realmente l’autorizzazione, volendo anche fuori dall’azienda con particolari supporti dedicati.
Una volta implementato questo sistema è importante anche in questo caso mantenerlo sempre aggiornato e vigilare sulla corretta applicazione delle regole di accesso ai sistemi.

4. Istituire un manuale operativo “vivo”

Si definisce documento vivo quel documento che non ha mai fine ai suoi aggiornamenti. Nel caso del manuale operativo è fondamentale che esso sia costantemente aggiornato in base all’infrastruttura tecnologica e alle politiche di accesso alle informazioni. Esso è un documento dalla duplice natura, una di tipo manageriale ed una di tipo operativo.
Infatti in esso devono essere contenute le informazioni sulla composizione dell’infrastruttura e le linee guida sulla manutenzione e sulla gestione degli accessi. Dovranno inoltre essere contenute delle regole pratiche su come comportarsi in caso di perdita dell’accesso da parte di un dipendente, o sulla gestione della manutenzione dell’infrastruttura hardware.

5. Formare i dipendenti sulle regole

Il fattore umano è molto spesso l’elemento debole di una catena di sicurezza. Una volta creato il manuale operativo è importante farne comprendere il valore ai propri dipendenti, che devono essere adeguatamente formati sulle nuove procedure di sicurezza e devono prenderne familiarità, soprattutto se in azienda è accettato che essi possano portare dispositivi propri.
Formarli sulla pericolosità dell’invio o ricezione di email non criptate, sul rischio a cui espongono l’azienda se cliccano su link sospetti allegati nelle mail o su quanto sia importante aggiornare sempre i loro codici di accesso.
Meeting e seminari sulla sicurezza interna devono diventare una regola, la cui frequenza è da valutare sulla base dell’infrastruttura.

6. Device personali in azienda si o no?

Al giorno d’oggi praticamente tutti abbiamo uno smartphone, un tablet o semplicemente un dispositivo di lettura sempre con noi. Questi dispositivi ci seguono ovunque, anche sul posto di lavoro.
Impedirne l’accesso sarebbe praticamente impossibile, ma limitarne l’interazione con i sistemi aziendali è possibile.
Bisogna creare una rete indipendente a cui questi dispositivi possono accedere, con regole ferree sulle dinamiche di acceso. Negli incontri di formazione è importante trattare l’argomento, facendo capire ai dipendenti che potenzialmente un’app gratuita di fotoritocco potrebbe celare al suo interno un sofisticato sistema studiato per rubare informazione. Regole semplici come il vietare di utilizzare le porte USB dei propri computer per ricaricare uno smartphone devono essere istituite, facendo capire al dipendente che non è uno sgarbo personale ma un sistema di protezione della rete aziendale.

7. Istituire un ufficio dedicato alla protezione dei dati

Creare delle regole o dotarsi del più sofisticato firewall non bastano da soli, essi infatti rappresentano solo il 5% del sistema di prevenzione.
Come già detto nei punti sopra elencanti è la costante vigilanza dei sistemi informativi che genera la reale protezione.
Intervenire prontamente in caso di attacco, perdita di dati di accesso o sostituzione di una componente hardware secondo le regole del manuale sono la chiave vincente per una reale sicurezza.

Categoria: Corporate

Cookie	Durata	Descrizione
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-advertisement	1 year	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Advertisement".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
JSESSIONID	session	Used by sites written in JSP. General purpose platform session cookies that are used to maintain users' state across page requests.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Durata	Descrizione
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lidc	1 day	This cookie is set by LinkedIn and used for routing.

Cookie	Durata	Descrizione
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gcl_au	3 months	This cookie is used by Google Analytics to understand user interaction with the website.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
_hjFirstSeen	30 minutes	This is set by Hotjar to identify a new user’s first session. It stores a true/false value, indicating whether this was the first time Hotjar saw this user. It is used by Recording filters to identify new user sessions.

Cookie	Durata	Descrizione
_fbp	3 months	This cookie is set by Facebook to deliver advertisement when they are on Facebook or a digital platform powered by Facebook advertising after visiting this website.
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
fr	3 months	The cookie is set by Facebook to show relevant advertisments to the users and measure and improve the advertisements. The cookie also tracks the behavior of the user across the web on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.

Cookie	Durata	Descrizione
__chkVLST	1 year	No description
__CPcorriere_ct	1 year	No description
__GDPRcorriere_ct	1 year	No description
_calendly_session	21 days	No description
_ga_SQ5R6BPGYV	2 years	No description
_gat_UA-9278209-3	1 minute	No description
_hjAbsoluteSessionInProgress	30 minutes	No description
_hjid	1 year	This cookie is set by Hotjar. This cookie is set when the customer first lands on a page with the Hotjar script. It is used to persist the random user ID, unique to that site on the browser. This ensures that behavior in subsequent visits to the same site will be attributed to the same user ID.
_hjIncludedInPageviewSample	2 minutes	No description
_hjTLDTest	session	No description
CONSENT	16 years 8 months 15 days 8 hours	No description

Proteggere la vostra azienda è più semplice ed economico di quanto voi pensiate

Email

Telefoni