Fare della sicurezza uno strumento di innovazione; essere preparati; andare oltre la norma di legge; responsabilizzare le persone; interpretare la sicurezza come un aspetto strategico.
Sono i cinque suggerimenti che, per bocca di David Gubiani, Technical manager Italy di Check Point Software, mostrano la via per contrastare attacchi alla sicurezza aziendale sempre più frequenti.
A dirlo, secondo il manager, è il furto di identità che, a livello globale, solo nel 2014, ha superato quota 500 milioni, mentre le nuove leggi che l’Unione europea si appresta a introdurre impongono alle aziende di operare con lo stesso livello di responsabilità del settore Pubblico e degli Enti governativi senza rispondere alle minacce nell’immediato.
Da qui l’idea di proporre cinque suggerimenti affinché la sicurezza informatica non diventi una questione prioritaria solo a violazione ormai avvenuta, come spesso accade.
Il primo, per l’appunto, è di fare della sicurezza uno strumento di innovazione.
“Una solida strategia di sicurezza – spiega Gubiani – può fare molto più che proteggere un’azienda dagli attacchi, può anche accelerare l’adozione di nuove tecnologie migliorando efficienza e produttività. Quando si adottano nuove soluzioni o tecnologie, la valutazione del rischio connesso dovrebbe essere eseguita sistematicamente come parte del processo per assicurarne la protezione. Integrare la sicurezza offre alle aziende maggiore protezione, consentendo di innovare ulteriormente”.
In secondo luogo, occorre essere preparati.
“Un errore che le aziende fanno spesso – sottolinea il manager – è dare per scontato che implementare misure di sicurezza sia una procedura da effettuare una tantum, mentre si tratta di un processo in costante evoluzione che prevede controlli regolari sulla vulnerabilità della rete. Per quanto ci si possa tutelare, gli incidenti legati alla sicurezza avvengono, ed è il modo in cui sono gestiti a fare la differenza. Se è presente un piano di azione contingente, è possibile recuperare l’operatività in tempi brevi. Identificare in anticipo le minacce ridurrà sensibilmente i tempi di recupero e i costi associati a un’eventuale violazione della sicurezza”.
Spingersi oltre la norma di legge è un altro step consigliato.
“Molte aziende – fa notare il manager – sono convinte che per essere protette dagli attacchi cibernetici sia sufficiente ottemperare alle leggi che regolamentano privacyla contabilità e tutela dei consumatori. Tuttavia questo atteggiamento limita la portata e l’efficacia di una buona policy di sicurezza, poiché la compliance si riferisce normalmente a minacce specifiche. Alla luce di questo, un’efficace policy di sicurezza deve basarsi su altri presupposti, spaziando dalla salvaguardia delle informazioni alla riduzione delle minacce”.
Vanno, poi, responsabilizzate le persone.
“Le organizzazioni dovrebbero individuare i singoli responsabili del rispetto delle policy di sicurezza – sottolinea Gubiani –. Le responsabilità specifiche dovrebbero essere mappate, assieme a una visione chiara dei confini di ciascuna. Questo dovrebbe essere documentato e condiviso in tutta l’azienda e dovrebbe includere momenti di formazione del personale, in modo da informare ognuno delle proprie responsabilità in termini di sicurezza dei dati”.
Infine, la sicurezza va vissuta come un aspetto strategico.
“Considerato che i dati e le informazioni sono alla base del patrimonio aziendale – conclude il Technical manager di Check Point Software –, non ci si può permettere di ignorare la sicurezza. Senza una policy precisa, sia l’azienda sia i clienti sono a rischio. Comprendere le potenziali minacce e vulnerabilità, creare un piano che tenga conto degli obiettivi strategici dell’azienda, e assicurarsi che la protezione sia integrata nell’infrastruttura informatica consentono alle aziende di trasformare la sicurezza da voce di costo a elemento strategico nella gestione dell’azienda”.
