Elio Molteni – Executive Security Advisor
Alla base di un sistema informativo ci sono i dati che, opportunamente aggregati, sono gli strumenti indispensabili per il business delle aziende. Sono, quindi, i veri e propri “asset” da proteggere.
Molti associano la sicurezza It alla sola tecnologia (per esempio, antivirus, firewall), ma in realtà è l’insieme delle misure tecnologiche, organizzative, procedurali e legali. Un approccio corretto sul come affrontare la sicurezza è partire con una dichiarazione da parte dell’azienda dell’importanza e della motivazione verso l’argomento: le cosiddette “politiche di alto livello” , che costituiscono i principi per l’orientamento delle misure di sicurezza e che contengono vari elementi: l’ambito di applicabilità delle stesse, la dichiarazione di intenti della direzione, la descrizione dei principi generali e dei requisiti di sicurezza, la definizione dei ruoli e delle responsabilità, i criteri per l’analisi e la gestione dei rischi, le indicazioni generali per la gestione degli incidenti e dei disastri, i riferimenti alla documentazione di supporto (politiche funzionali, standard, linee guida, procedure, formazione del personale), i riferimenti alle normative applicabili al contesto, le sanzioni in caso di violazione delle politiche. L’analisi dei rischi è un processo indispensabile per la realizzazione di un sistema di sicurezza: ogni programma deve prevedere una valutazione delle vulnerabilità e delle minacce per definire le misure appropriate a ridurre gli effetti dei rischi a un livello accettabile. La definizione del piano di sicurezza, poi, consente di stabilire l’insieme delle attività per il raggiungimento degli obiettivi della politica di alto livello, corredato di tempi, costi e risorse.
L’organizzazione rappresenta uno dei principali motivi di successo o insuccesso di una qualsiasi attività. Di conseguenza, per conseguire gli obiettivi di sicurezza prefissati è necessario che vengano definiti e attribuiti ruoli e responsabilità in funzione di parametri come dimensione aziendale, natura del business e collocazione geografica.
Poi bisogna esaminare e approvare le politiche funzionali di sicurezza, che costituiscono l’insieme di regole atte a definire il comportamento di persone, risorse, enti a loro volta coinvolti nella gestione del sistema informativo dell’azienda. Vengono aggregate secondo l’argomento trattato e raccolte in documenti. Fra quelle da considerare ci sono il controllo accessi, gestione utenti, analisi e gestione dei rischi, salvataggio e ripristino dei dati, uso della posta elettronica.
Strumenti: non ci si può fermare all’antivirus, al firewall o al backup. Sono necessarie anche tecnologie per ottimizzare la gestione delle identità e degli accessi, per gestire i log, che possono irrobustire il sistema di protezione e aumentare la produttività, giustificando l’investimento. L’analisi del rischio non può essere un processo “una tantum” ma deve essere riproposta con cadenza adeguata: bisogna romuovere e diffondere la cultura della sicurezza, assicurando la diffusione e la consapevolezza delle politiche.
La gestione degli incidenti svolge un compito importante per la sicurezza: nel caso avvengano attacchi, la pronta reazione e la conservazione corretta delle prove e dei materiali acquisiti è vitale sia per il business sia per gli aspetti legali. E poi, quando avviene una violazione alla sicurezza non è bene cercare di nascondere il fatto: le conseguenze potrebbero essere più gravi. Infine, non bisogna sottovalutare la stesura di un piano di Business continuity, che ha l’obiettivo di minimizzare gli effetti di un evento distruttivo che può colpire l’azienda. Calamità naturali, azioni create dall’uomo, astensioni dal lavoro del personale It o gravi malfunzionamenti del sistema informatico sono esempi di disastri il cui impatto va previsto ed evitato.
