Mariangela Fagnani – Privacy and Security leader
Anche se molte piccole imprese hanno realizzato sistemi per salvaguardare i dati relativi ai clienti e ad altre informazioni di business, il crescente uso di Internet nelle attività aziendali apre molte nuove aree di vulnerabilità, sia interne che esterne. Ciò pone a rischio l’avviamento commerciale di un’azienda, il suo marchio, la sua immagine, e perfino l’attività d’impresa stessa.
La tranquillità che deriva da una sicurezza adeguata non è un lusso destinato solo alle grandi imprese, ma una necessità anche per la più piccola delle aziende. Un approccio di “buon senso” per identificare le potenziali vulnerabilità è adottabile da aziende di tutte le dimensioni, che possono in conseguenza implementare un processo che assicuri loro protezione.
Ecco i dieci passi chiave da seguire:
1. Definire un regolamento, una politica di sicurezza delle informazioni dell’azienda. Una buona gestione della sicurezza inizia col mettere per iscritto linee guida che delineino gli obiettivi, gli standard e i requisiti di conformità dell’azienda in materia di sicurezza delle informazioni. Tale documento può essere usato dal management come strumento per sensibilizzare l’organizzazione sui principi di sicurezza aziendali.
2. Assegnare la responsabilità per la sicurezza. Non è necessario assumere un direttore della sicurezza delle informazioni, ma è essenziale nominare una persona che si assuma la responsabilità, nei confronti del team direttivo, della tutela e della promozione della sicurezza delle informazioni in tutta l’organizzazione.
3. Fare un inventario del patrimonio informativo. Le aziende dovrebbero redigere e tenere aggiornato un elenco del patrimonio informativo (comprendente software, apparecchiature informatiche, database e file) e documentarne l’ubicazione, la classificazione ai fini della sicurezza e il proprietario interno. Tale elenco aiuta ad assegnare la responsabilità di ciascuna risorsa.
4. Selezionare il personale chiave. Tutelarsi dalle minacce alla sicurezza che arrivano dall’interno è importante quanto proteggersi dalle minacce esterne.
5. Proteggere fisicamente il patrimonio informativo. Non è necessario allestire un centro di calcolo speciale: il semplice accorgimento di chiudere i server in un locale separato, può costituire un’importante misura di sicurezza.
6. Gestire efficacemente la rete. Molte aziende non documentano le procedure corrette per il funzionamento dei sistemi informatici. Quindi, se si verifica un cambiamento nel personale It, è possibile che le informazioni critiche non siano trasferite al nuovo dipendente, provocando perdita di dati o violazione della loro confidenzialità.
7. Creare regole di controllo degli accessi.Le aziende devono definire rigorosamente i permessi utente dei dipendenti.
8. Incorporare la sicurezza in tutti i nuovi sistemi e le nuove applicazioni.
9. Sviluppare un piano di business continuity che spieghi chiaramente le misure che dovrà adottare l’azienda per limitare le interruzioni in caso di disastro e per ripristinare rapidamente le applicazioni essenziali per garantire la continuità delle attività aziendali.
10. Assicurare la conformità alle regole e alle leggi vigenti. Devono essere definite procedure e controlli appropriati, non solo per conformarsi alle leggi in vigore a livello nazionale e locale che disciplinano le attività della propria impresa, ma anche per rispettare le leggi sul copyright, come per esempio per le licenze software. Inoltre, le registrazioni aziendali importanti devono essere salvaguardate, nel caso in cui siano richieste come prova di conformità o per la difesa da potenziali azioni legali in sede civile o penale.
