Non è semplice riassumere la sicurezza informatica in 10 principi o azioni. Provate per curiosità a porre la questione a tutti i Vostri colleghi. Di recente l’ho fatto ed ho ricevuto risposte tra loro tanto distanti quanto pu …
Non
è semplice riassumere la sicurezza informatica in 10 principi o azioni.
Provate per curiosità a porre la questione a tutti i Vostri colleghi. Di
recente l’ho fatto ed ho ricevuto risposte tra loro tanto distanti quanto
può esserlo un "non fidarti di nessuno" da un "acquista
un prodotto di NETASQ". Sebbene i consigli di natura tecnica (firewall, antivirus,
antispam, analisi delle vulnerabilità,…) siano i più facili
da formulare, sono lontani dalle attività quotidiane di un’azienda,
dove invece la sicurezza informatica è un mezzo, non un obiettivo, e va
quindi analizzata come tale. Ma ecco i 10 passi più rilevanti per una corretta
implementazione della sicurezza informatica.
1. Coinvolgere la direzione dell’azienda
Il management di un’impresa racchiude le persone più esigenti in
termini della produttività aziendale, inoltre approva i fondi da allocare
alla sicurezza informatica. Questi due motivi rendono prioritario il coinvolgimento
della direzione aziendale nelle decisioni legate agli investimenti per la sicurezza
informatica. Qualora mancasse il sostegno dei più alti gradi gerarchici
della Vostra società è molto probabile che numerose richieste
vengano rimandate a "mai".
2. Coinvolgere la direzione informatica
La sicurezza informatica implica una forte integrazione di tutti i servizi.
Sebbene l’addetto alla sicurezza informatica di un’azienda agisca,
a livello gerarchico, in modo indipendente dalla direzione informatica, è
spesso un membro del team responsabile dei servizi informatici. È quindi
assolutamente indispensabile che le misure di sicurezza si adeguino ai vincoli
aziendali. La guerra tra sicurezza e produttività non dovrebbe mai aver
luogo, anzi, è fondamentale trovare un punto di equilibrio, per quanto
ardua possa sembrare l’impresa.
3. Coinvolgere ed informare la totalità degli impiegati
Contrariamente alle apparenze, la maggior parte degli attacchi non
sfruttano eventuali "falle" informatiche. Una semplice somiglianza
a comunicazioni standard è sufficiente per ottenere informazioni importanti
quali la password di un impiegato. Non c’è alcuna ragione per cui
un impiegato di un qualunque settore, produttivo, finanziario o commerciale,
faccia attenzione alla sicurezza, se non ne conosce / capisce l’importanza.
Seminari periodici sarebbero una soluzione ideale.
4. Valutare la redditività dei provvedimenti prioritari
Spesso sicurezza e redditività vengono poste agli antipodi, pertanto
l’addetto alla sicurezza deve sempre valutare il ritorno economico dei
suoi provvedimenti. Equipaggiarsi contro i rischi che comportano i maggiori
costi per l’azienda diventa quindi la sua priorità primaria, oltre
a non dimenticare che è necessario convincere la direzione che le misure,
spesso costose, che prenderà, ne valgono la pena. Se la vostra azienda
opera nell’e-commerce, calcolate ad esempio quanto costerebbe anche solo
un’ora di indisponibilità del vostro sito, oppure immaginate, dall’altro
lato, l’impatto che avrebbe la perdita dei dati dei cinque anni precedenti
archiviati sul server e relativi al vostro miglior acquirente. Sebbene spesso
la redditività degli investimenti in una buona soluzione di sicurezza
sia palese, é sempre preferibile valutare i probabili rischi nei quali
si incorrerebbe, prima di pagare le conseguenze della sua assenza.
5. Selezionare i (migliori) prodotti (per voi)
Un buon prodotto di sicurezza eleva fortemente il livello di protezione
della vostra azienda e preserva la produttività dei vostri impiegati.
La sua utilità si riscontra esclusivamente nel suo impiego. Un prodotto
di difficile implementazione finirà immancabilmente col non rispondere
appieno alle necessità dell’azienda. La tecnologia legata alla
sicurezza è importante ed alcune tecnologie in particolare sono indispensabili
per garantire un buon livello di sicurezza: la prevenzione contro le intrusioni
chiamata "day zero", lo scan antivirus, un antispam efficace eccetera.
Tutti i produttori di sicurezza vi diranno che il loro prodotto è il
migliore, è quindi necessario verificare punto per punto: cosa significa
ad esempio "day zero" per ogni singolo vendor? Se ne avete la possibilità,
fate analizzare diversi prodotti da una società non implicata nell’acquisto.
6. Selezionare prodotti scalabili
Questo punto non è legato meramente alla sicurezza informatica. Un prodotto
si acquista per più anni. È quindi necessario stimarne il costo
per un periodo di 3 anni e non solo il prezzo d’acquisto, che non corrisponde
al costo operativo totale. Selezionate un prodotto che sia adeguato alle vostre
esigenze. Se pianificate un congruo aumento del numero degli impiegati nel corso
dei due anni seguenti, dovrete acquistare un prodotto che possa supportare una
tale crescita.
7. La complessità è vostra nemica
Anche questo consiglio di natura generale trova applicazione nelle misure che
concernono gli utenti. Ad esempio, se costringete l’utente ad impiegare
password sicure ma estremamente difficili da ricordare, le troverete scritte
sotto la tastiera o su un post-it attaccato sullo schermo. Diversi metodi consentono
di scegliere una password sicura ma facile da ricordare. Ad esempio "Tx1,e1xt"
sembra una password sufficientemente robusta, ma in realtà è un
semplice estratto della celebre massima dei moschettieri "Tutti per uno,
e uno per tutti". Trovate il metodo più adatto, affinchè
la sicurezza informatica venga accettata.
8. "Tagliare i ponti"
La migliore soluzione per la sicurezza perimetrale è tenere "chiusa"
la rete. Se una risorsa va condivisa, è necessario limitarne l’accesso
esclusivamente alle persone autorizzate. Questa regola di buona condotta è
meno semplice di quanto appaia. Diverse ricerche mostrano infatti che l’accesso
alle risorse aziendali rimane aperto per più settimane, se non mesi,
dopo le dimissioni di un impiegato.
9. Tenere sotto controllo le vunerabilità
Il livello di protezione offerto dalle soluzioni di sicurezza si è notevolmente
evoluto negli scorsi anni, ma l’applicazione metodica delle correzioni
(bug fix e aggiornamenti) di applicazioni vulnerabili rimane comunque necessaria.
Nessuno si sognerebbe mai di uscire di casa in sottoveste solo perché
ha fatto il vaccino anti-influenzale. Allora perché imporlo alla vostra
azienda?
10. Non dimenticare (quel che può essere)
Il livello di rischio si evolve costantemente: nuovi virus, nuove falle, nuovi
bug, l’arrivo o le dimissioni degli impiegati eccetera. L’acquisto
di un prodotto per la sicurezza informatica non è il traguardo ma la
linea di partenza. Approfondite le vostre conoscenze e verificate spesso il
livello della vostra sicurezza. È così che garantite alla vostra
azienda una costante protezione.
