In un’era dominata dalla tecnologia, quello della sicurezza informatica in azienda è un tema centrale per ogni impresa. La sicurezza informatica è a tutti gli effetti una branca dell’informatica che si occupa della protezione di hardware e software, con l’obiettivo di tutelare i dati.
Cos’è la sicurezza informatica in azienda?
Per sicurezza informatica in azienda si intende l’insieme di servizi e regole utili a proteggere i sistemi informatici, con l’obiettivo di:
- Garantire la riservatezza delle informazioni
- Preservare le risorse presenti da accessi indesiderati
- Assicurare funzionamento e disponibilità dei servizi
La sicurezza informatica aziendale punta a minimizzare i rischi legati al furto dei dati e a proteggerne l’integrità, ossia a garantire che le informazioni presenti in azienda non siano cancellate o modificate volontariamente. Per riuscirci è indispensabile far sì che le informazioni non siano accessibili a soggetti non autorizzati.
Affinché la sicurezza informatica in azienda diventi un vantaggio e non un ostacolo all’azione, è necessario comprendere gli obiettivi e le sfide delle business unit: non solo proteggere le fondamenta tecniche come server, storage, reti e software, ma anche dati, identità, proprietà intellettuale e processi aziendali.
Nel 2020 il vecchio modello organizzativo del team di sicurezza – che individua e risolve problemi dai centri operativi – non ha più senso. Oggi gli ambienti sono diversi: l’entrata in campo di nuovi, potentissimi sistemi da un lato e la complessità sempre maggiore degli strumenti e delle applicazioni da difendere dall’altro, hanno reso obsolete le contromisure di sicurezza, concentrate sulla protezione del perimetro (con firewall e apparecchiature per la sicurezza di rete) e sulla protezione degli endpoint (antivirus e software installati su pc e server), adottate fino a pochi anni fa.
Con la tendenza al “Bring Your Own Device”, le persone oggi gestiscono informazioni di lavoro sui dispositivi più disparati (smartphone, tablet, computer, dispositivi indossabili…) attraverso le connessioni di rete differenti (rete aziendale, linea di casa, cellulare, Wi-Fi pubblici…) e utilizzano – a volte impropriamente – servizi Cloud per backup, collaborazione e condivisione dei file. Ogni azienda deve quindi costruire una strategia di cyber security che tenga conto di molteplici fattori, usando spesso strumenti specifici che devono essere monitorati e coordinati per garantire una protezione efficace.
Importante tenere conto di questi aspetti della sicurezza informatica:
1. sicurezza delle infrastrutture critiche
2. sicurezza di rete
3. sicurezza cloud
4. sicurezza delle applicazioni
5. sicurezza dei dati
6. gestione dell’identità degli utenti
7. sicurezza dell’e-mail
8. sicurezza della Internet of Things
9. sicurezza mobile
Perché la sicurezza deve essere una priorità? E perché in ogni divisione aziendale?
La sicurezza si basa sul costante miglioramento dei risultati aziendali e sulla riduzione del rischio ed è, quindi, necessario comprendere dove risiedono le risorse sensibili e in quale modo sono collegate ai processi aziendali principali. Affidare alla sicurezza un ruolo in ogni dipartimento è fondamentale in quanto tutte le divisioni sono a rischio di attacchi malware, zero-day, furto di identità, ransomware e molto altro ed è necessario che i responsabili aziendali ed il team di sicurezza uniscano le forze per identificare i rischi, valutare gli impatti potenziali, definire strategie, mettere in atto piani difensivi e misurare i risultati.
Un approccio simile comporta un ripensamento dell’organigramma. Il passaggio da DevOps a DevSecOps è un ulteriore passo importante che business leader dovrebbero comprendere ed adottare. I team di protezione devono comprendere gli obiettivi e le sfide delle business unit, per far sì che la sicurezza possa diventare un vantaggio e non un ostacolo all’azione. Con l’incremento dei livelli di conformità, governance e requisiti legali, e la possibilità di garantire ogni nuova opportunità di successo, è un rischio che un’azienda non può permettersi di correre.
Normativa sicurezza informatica aziendale
Nel 2018 sono state emanate due direttive a livello comunitario: NIS e GDPR.
- NIS: si applica agli operatori di servizi “essenziali” necessari al mantenimento di attività sociali ed economiche (trasporti, sanità) e agli operatori di servizi digitali. Tutti questi soggetti sono chiamati a porre in atto misure tecniche e organizzative adeguate alla gestione del rischio e alla prevenzione degli incidenti informatici.
- GDPR (General Data Protection Regulation): operativo in Italia dal 25 maggio 2018, è invece il regolamento europeo sulla privacy e sui dati personali. Interessa tutte le aziende che gestiscono dati, ma non si sovrappone al Nis coprendo un ambito diverso.
Il GDPR prescrive alle aziende:
- L’istituzione di un registro delle attività con elencate le finalità dell’elaborazione dei dati, destinatari, eventuale scadenza per la cancellazione,
- La richiesta di consenso in forma chiara, comprensibile e accessibile,
- La notifica delle violazioni entro 72 ore dall’avvenuta conoscenza,
- La designazione di un responsabile protezione dati che ha il compito di vigilare sull’applicazione del GDPR in azienda.
Cybersecurity Act
Proteggersi dagli attacchi cibernetici è possibile? Ancor prima di affidarsi a un’azienda di sicurezza informatica, le imprese possono porre in essere diversi comportamenti per contenere il rischio derivante da attacchi esterni. Tra questi:
- Dotarsi di un antivirus
- Effettuare spesso copie di backup, possibilmente su memorie esterne
- Prevedere un adeguato piano di gestione della crisi
- Provvedere a un’accurata formazione del personale
Accanto a Nis e GDPR va segnalato il Cybersecurity Act, entrato in vigore il 7 giugno 2019 e volto ad assicurare un livello elevato di sicurezza per le reti dell’Unione dagli attacchi informatici, per creare un mercato unico della sicurezza cibernetica per quanto riguarda prodotti, servizi e processi.
Recepire le direttive internazionali ed effettuare una scrupolosa selezione e formazione del personale diventano metodi essenziali per migliorare la sicurezza informatica in azienda. Affidati a Nexsys e ai suoi corsi di formazione per proteggere la tua azienda!