Attraverso questo articolo Luca Salini, titolare di Sada Snc, consulente e auditor esperto in sicurezza delle informazioni e di certificazioni ISO 27001, ci aiuta a individuare 10 passi da seguire per garantire la sicurezza delle informazioni aziendali nell’era dello “smart working”.
In un momento storico in cui lavorare da remoto è diventata una necessità per la maggior parte delle Aziende, ci si è trovati proiettati nell’uso di strumenti digitali in assenza di adeguati sicurezze informatiche, dovute all’uso di connessioni “private”, nuovi strumenti e una proliferazione di mail e collegamenti.
Proviamo quindi a mettere un po’ d’ordine con questo decalogo, frutto dell’esperienza e del buon senso.
1) Definire delle policy di sicurezza delle informazioni
Per gestire la sicurezza delle informazioni in modo adeguato ci sono sempre due modi:
• Investimento tecnologico
• Gestione delle policy
Le tecnologie di sicurezza hanno un costo non sempre adatto al rischio e nelle piccole Aziende risulta difficile fare investimenti in tecnologie per assicurare la sicurezza dei dati. In questo contesto è più congeniale la definizione di policy interne che agiscono sulla risorsa più importante dell’azienda, ovvero le persone, e necessitano quindi di essere accompagnate da attività di formazione.
2) Effettuare un’analisi del rischio adeguata
Bisogna fare un’analisi del rischio opportuna e basata sulle informazioni dell’organizzazione (informazioni-centrica), le informazioni devono essere disponibili, integre e riservate.
L’analisi deve essere fatta in un linguaggio comprensibile alla dirigenza al fine di permettergli di comprendere l’impatto economico delle scelte al verificarsi del rischio.
3) Scegliere credenziali opportune
Molto della sicurezza delle informazioni si ottiene da una buona scelta delle credenziali. Una buona regola può essere l’introduzione di policy differenziate in funzione della tipologia di rischio di accesso e definendo complessità di accesso coerenti con il business.
4) Gestire piattaforme ed informazioni in modo centralizzato
È opportuno che, soprattutto nel caso di lavoro da remoto, le informazioni dell’azienda non vengano distribuite all’interno di piattaforme non controllate dall’organizzazione.
Uno strumento come Digitaliso, per esempio, consente di tenere sotto controllo e gestita tutto quello che concerne il Sistema di Gestione aziendale: documentazione, scadenze, elenchi e registri, eventi, allegati.
È necessario analizzare le piattaforme e i dati necessari all’attività lavorativa e garantire il controllo delle piattaforme utilizzate evitando l’uso di strumenti gratuiti e non professionali, le cui policy di sicurezza e privacy difficilmente sono a norma.
È importante effettuare un’analisi periodica degli accessi previsti e rilasciati sulle piattaforme condivise.
5) Gestire le capacità
È necessario effettuare un’analisi delle risorse utilizzate per l’attività lavorativa, cosa che solo l’accentramento dei dati consente di fare.
6) Non esiste sicurezza migliore di quella che non si vede
Il blocco all’accesso delle informazioni non è sempre la strada migliore da seguire. È meglio consentire l’accesso ai dati aziendali, anzichè bloccarlo, perché permette di avere maggiore capacità di monitoraggio e di evidenziare comportamenti non in linea con le policy aziendali.
7) Gestiamo gli incidenti
Più del 50% degli incidenti (Non Conformità di natura informatica), sono dovuti a errori che possono essere corretti portando a significativi miglioramenti “di sistema”.
Ancora una volta, come già si è avuto modo di dire in altri capitoli, è necessario raccogliere evidenze degli incidenti per poterli analizzare e correggere, sviluppando in questo modo anche la capacità di gestione del rischio.
8) Gestiamo i fornitori con consapevolezza
Probabilmente durante il lockdown il parco fornitori di servizi IT è aumentato per avere nuove applicazioni, nuove piattaforme e nuova connettività. Tutto ciò è avvenuto in emergenza, quindi probabilmente, senza i necessari passi previsti. Ora però si devono stabilire degli adeguati accordi e livelli di servizio e si deve effettuare il monitoraggio anche sui fornitori.
9) Rivedere il presidio fisico delle sedi
Spesso, le sedi, sono ancora il punto di centralizzazione delle informazioni dell’organizzazione e nel periodo di lockdown hanno sicuramente avuto un presidio inferiore rispetto a prima. Attenzione quindi anche alla sicurezza fisica ovvero alla protezione dell’accesso ai server ed all’infrastruttura.
10) #Andrà tutto bene
Questo periodo ha messo a dura prova i piani di business continuity, che sono stati ampiamente testati. Sarà opportuno, con il lento ritorno alla nuova normalità, riesaminare tutto quello che è successo allo scopo di migliorarli alla luce dell’esperienza.
Queste poche e semplici regole possono permettere di abbattere i rischi di un mondo, quello informatico, in cui gli attacchi aumentano in modo esponenziale anno dopo anno, grazie a strumenti di hackeraggio che sono oggi alla portata di tutti.
Proteggersi significa anche dotarsi di soluzioni di sicurezza delle connessioni e della navigazione. Il primo passo, in un mondo che cambia continuamente, è quello di disporre e divulgare il giusto livello di consapevolezza.