Gli specialisti del Punto Imprese Digitale suggeriscono i primi passi da compiere per avere una rete aziendale protetta e a prova di cyber attacchi.
Secondo il Framework Nazionale per la cyber security, lo scenario economico italiano e costituto da una galassia di piccole e medie imprese nelle quali manca il personale specifico per la cyber security, mancanza dovuta principalmente da questioni strutturali e di fatturato. In molte di queste realta i computer vengono usati sia per lavoro sia per il tempo libero e molto spesso i server risiedono in luoghi non protetti. Puo capitare allora che non si sappia dove siano attestati i dati aziendali, se la proprieta intellettuale e/o i progetti innovativi siano adeguatamente protetti, oppure quanti computer possono connettersi alla rete aziendale.
Inoltre, se anni fa era necessario proteggere solo i propri computer, adesso ci sono smartphone, tablet e tanti altri oggetti connessi (smart object), che sono sensibili a possibili attacchi informatici, cosi come non vanno dimenticati i servizi web, come i social media e i cloud, ormai diventati prodotti informatici interni alle aziende.
Il primo passo, al fine di instaurare una buona politica di gestione della sicurezza informatica per contenere e diminuire possibili attacchi da parte del cyber crimine, e creare un inventario dei dispositivi e software, e adottare una strategia di governance. Nell'inventario, che deve essere aggiornato periodicamente, saranno indicati non solo dispositivi fisici (hardware), ma anche i programmi (software), e tutti i sistemi, i servizi e le applicazioni informatiche utilizzate all'interno del perimetro aziendale.
E buona regola far accedere alla rete aziendale solo i dispositivi autorizzati in modo tale da poter individuare quelli che non lo sono e, di conseguenza, vietarne l'accesso. Per quanto riguarda invece i programmi, le applicazioni e i sistemi informatici in uso forniti da terzi parti (servizi cloud, social network, posta elettronica e spazi web) a cui si e registrati, devono essere ridotti a quelli strettamente necessari per lo svolgimento delle attivita d'impresa.
Quando nuovi dispositivi e software sono installati o collegati alla rete e necessario aggiornare immediatamente l'inventario, sul quale devono essere registrate anche le attivita funzionali all'impresa (per ogni asset devono essere riportate tutte le tipologie di informazioni trattate) e la gestione della cyber security. A questo si aggiunge una analisi valutativa dei sistemi critici per l'impresa che ovviamente devono avere una priorita nell'inventario per l'applicazione di contromisure di sicurezza.
Si riportano di seguito alcuni esempi su come aggiornare un inventario per le PMI:
- disattivazione degli account non piu utilizzati (password non aggiornate e dati/informazioni importanti);
- registrazione a servizi esterni esclusivamente tramite le email aziendali e non con le credenziali personali;
- stilare lista completa dei supporti rimovibili (USB) data la diffusa inconsapevolezza nell'utilizzo di tali dispositivi;
- capire dai documenti riportanti le condizioni di utilizzo del servizio come e in quale modo i dati aziendali verranno gestiti dai provider dei servizi web (social e cloud);
- identificazione e registrazione di una mappatura delle dipendenze tra il dato, informazione, software, dispositivo e sistema con il relativo processo di business. In questo modo e possibile individuare il grado di criticita di un singolo sistema, dato ecc. e il suo potenziale impatto in caso di incidente di sicurezza sulla totalita del sistema e sugli obiettivi di business dell'azienda;
- nominare un responsabile per il coordinamento delle attivita di gestione e protezione dei dati/informazioni.
Queste best practice devono essere considerate assolutamente basilari e ad alta priorita per le aziende dato che non comportano costi eccessivi per le PMI, ma anzi sono frutto di una semplice ma oculata gestione della sicurezza informatica.
Articolo curato dal Punto Impresa Digitale Firenze
