Home » Impresa al sicuro » Proteggi le risorse

Proteggi le risorse

Proteggi le risorse essenziali e fondamentali della tua impresa

Hai identificato i dati; li hai classificati; e hai stabilito un ordine di importanza fra di essi, adesso: come li proteggi?

Proteggere le informazioni, e più in generale proteggere le risorse aziendali, non significa solo mettere in campo tutte le possibili soluzioni migliori per evitare che un hacker o più in generale un malintenzionato possa “bucare” la rete e rubare le informazioni o manomettere una risorsa.

L’obiettivo di ogni direzione aziendale dovrebbe essere quello di costruire una cultura della cybersecurity: proteggere le informazioni e i dispositivi che quelle informazioni memorizzano e veicolano è un lavoro complicato che va eseguito tutti insieme, ognuno per la sua parte.
Questo comporta sia la conoscenza delle pratiche e dei modelli della sicurezza sia l’atteggiamento proattivo verso l’apprendimento e l’adattamento alle nuove tecnologie del settore poiché tutti dovrebbero avere un atteggiamento positivo nei confronti della sicurezza dell’azienda sentendosi a proprio agio nel condividere le preoccupazioni, nel saper rispondere agli incidenti legati alla sicurezza e nel sapere come ottenere supporto.
È dunque utile avvicinarsi al tema della strategia della sicurezza aziendale, il cui scopo è quello di fronteggiare gli attacchi informatici, conoscendo quelli che sono i cinque pilastri della cybersecurity.

CYBERSECURITY GOVERNANCE

Conoscere le risorse aziendali e i processi produttivi per valutare i rischi associati e predisporre un piano di sicurezza che tenga presente i livelli di criticità delle minacce e la loro evoluzione nel tempo.

CYBERSECURITY MANAGEMENT

La visibilità di quello che avviene all’interno dei confini fisici e virtuali è un principio cardine. La condivisione delle procedure assicura tempestività ed efficacia. E la gestione della sicurezza delle risorse aziendali riguarda:

 

  1. Network Security: la sicurezza “perimetrale” dell’azienda (firewall, SSL, VPN).
  2. Content Security: la sicurezza delle informazioni (file, email) che entrano nel ed escono dal sistema informativo aziendale.
  3. Datacenter & Cloud security: la sicurezza dell’infrastruttura, quella che ha come scopo la data security e la consapevolezza del rischio del data breach, ossia: della violazione delle difese e del furto o danneggiamento delle informazioni.
  4. Identity & Access Management: la sicurezza delle identità digitali e quella dell’accesso alle applicazioni (autenticazione a più fattori).
  5. Application security: la sicurezza del codice sviluppato testato e rilasciato.

CYBERSECURITY AWARENESS

Questo è forse il pilastro più difficile da costruire. Per raggiungere gli obiettivi di cybersecurity le cosiddette best practice di sicurezza aziendale sono necessarie ma non sufficienti. È necessario invece rendere consapevoli le persone dei rischi e delle minacce a cui vanno incontro mentre utilizzano non solo gli strumenti di lavoro e le infrastrutture produttive considerate critiche, ma anche tutti i dispositivi personali. In quest’ottica la pratica dello Shadow IT, che può essere tradotta come “Ombra”, è particolarmente pericolosa poiché si configura quando applicazioni o servizi sono installate o utilizzati senza l’approvazione formale ed esplicita del gruppo IT. Se da una parte il modello Cloud ha reso facile tale pratica dall’altro ha introdotto una nuova criticità da gestire: il gruppo IT purtroppo non può proteggere con efficacia i dati, personali o aziendali che siano, se è inconsapevole dell’uso di applicazioni e di servizi “Ombra”.
La sottovalutazione dei rischi rappresenta lo scenario migliore per un hacker. Formare ed educare alla consapevolezza i dipendenti ma anche i fornitori e i clienti crea una barriera più forte contro i le minacce e costruisce una cybersecurity basata sulla cultura della sicurezza.

CYBERSECURITY INCIDENT

La reazione a una minaccia o a un’azione lesiva della sicurezza aziendale deve essere immediata. Solo così si può pensare di contrastarla efficacemente. Il controllo e il monitoraggio devono essere pratiche quotidiane della cyber resilience, ossia: della capacità di ripristinare la normale attività del sistema informatico; e della capacità di riparare i danni subiti dal sistema di cybersecurity.

CYBERSECURITY COMPLIANCE

Rappresenta il pilastro legislativo per la realizzazione di un piano strategico di difesa cibernetica. Un’impresa deve prestare attenzione, ed essere conforme laddove richiesto, a normative leggi e standard di settore, nazionali e internazionali.

COME AVERE RISULTATI POSITIVI

  • Installa e utilizza software di sicurezza recenti.
  • Mantieni il software di sicurezza aggiornato.
  • Automatizza gli aggiornamenti del software e più in generale di quello di sicurezza.
  • Utilizza un sistema di autenticazione forte (autenticazione multi-fattore).
  • Proteggi l’accesso ai profili utente.
  • Effettua il backup periodico dei dati.
  • Utilizza sistemi sicuri e approvati dal gruppo IT per il trasferimento dei dati.
  • Non aprire documenti sensibili su dispositivi mobili (dispositivi mobili aziendali).
  • Limita l’accesso ai dati o ai sistemi solo a chi ne ha necessità per svolgere un compito.
  • Stabilisci una policy per l’installazione del software sui dispositivi aziendali.
  • Elimina subito un messaggio se hai dei dubbi sulla sua provenienza (spam e phishing).
  • Avvisa subito il gruppo IT dello smarrimento o del furto del dispositivo.

Mantieniti aggiornato con Security Campus

1 + 12 =

Spam e phishing

Gli hacker sono sempre pronti ad ideare nuove tecniche per ingannare gli utenti e portarli ad aprire allegati o a cliccare su link malevoli

Rete aziendale

Suggerimenti per rendere sicura e protetta una rete aziendale

Backup

Come creare copie di backup per proteggere i tuoi dispositivi dalla possibile perdita di dati importanti