L'estate è arrivata e per molti è tempo di vacanze.
Prestiamo la solita attenzione ai primi bagni di sole, proteggendo la nostra pelle con le creme più adatte o vestendoci nel modo più giusto per regolare la temperatura corporea.
Buone abitudini che aiutano a prevenire problemi o malesseri di diversa intensità.
In termini diversi, dovremmo avere la stessa cura anche all’interno della nostra azienda, dove le risorse da tutelare sono molte: le persone prima di tutto ma anche i beni materiali e immateriali e tutte le informazioni nostre e/o di terzi che riceviamo, gestiamo o trasferiamo.
La sicurezza informatica è l’argomento che ci riguarda da vicino e la domanda che ci poniamo spesso in qualità di sviluppatori software è come garantire una corretta e adeguata gestione dei dati.
Il quesito in realtà dovrebbero porselo tutti, esattamente come quando si esce di casa e si chiudono porte e finestre, magari accendendo telecamere e allarmi.
Per salvaguardare le informazioni ci si basa sempre su tre fondamenti importanti, anche se strategie, attività, ruoli, competenze, possono essere diverse:
1) La confidenzialità dei dati: tutte le fasi di vita del dato devono essere assicurate a partire dal suo salvataggio, durante il suo utilizzo o il suo transito lungo una rete di connessione.
2) L’ integrità dei dati informatici: i dati devono sapersi mantenere integri, non devono essere modificabili o eliminabili, se non da soggetti autorizzati (e tralasciamo qui l’ampia parentesi sulle modalità di autenticazione e sul loro controllo).
3) La disponibilità dei dati: cioè la possibilità, per i soggetti autorizzati, di accedere ai dati d’interesse, per un tempo stabilito ed in modo ininterrotto.
Quali sono le minacce che mettono a rischio una o più caratteristiche del dato?
Partiamo da cause accidentali: errori software, sovrautilizzo di componenti hardware e software, rimozione di dati, rottura di device, fattori ambientali ed eventi catastrofici.
Sicuramente le cause di natura accidentale sono le situazioni più frequenti e pertanto sono oggetto di maggiore attenzione in fase di analisi dei rischi. Incidono in maniera significativa sugli sforzi (e quindi sui costi) delle opportune contromisure.
Tuttavia, le azioni più difficili da prospettare e da intercettare sono quelle malevole, finalizzate a rendere volontariamente irraggiungibili le informazioni: sono spesso legate a richieste di “riscatto” e sono le più pericolose in quanto non lasciano opzioni sul recupero dei dati corrotti o “rubati”.
In entrambi i casi, oltre a procedure automatiche di sicurezza (legate tanto alla componente hardware che a quella software), è fondamentale la formazione degli utenti.
E’ necessario educare gli utenti affinchè adottino comportamenti adeguati per non mettere a repentaglio la sicurezza propria e dell’azienda.
L’educazione passa per la consapevolezza: il personale che opera in azienda deve essere informato dei rischi a cui sono soggetti i dati in transito e in archivio, tanto digitalmente quanto fisicamente. I dati che passano per le nostre email, quelli a cui accediamo in cloud, quelli che ci comunicano a voce o attraverso fogli stampati e appunti lasciati sulle scrivanie.
L’importanza di salvaguardare i dati (intesi come “informazioni”) è confermata dalle norme sempre più precise e stringenti sulla privacy* e sul transito dei dati nel web. Non tutti hanno colto quante informazioni personali (spesso anche sensibili) vengono intercettate quando si utilizzano canali di trasmissione che per noi sono ormai d’uso corrente: la posta elettronica, i form compilati online, i social, i servizi in cloud collegati ai nostri telefoni per agevolare la trasmissione di foto e documenti.
Una conoscenza solo superficiale dei meccanismi di trasmissione dei dati è spesso la causa principale di data breach e di utilizzo fraudolento di dati personali e aziendali.
Qual'è quindi la politica adeguata in azienda per migliorare la sicurezza dei dati a partire dall’interno?
Prima di tutto bisogna adeguarsi alle norme di legge: sono previsti strumenti volti a garantire da un lato la tutela del dato e del suo trattamento (confidenzialità, integrità e disponibilità) e dall’altro i diritti degli interessati a decidere dei propri dati detenuti da terzi a vario titolo. La legge detta linee guida per la gestione dei dati eppure ci capitano aziende che non hanno ancora completato o intrapreso il loro percorso di adeguamento nonostante i considerevoli rischi in termini di impatto diretto sul business e di commissione di illeciti amministrativi e penali.
In seconda battuta, ogni azienda deve definire una strategia di sicurezza, calata sulla propria realtà e sulle esigenze specifiche, perchè non tutte le aziende hanno bisogno dello stesso livello di protezione dei dati e non tutte le informazioni hanno bisogno dello stesso livello di tutela.
Il contesto interno ed esterno all’azienda e l’identificazione delle parti interessate definiscono il campo di applicazione nel processo di gestione del rischio. Si tratta di identificare l’ambiente in cui si opera, le persone coinvolte, i ruoli, i processi, le tecnologie, le politiche, le strategie e gli obiettivi perseguiti. E di confrontarsi con il mondo esterno per cogliere tutte le possibili relazioni che possono influire sulla nostra realtà aziendale. In altre parole, bisogna comprendere bene chi siamo, come siamo organizzati e come ci relazioniamo all'esterno per poter fare un’adeguata analisi dei rischi che ci permetterà di adottare le misure di sicurezza più adeguate.
Il terzo step è la comunicazione della nostra politica di sicurezza a tutti i soggetti interessati: senza la formazione all’uso degli strumenti, all’adozione del corretto comportamento, al rispetto del proprio ruolo e quindi del proprio perimetro d’azione, il nostro piano di sicurezza rimane sulla carta e non serve allo scopo. Ogni soggetto dovrà al contrario fare la propria parte ma per essere efficace deve sapere esattamente cosa fare e come.
Infine, non bisogna dimenticare che l’adeguamento del proprio sistema di sicurezza è un processo continuo, dinamico e non deve esser visto come un unico adempimento. È richiesto un costante monitoraggio e miglioramento delle misure di sicurezza adottate, che possono variare a seconda dell’evolversi delle minacce (anche cibernetiche) e dell’attività svolta dall’azienda.
Quello che bisogna tenere bene a mente è che la violazione della sicurezza può provocare dei danni molto maggiori della mera perdita di un’informazione: può compromettere l’intero business o la reputazione dell’azienda.
08 Ottobre, 2024
09 Settembre, 2024