Policy di sicurezza: alcuni consigli per difendersi dai cyber criminali

Sicurezza informatica al centro di ogni business: le aziende devono vigilare, formare i dipendenti e al contempo stare al passo con i tempi

Al centro di ogni business che si rispetti c’è sempre la sicurezza informatica, un aspetto che non può essere trascurato, soprattutto in un epoca in cui Internet, la tecnologia e i mezzi di comunicazione e informazione hanno potenziato tutte le attività produttive, elevandole a nuovi livelli di interazione business, ma al contempo trasformandole in facili obiettivi per hacker e cyber criminali.

La nuova generazione di spionaggio industriale cerca dati, informazioni e file accedendovi direttamente attraverso le falle dei sistemi di sicurezza delle infrastrutture IT e Web, mentre altre figure si specializzano nella rivendita dei contatti, nei furti di identità e quant’altro.Policy di sicurezza: alcuni consigli per difendersi dai cyber criminali

In questo panorama, quindi, è importante mettere in sicurezza qualsiasi business, delineando policy appropriate che salvaguardino i dati aziendali e la conoscenza interna e al tempo stesso ricorrendo a mezzi hardware e software di protezione capaci di intimidire anche il più abile criminale informatico. Policy e soluzioni di sicurezza camminano a braccetto e non possono essere implementate le una senza le altre: sviluppate singolarmente, infatti, entrambe le vie di difesa dai cyber criminali sarebbero solamente una perdita di risorse e investimenti.

Per difendersi, quindi, è necessario seguire alcune accortezze, che in alcuni casi possono sembrare sofistiche e sciocche, a tal punto che spesso ci si dimentica di osservarle.

Sicurezza per i dispositivi

Qualsiasi dispositivo informatico o di telecomunicazione che appartenga o che transiti in azienda deve essere protetto. Tutti i computer e i laptop devono avere un antivirus e un software anti-malware affidabili e soprattutto continuamente aggiornati e bisogna pretendere che anche i PC dei partner, dei clienti o dei consulenti che entrino nel perimetro aziendale abbiano lo stesso grado di sicurezza. Se quest’ultimo punto è di difficile realizzazione, bisogna pensare a un limbo di connettività che consenta agli estranei di collegarsi e utilizzare un set minimo di servizi quando entrano nelle mura aziendali, senza però mai entrare in contatto con le risorse disponibili agli interni e ancora di più con i sistemi che vanno salvaguardati da occhi indiscreti.

Bisogna imparare a dividere le attività su diverse macchine: ad esempio le informazioni finanziarie di azienda e clienti devono essere conservate su un server che sia dotato di tutte le misure di sicurezza necessarie e che venga utilizzato esclusivamente per il trattamento dei dati sensibili. Si impedirà quindi qualsiasi accesso a servizi email, social o di navigazione che non servano e che possano rendere instabile la salvaguardia dei dati memorizzati.

Se si forniscono connettività wireless e dispositivi di comunicazione a uso promiscuo (cellulari business, ecc.) tutti i dati che transitano o vengono memorizzati devono essere criptati. I dispositivi mobili (compresi i notebook) dovrebbero avere un sistema di password che ne consenta la crittazione dei dati e l’eventuale cancellazione a distanza qualora si superi il numero massimo di inserimenti errati consentito.

Sicurezza per le attività online

Oltre a mettere in sicurezza i dispositivi, bisogna mettere in sicurezza le modalità di navigazione: usare sempre protocolli di sicurezza e VPN per l’accesso dall’esterno verso i dati aziendali; obbligare i dipendenti a usare password lunghe e complesse (numeri, lettere, simboli) che dovranno essere cambiate ogni 60 o 90 giorni; gestire le email con servizi che consentano un autenticazione a due fattori e la lettura via Web criptata; usare servizi di cloud computing pensati per uso aziendale su canali crittati e dedicati; limitare gli accessi ai dipendenti e agli ospiti, attraverso un sistema di controllo granulare sugli ingressi alle risorse e attraverso delle opportune policy di grant per ogni tipologia di utenti.

Sicurezza spiegata ai dipendenti

La sicurezza nasce prima di tutto dai dipendenti e, in generale, da chi utilizza i servizi informatici messi a disposizione dall’azienda. Ogni policy va quindi spiegata, facendo sentire i dipendenti parte attiva del processo di messa in sicurezza dei dati aziendali. Bisogna spiegare il perché di ogni divieto e perché sul PC o sullo smartphone aziendale è impossibile installare software e app non certificati e perché è pericoloso utilizzare piattaforme social e altre applicazioni online poco sicure con i computer destinati all’uso business. Lo staff IT e chi cura le policy interne deve anche farsi carico di spiegare cosa sono le attività di phishing via email, cosa possono provocare e come evitarle. D’altra parte, l’azienda e lo staff IT deve limitare i ruoli informatici dei singoli dipendenti e le autorizzazioni disponibili anche sul singolo PC, magari filtrando anche le attività Web e i siti visitabili.

Sicurezza, le aziende guardino ai bisogni dei dipendenti

Sempre più spesso si parla di BYOD (Bring Your Own Device) e di sistemi di condivisione via cloud. Le aziende devono essere sempre al passo con i tempi e cercare di proporre ai dipendenti soluzioni che facilitino la condivisione e la collaborazione lavorativa prima che i dipendenti stessi trovino da sé i metodi per metterle in atto entrambe, utilizzando software o dispositivi poco sicuri. Il dipendente che usa Dropbox lo fa per comodità e non capisce il rischio che quella piattaforma cela: l’azienda dovrebbe quindi fornire un proprio spazio di cloud storage riservato e cucito sulle policy interne. Allo stesso modo, il dipendente che usa Gmail, lo fa perché trova comodo non dover scaricare le email, non doverle cancellare per problemi di riempimento dello spazio e via discorrendo. Le aziende dovrebbero evitare di imbrigliare i dipendenti in anacronistiche dimensioni per la casella di posta aziendale (50 MB per un account) e organizzarsi con strumenti simil-Gmail per uso aziendale.

Insomma, molte volte i dipendenti sono costretti a usare servizi o applicativi pericolosi perché non viene fornita loro una valida alternativa altrettanto semplice. D’altra parte, sempre più aziende optano per un regime di BYOD per risparmiare e ottimizzare la gestione del parco dispositivi, ma ricorrere al BYOD non significa dimenticare le basilari nozioni sulla sicurezza fin qui esposte.

Sicurezza, una questione di investimenti

In definitiva, per garantire il massimo della sicurezza, ogni business deve investire tempo e denaro su sistemi di qualità e su formazione del personale (a partire da quello IT) e dove tutto manca bisogna organizzarsi con backup crittati (locali o remoti) delle informazioni più importanti e con assicurazioni che garantiscano le giuste risorse in caso di necessità e crisi.

Salvaguardare il capitale informativo e i dati finanziari della propria azienda significa poter svolgere il proprio business in sicurezza, senza brutte sorprese.

Facci sapere cosa ne pensi!

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *