“La cosa più importante per migliorare la sicurezza informatica aziendale è avere un ottimo antivirus.”
“No! La cosa migliore è avere un ottimo sistema di backup e disaster recovery!”
Quante volte hai sentito affermazioni come queste?
Cosa si intende per sicurezza informatica?
Prima di addentrarci in discorsi complicati e sviluppare il tema, capiamo innanzi tutto cos’è la sicurezza informatica.
Un’ottima definizione, come sempre, la da Wikipedia:
“Con il termine sicurezza informatica si intende quel ramo dell’informatica che si occupa delle analisi delle minacce, delle vulnerabilità e del rischio associato agli asset informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore ad una determinata soglia di tollerabilità (es. economico, reputazionale, politico-sociale, ecc…).”
Ma allora la cybersecurity?
Molto spesso, nello slang comune, a sicurezza informatica e cybersecurity viene dato lo stesso identico significato ma in realtà c’è una sottile differenza tra i due termini.
Anche qui, ci viene in aiuto Wikipedia:
“Per cybersecurity si intende, infatti, quell’ambito dell’information security prettamente ed esclusivamente dipendente dalla tecnologia informatica. Nell’utilizzare il termine cybersecurity si vuole intendere, in particolare, un approccio mirato ad enfatizzare non tanto le misure di prevenzione (ovvero quelle misure che agiscono riducendo la probabilità di accadimento di una minaccia), ma soprattutto le misure di protezione (ovvero quelle misure che agiscono riducendo la gravità del danno realizzato da una minaccia).”
La mia preferita
C’è un’altra definizione, tratta dal portale www.securinfo.it che mi piace molto e che credo possa essere l’anello di congiunzione tra le due definizioni scritte poco fa:
“La Sicurezza Informatica può essere definita come l’insieme delle misure (di carattere organizzativo e tecnologico) atte a garantire l’autenticazione dell’utente, la disponibilità, l’integrità e la riservatezza delle informazioni e dei servizi, gestiti o erogati in modo digitale.”
Mi piace molto questa frase, perché più di ogni altra definizione trovata e letta nella rete, coniuga i due termini di sicurezza informatica e cybersecurity.
Oltre a tutto questo, usa il termine “organizzativo” lasciando intendere che quindi non è tutta una questione solo di software o hardware da utilizzare…
Sotto sotto allora c’è dell’altro!
Le mosse che (quasi) tutti fanno
Ci sono dei passaggi chiave, dei suggerimenti, che bene o mal nel web si trovano piuttosto facilmente da Google e con i quali sono assolutamente d’accordo.
Queste sono operazioni che ogni responsabile IT immagino pratichi già da tempo all’interno dell’azienda in cui lavora:
– utilizzo di un Next Generation Firewall (NGF) ovvero firewall di ultima generazione;
– email security: non solo protezione verso spam, phinshing e malware ma anche sicurezza delle informazioni. Si parla sempre più infatti di crepitazione dei dati;
– aggiornamento frequente delle password utilizzate;
– backup periodici dei dati;
– utilizzare un antivirus e soprattutto aggiornarlo periodicamente;
– prestare attenzione alle informazioni personali che pubblichiamo sul web;
– utilizzare la doppia autenticazione;
– installare tutti gli aggiornamenti disponibili per il nostro Sistema Operativo;
– avere un sito web protetto e gestito correttamente su un server sicuro.
Come vedi, ne ho elencato alcuni e posso assicurarti che allungare la lista (o approfondire gli argomenti citati), non sarebbe poi così difficile.
Tra questi però ho volutamente evitato di citare quello che per me è in assoluto il primo passo verso la sicurezza informatica e contemporaneamente la cosa più sottovalutata in assoluto: la formazione del personale.
L’anello debole della catena
Avere del personale formato sembrerà probabilmente una cosa scontata ma in realtà non è proprio cosi.
La tendenza di concentrare maggiormente la nostra attenzione più sulla parte hardware e software del problema (antivirus, firewall, backup…) distoglie l’attenzione proprio da chi, alla fine, utilizza PC e terminali informatici tutto il giorno.
Considera inoltre una cosa importantissima: il personale non può essere monitorato attentamente come magari puoi fare con un programma di monitoring (SolarWinds tanto per citarne uno…).
Cosa vuol dire questo?
Che un responsabile IT o responsabile CED, comodamente seduto nella sua postazione (o da uno Starbucks di New York se è del tipo “smart” come piace a noi) sa vita-morte-miracoli di un qualsiasi PC della sua azienda.
Può attivare l’aggiornamento dell’antivrus.
Può monitorare l’attività di rete e la banda occupata.
Può bloccare l’invio/ricezione delle mail.
Cosa però non può controllare e gestire?
– Non può gestire l’utente che incautamente apre un allegato malevolo dal nome “Fattura.doc” appena arrivato alla sua casella di posta…nonostante lavori nell’ufficio sinistri come Fantozzi;
– Non può sapere che l’utente ha appena impostato una password importante con una logica sbagliata 000000, 123456 oppure la propria data di nascita;
– Non può sapere che l’utente ha appena collegato al PC una sua chiavetta USB infetta (certo…inibiamo le uscite USB del PC ma lavorare diventa un po’ complicato, non credi?)
– Non può sapere se l’utente clicca velocemente su OK ogni volta che sullo schermo compare qualche schermata strana e soprattutto fastidiosa (motivo principale per cui mio papà ha beccato vari virus e pensaci bene, quanti 60enni stanno ancora lavorando al PC in aziende?)
Sono convinto che questi punti ti abbiamo già reso l’idea di che potere – purtroppo – abbiano i tuoi colleghi o dipendenti.
Te la dico senza peli sulla lingua.
Hanno il potere di far chiudere baracca e burattini per portare i libri contabili in tribunale (cose già viste, basta anche qui cercare un po’ su Google…).
Aumentare la sicurezza informatica aziendale: forma il personale!
Che fare allora? La risposta è semplicissima.
Se vuoi migliorare da subito la tua sicurezza informativa aziendale, se vuoi fare un investimento sicuro e a lungo termine devi investire sul personale e sulla sua formazione.
Ma voglio essere chiaro.
Questo non vuol dire che ora tutte le persone all’interno dell’azienda devono avere una laurea in informatica ed un master al famigerato MIT – Massachusetts Institute of Technology.
Vuol dire che le persone devono avere una formazione per sapere cosa possono fare ma soprattutto non possono fare quanto usano un PC.
Ogni utente deve sapere quali rischi corre (ma senza ansia!) e dove porre maggiore attenzione quando naviga sul web.
Deve sapere l’importanza che un backup non può trasformarsi cosi facilmente in un “lo faccio domani…”.
Formare il personale: chi, come, quando?
Esistono molte soluzioni in merito.
Io posso proporti la mia ed assicurarti che per la cosa vale praticamente la soluzione “Soddisfatti o rimborsati!”.
Puoi partecipare ad uno dei corsi di formazione sulla sicurezza informatica (base e avanzato) che il nostro Staff di DatoSicuro organizza.
Proprio in questo periodo, stiamo organizzando il DatoSicuro On Tour, un tour itinerante in 4 tappe dedicato proprio alla sicurezza informatica dove in formato del tutto gratuito diamo delle “dritte” per aggiustare subito un po’ la rotta nell’oceano del web e delle minacce informatiche.
Ma io ho mio cugggino che sa usare il PC e ci aiuta
Quella del titolo di questo paragrafo è un’affermazione nel quale, periodicamente, un professionista incappa in qualsiasi settore lavori: idraulico, elettrico, informatico…
Tutto abbiamo un “cugggino” che sa fare meglio di noi qualcosa ma lasciamelo dire, qua stiamo parlando della sicurezza informatica di un’azienda, non del PC di casa su cui reinstallare Windows 95!
Certo, sicuramente tuo cugggino ti installa l’antivirus (ma quale poi?) e ti configura la posta gratis…ma credi sia davvero proprio questo il settore aziendale su cui andare a risparmiare qualche centinaio di euro?
Mettiti una mano sul cuore.
La sicurezza informatica di un’azienda è un organo vitale e come tale va trattato.
Niente “medico della mutua” ma soltanto il Primario!
Pronto a partire?
Spero, con questo articolo, di averti fatto capire quanto sia facile poter migliorare semplicemente e velocemente la sicurezza informatica della tua azienda o del tuo ufficio.
Ora basta solo programmare e organizzarsi e ricorda, noi dello Staff di DatoSicuro siamo pronti ad aiutarti in caso di necessità.
Tanto per partire, perché allora non partecipare gratuitamente ad una delle tappe del DatoSicuro On Tour?
Commenti recenti