Secondo il Framework Nazionale per la cyber security, lo scenario economico italiano è costituto da una galassia di piccole e medie imprese nelle quali manca il personale specifico per la cyber security, mancanza dovuta principalmente da questioni strutturali e di fatturato. In molte di queste realtà i computer vengono usati sia per lavoro sia per il tempo libero e molto spesso i server risiedono in luoghi non protetti. Può capitare allora che non si sappia dove siano attestati i dati aziendali, se la proprietà intellettuale e/o i progetti innovativi siano adeguatamente protetti, oppure quanti computer possono connettersi alla rete aziendale.
Inoltre, se anni fa era necessario proteggere solo i propri computer, adesso ci sono smartphone, tablet e tanti altri oggetti connessi (smart object), che sono sensibili a possibili attacchi informatici, così come non vanno dimenticati i servizi web, come i social media e i cloud, ormai diventati prodotti informatici interni alle aziende.
Il primo passo, al fine di instaurare una buona politica di gestione della sicurezza informatica per contenere e diminuire possibili attacchi da parte del cyber crimine, è creare un inventario dei dispositivi e software, e adottare una strategia di governance. Nell’inventario, che deve essere aggiornato periodicamente, saranno indicati non solo dispositivi fisici (hardware), ma anche i programmi (software), e tutti i sistemi, i servizi e le applicazioni informatiche utilizzate all’interno del perimetro aziendale.
È buona regola far accedere alla rete aziendale solo i dispositivi autorizzati in modo tale da poter individuare quelli che non lo sono e, di conseguenza, vietarne l’accesso. Per quanto riguarda invece i programmi, le applicazioni e i sistemi informatici in uso forniti da terzi parti (servizi cloud, social network, posta elettronica e spazi web) a cui si è registrati, devono essere ridotti a quelli strettamente necessari per lo svolgimento delle attività d’impresa.
Quando nuovi dispositivi e software sono installati o collegati alla rete è necessario aggiornare immediatamente l’inventario, sul quale devono essere registrate anche le attività funzionali all’impresa (per ogni asset devono essere riportate tutte le tipologie di informazioni trattate) e la gestione della cyber security. A questo si aggiunge una analisi valutativa dei sistemi critici per l’impresa che ovviamente devono avere una priorità nell’inventario per l’applicazione di contromisure di sicurezza.
Si riportano di seguito alcuni esempi su come aggiornare un inventario per le PMI:
- disattivazione degli account non più utilizzati (password non aggiornate e dati/informazioni importanti);
- registrazione a servizi esterni esclusivamente tramite le email aziendali e non con le credenziali personali;
- stilare lista completa dei supporti rimovibili (USB) data la diffusa inconsapevolezza nell’utilizzo di tali dispositivi;
- capire dai documenti riportanti le condizioni di utilizzo del servizio come e in quale modo i dati aziendali verranno gestiti dai provider dei servizi web (social e cloud);
- identificazione e registrazione di una mappatura delle dipendenze tra il dato, informazione, software, dispositivo e sistema con il relativo processo di business. In questo modo è possibile individuare il grado di criticità di un singolo sistema, dato ecc. e il suo potenziale impatto in caso di incidente di sicurezza sulla totalità del sistema e sugli obiettivi di business dell’azienda;
- nominare un responsabile per il coordinamento delle attività di gestione e protezione dei dati/informazioni.
Queste best practice devono essere considerate assolutamente basilari e ad alta priorità per le aziende dato che non comportano costi eccessivi per le PMI, ma anzi sono frutto di una semplice ma oculata gestione della sicurezza informatica.
Articolo curato dal Punto Impresa Digitale Firenze
