BLOG

Curiosità su gestione del rischio cyber e cybersecurity

Quante aziende hanno la consapevolezza che non bastano un antivirus o password impossibili per garantire la cybersecurity delle proprie infrastrutture informatiche? Per custodire e rendere inviolabili dati sensibili, i servizi IT e in generale il lavoro di un’azienda serve ben altro: analisi del rischio, sistemi di gestione informatica e protocolli adeguati. 

Cybersecurity e Security Governance

Piccola o grande che sia, ogni azienda deve definire e mettere in atto una Security Governance che possa rispondere in modo rapido e consapevole alle costanti sfide che impongono gli attacchi cyber. 

Attuare strategie di data protection non è più così semplice: non bastano i sistemi di controllo interni, perché la digitalizzazione e l’uso di tecnologie informatiche sempre più interconnesse apre costantemente varchi e spiragli dai quali possono arrivare attacchi informatici esterni.

Rischio cyber ed errore umano

Anche se password, antivirus, aggiornamento software e così via rimangono delle ottime pratiche da perseguire con costanza, per una gestione del rischio a tutto tondo è fondamentale formare i dipendenti sul corretto utilizzo degli strumenti aziendali. 

Le applicazioni installate sullo smartphone aziendale, l’uso di wi-fi pubblici, i social network o ancora la stessa navigazione sul web possono esporre l’azienda a rischi informatici. Un dipendente può, inconsapevolmente, aprire la porta a ospiti indesiderati.

Gestione del rischio: come individuare le infrastrutture critiche

L’analisi del rischio cyber (IT Risk Assessment) aiuta a prevedere e gestire le situazioni e le infrastrutture critiche. Non solo: lo scopo è definire un protocollo comune, condiviso da tutti gli attori in gioco, costantemente monitorato e, laddove necessario, migliorato. Questa è la migliore risposta contro gli attacchi cyber.

La valutazione del rischio cyber passa, in primo luogo, da un’analisi approfondita della realtà aziendale, di qualunque dimensione essa sia. Vediamo insieme quali sono le informazioni necessarie per impostare un corretto piano di gestione e individuare le infrastrutture critiche.

Quali sono i miei asset informativi? 

Il primo passo è identificare tutti gli asset informativi dell’azienda e definirne la corretta relazione con la stessa. Infatti, è abbastanza comune che alcuni servizi IT siano esterni all’azienda e gestiti da terze parti, come cloud e altri servizi in outsourcing.

Identificarli uno a uno e in modo corretto è fondamentale per una gestione accorta dei rischi e per chiarire subito quali siano i confini e le responsabilità circa la protezione dei dati (azienda o servizio esterno).

Quali sono le infrastrutture critiche e le cyber-minacce?

Per l’organizzazione dei processi di cyber security o per l’individuazione delle possibili minacce esistono strumenti elaborati allo scopo, come il Framework nazionale per la Cyber Security e l’ENISA Threat Taxonomy. 

Per ciascun asset informativo si dovrà quindi delineare un profilo di minaccia. Ad esempio, se si utilizza un servizio in outsourcing (basti pensare alle app di Google o a un cloud esterno fruibile on demand), l’attenzione dovrà essere puntata agli attacchi che possono essere perpetrati tramite il fornitore di servizi. Se invece i data center o i servizi sono sviluppati internamente all’azienda, è chiaro che la protezione sarà rivolta all’interno e volta a prevenire violazioni fisiche delle banche dati.

Quali contromisure si possono mettere in atto?

Con i responsabili dei vari processi, a questo punto, si può esaminare una lista dei protocolli messi in atto e valutare le azioni di miglioramento della sicurezza fino al raggiungimento di una situazione di rischio ritenuto accettabile. 

Una volta stabilite le procedure e le responsabilità, è fondamentale verificare l’efficacia delle misure messe in atto, monitorando costantemente la sicurezza informatica e i corretti comportamenti da parte dei dipendenti.

Scopri i nostri corsi in FAD della piattaforma e-learning su Big Data, GDPR ed informatica d'ufficio!