Homepage > Blog > Informatica > Introduzione alla sicurezza informatica

Introduzione alla sicurezza informatica

7 Marzo 2017
Guido Oricchio
Categorie: Informatica, Sicurezza
Tags: aziendale, dati, disaster recovery, informatica, privacy, protezione, sicurezza, sicurezza informatica

Requisiti e obiettivi per la sicurezza informatica nelle PMI.

Sicurezza informatica e PMI

Attacchi alle infrastrutture aziendali o appropriazione indebita di informazioni da parte di minacce interne ed esterne sono all’ordine del giorno. Tutti i media sono quotidianamente invasi da notizie che riguardano attacchi informatici, cybercrime, truffe on-line violazioni della privacy. Curare la sicurezza diventa, quindi, un obbligo per non esporsi a rischi davvero importanti. Inoltre le aziende devono oggi garantire, in materia di privacy e sicurezza, la conformità a leggi e normative nazionali e internazionali.Il quadro normativo di riferimento, per sua natura complesso, non è ancora chiarificato e attuato dalle autorità. Tutti sanno che una violazione della sicurezza può comportare gravi danni economici, politici o di immagine.

Le linee guida per proteggere la propria azienda, stabilite da best-practices a livello internazionale, devono essere applicate e seguite in tutte le aziende non solo per motivi legali ma specialmente per garantire un funzionamento efficiente del proprio business.

Cosa si intende per Sicurezza Informatica?

La S.I. è un particolare ramo dell’informatica si occupa dell’analisi delle minacce, delle vulnerabilità e dei rischi associati ai sistemi informatici. Lo scopo della S.I. è quello di proteggere tali sistemi da attacchi (interni o esterni) che potrebbero comportare danni diretti o indiretti oltre una certa soglia di tollerabilità.

(Wikipedia)

È  chiaro, dunque, come la materia sia piuttosto ampia e complessa per chi non ha competenze tecniche, legali e di gestione aziendale.

Cosa c’è da proteggere?

La risposta potrebbe essere: tutto ciò che non siamo disposti a perdere o mostrare a terzi.

Nel caso delle aziende potremmo citare ad esempio:

  1. Informazioni sull’azienda: contabilità, finanze, marketing, contatti, informazioni sugli investitori, piani sviluppo, liste clienti
  2. Proprietà intellettuale: moduli software, metodi operativi, configurazione apparati
  3. Dati confidenzali e documentazioni tecniche: password, mappature di indirizzi, piani per disaster recovery e business continuity, analisi di vulnerabilità.

Perdere il controllo su questi elementi significa, nel medio o lungo periodo, perdere i dati.

Perchè curare la sicurezza informatica?

Gli imprenditori e i liberi professionisti cercano, ogni giorno, di migliorare la propria attività, di sviluppare il proprio progetto di business e di raggiungere nuovi obiettivi. Gestire correttamente i dati aziendali è un ottimo modo per mettere al sicuro il proprio lavoro e concentrarsi sul core business aziendale.

Non concedere vantaggi alla concorrenza e proteggere la reputazione aziendale potrebbero essere, già da soli, motivi sufficienti a tenere sotto controllo la sicurezza informatica. Ma ricordiamo che gestire correttamente questo aspetto del proprio business significa anche: limitare la responsabilità potenziale.Infatti, in sede di procedimento civile o penale è tenuto in considerazione il «modo ragionevole e prudente di operare». Principio, questo, che è richiesto anche in tutti gli altri aspetti della gestione aziendale dalle leggi Italiane ed Europee.

Quali sono i princìpi da seguire?

Gli elementi comuni a leggi e direttive permettono di individuare tre semplici elementi:

  1. Requisito di riservatezza, integrità e disponibilità (CIA – Confidentialy, Integrity, Avaibility)
  2. Comportamento «ragionevole», «appropriato» e «necessario» per contrastare le minacce
  3. Diversificazione delle misure di sicurezza in base alla sensibilità degli oggetti da proteggere

Le leggi non richiedono l’impossibile: la perfetta sicurezza non è un requisito bensì un obiettivo da raggiungere.

La sicurezza, al di là del problema strettamente tecnico, deve essere un approccio filosofico e umano nei rapporti che l’azienda ha con dipendenti, partner, fornitori.

Un buon approccio a questi rapporti dovrebbe prevedere:

  1. Chiarificazione dei rapporti con partner e fornitori, in particolare delle figure designate, per giuste motivazioni, a operare sui sistemi dell’azienda.
  2. Formazione dei dipendenti e definizione di policy per l’accesso e la diffusione di dati aziendali
  3. Previsione e implementazione di un corretto approccio al BYOD ovvero all’utilizzo di strumenti non aziendali per l’accesso alle informazioni interne
  4. Riduzione della la complessità, aumento della gestibilità e soprattutto (rif. Provv. Gar. Privacy 27 nov. 2008) la registrazione e la conservazione, con mezzi idonei, degli accessi.