Cosa trovi in questo articolo
Molte persone non hanno ancora idea dell’importanza della sicurezza informatica per le aziende. La maggior parte dei manager pensano che le loro informazioni aziendali siano completamente al sicuro e prive di qualsiasi minaccia. Questo, però, è un grosso errore!
 Per quanto un’azienda adotti misure per proteggere la propria proprietà intellettuale, è importante mettere da parte la convinzione che sia impossibile per qualcuno entrare all’interno di un determinato sistema.
 Con il progresso delle tecnologie, gli attacchi informatici si stanno rinnovando rapidamente e anche prima che tu te ne accorga, la tua organizzazione potrebbe già essere di nuovo a rischio.
 Ecco perché devi stare molto attento con la protezione delle informazioni riservate e adottare le migliori tecniche e accorgimenti per garantire la sicurezza informatica in azienda.
 All’interno di questo articolo vediamo nel dettaglio perché la sicurezza informatica è importante all’interno di un’organizzazione aziendale e quali sono gli approcci più importanti da adottare.
 Cosa Vuol Dire Fare Cybersecurity in Azienda?
La sicurezza informatica o cybersecurity si riferisce all’insieme di tecnologie, processi e pratiche progettate per proteggere reti, dispositivi, programmi e dati da attacchi, danni o accessi non autorizzati da parte di utenti malintenzionati.
 L’Importanza della Sicurezza Informatica e le Minacce che Deve Affrontare un’Azienda
La sicurezza informatica è importante perché le organizzazioni governative, militari, aziendali, finanziarie e mediche raccolgono, elaborano e archiviano quantità senza precedenti di dati su computer e altri dispositivi.
 Una parte significativa di tali dati può essere costituita da informazioni sensibili, siano esse proprietà intellettuale, dati finanziari, informazioni personali o altri tipi di dati per i quali l’accesso o l’esposizione non autorizzate potrebbero avere conseguenze negative.
 Le organizzazioni trasmettono dati sensibili attraverso le reti e ad altri dispositivi nel corso dell’attività e la sicurezza informatica descrive la disciplina dedicata alla protezione di tali informazioni e dei sistemi utilizzati per elaborarle o archiviarle.
 Con l’aumento del volume e della sofisticatezza degli attacchi informatici, le aziende e le organizzazioni, in particolare quelle che hanno il compito di salvaguardare le informazioni relative alla sicurezza nazionale, alla salute o ai documenti finanziari, devono adottare misure per proteggere le proprie informazioni aziendali e personali sensibili.
 Già nel marzo 2013, i massimi funzionari dell’intelligence americana avevano avvertito che gli attacchi informatici e lo spionaggio digitale rappresentassero la principale minaccia alla sicurezza nazionale, eclissando persino il terrorismo.
 La sfida più difficile nella sicurezza informatica è la natura in continua evoluzione dei rischi per la sicurezza stessi.
 Tradizionalmente, le organizzazioni e il governo hanno concentrato la maggior parte delle proprie risorse di sicurezza informatica sulla sicurezza perimetrale per proteggere solo i componenti di sistema più cruciali e difendersi dalle minacce note.
 Al giorno d’oggi, però, questo approccio non è più sufficiente perché le minacce si evolvono in modo molto più rapido di quanto le organizzazioni riescano a prevedere.
 Di conseguenza, è opportuno adottare approcci più proattivi e adattivi alla sicurezza informatica.
   Cos’è il GDPR è Perché Bisogna Conoscerlo
Il regolamento generale sulla protezione dei dati (GDPR) è un regolamento dell’Unione europea (UE) entrato in vigore il 25 maggio 2018. Al centro del GDPR vi è un nuovo insieme di regole progettate per offrire ai cittadini dell’UE un maggiore controllo sui propri dati personali.
 Esso mira a semplificare l’ambiente normativo per le imprese in modo che sia i cittadini che le aziende della Comunità Europea possano trarre pieno vantaggio dall’economia digitale.
 Le riforme sono progettate per riflettere il mondo in cui viviamo ora e aggiornano le leggi e gli obblighi, compresi quelli relativi ai dati personali, alla privacy e al consenso, in tutta Europa basandosi sull’era della connessione a Internet.
 Fondamentalmente, quasi ogni aspetto della nostra vita ruota attorno ai dati. Dalle società di social media alle banche, ai rivenditori e ai governi: quasi tutti i servizi che utilizziamo implicano la raccolta e l’analisi dei nostri dati personali. Il tuo nome, indirizzo, numero di carta di credito e altro ancora vengono raccolti, analizzati e, cosa forse più importante, archiviati dalle organizzazioni.
 Le violazioni dei dati si verificano inevitabilmente: le informazioni vengono perse, rubate o rilasciate in altro modo nelle mani di persone che non avrebbero mai dovuto vederle – e queste persone spesso hanno intenzioni malevole.
 Secondo i termini del GDPR, non solo le organizzazioni devono garantire che i dati personali siano raccolti legalmente e a condizioni rigorose, ma coloro che li raccolgono e li gestiscono sono obbligati a proteggerli dall’uso improprio e dallo sfruttamento, nonché a rispettare i diritti dei proprietari dei dati. Se non rispettano questi obblighi, possono incorrere in sanzioni abbastanza consistenti.
 Il GDPR si applica a qualsiasi organizzazione operante all’interno dell’UE, nonché a qualsiasi organizzazione al di fuori dell’UE che offra beni o servizi a clienti o aziende situate nella Comunità Europea. Ciò significa in definitiva che quasi tutte le principali aziende del Mondo devono dotarsi di una strategia di conformità al GDPR.
 I Vari Livelli di Sicurezza Informatica Aziendale
Esistono diverse tipologie e livelli di sicurezza informatica che devono essere applicati all’interno di un’organizzazione aziendale. Vediamoli nel dettaglio:
 1 – Sicurezza della Rete Aziendale
La sicurezza della rete è la protezione dell’infrastruttura di rete da accessi non autorizzati, uso improprio o furto. Implica la creazione di un’infrastruttura sicura affinché dispositivi, applicazioni, utenti e programmi possano funzionare e operare in modo sicuro.
 La sicurezza della rete combina più livelli di difesa ai margini e all’interno della rete stessa. Ogni livello di sicurezza della rete implementa a sua volta politiche e controlli. Gli utenti autorizzati ottengono l’accesso alle risorse di rete, ma agli attori malintenzionati viene impedito di eseguire exploit e minacciare i dati e informazioni aziendali.
 2 – Sicurezza Infrastrutture Fisiche
La sicurezza dell’infrastruttura fisica è un termine ampio che si riferisce alla protezione di persone e proprietà dai danni. La sicurezza fisica implica l’utilizzo di più livelli di sistemi come sorveglianza CCTV, serrature, controllo degli accessi, protezione antincendio, ecc., per tenere lontane le persone non autorizzate all’accesso a determinate strutture fisiche.
 Fondamentalmente, la sicurezza fisica consiste nel mantenere le strutture, persone e risorse al sicuro dalle minacce del mondo reale. Include la deterrenza fisica, il rilevamento di intrusi e la risposta a tali minacce.
 Sebbene possa derivare da eventi ambientali, il termine viene solitamente applicato per impedire alle persone – attori esterni o potenziali minacce interne – di accedere ad aree o risorse a cui non dovrebbero avere accesso.
 Gli attacchi fisici potrebbero penetrare in un data center sicuro, intrufolarsi in aree riservate di un edificio o utilizzare terminali a cui non dovrebbero avere accesso all’interno dell’infrastruttura aziendale. Gli aggressori potrebbero rubare o danneggiare importanti risorse IT come server o supporti di archiviazione, accedere a terminali importanti per applicazioni mission-critical, rubare informazioni tramite USB o caricare malware sui sistemi aziendali.
 Controlli rigorosi al perimetro più esterno dovrebbero essere in grado di tenere fuori le minacce esterne, mentre le misure interne relative all’accesso dovrebbero essere in grado di ridurre la probabilità di aggressori interni (o almeno segnalare comportamenti insoliti).
 3 – Sicurezza IoT (Internet of Things)
La sicurezza IoT è la pratica che mantiene i sistemi IoT al sicuro. Questo livello ha l’obiettivo di proteggere da minacce e violazioni, identificare e monitorare i rischi e può aiutare a correggere le vulnerabilità.
 La sicurezza IoT garantisce la disponibilità, l’integrità e la riservatezza di una soluzione IoT.
 Dall’aumento della sicurezza di strade, automobili e case, al miglioramento del modo in cui produciamo e consumiamo prodotti, le soluzioni IoT forniscono dati e approfondimenti preziosi che miglioreranno il nostro modo di lavorare e vivere.
 I moderni ecosistemi IoT sono complessi: macchine e oggetti praticamente in qualsiasi settore possono essere collegati e configurati per inviare dati su reti cellulari ad applicazioni cloud e back-end.
 Sfortunatamente, i diversi tipi di dati e la potenza di calcolo tra i dispositivi IoT significano che non esiste una soluzione di sicurezza informatica “taglia unica” in grado di proteggere qualsiasi implementazione IoT.
 Il primo passo per qualsiasi azienda IoT è sottoporsi a un’approfondita valutazione dei rischi per la sicurezza che esamini le vulnerabilità nei dispositivi, nei sistemi di rete e nei sistemi back-end di utenti e clienti.
 4 – Sicurezza del Cloud Computing
La sicurezza del cloud, nota anche come sicurezza del cloud computing, consiste in un insieme di politiche, controlli, procedure e tecnologie che interagiscono per proteggere i sistemi, i dati e l’infrastruttura basati sul cloud.
 Queste misure di sicurezza sono configurate per proteggere i dati cloud, supportare la conformità normativa e proteggere la privacy dei clienti, nonché impostare regole di autenticazione per singoli utenti e dispositivi.
 Dall’autenticazione dell’accesso al filtraggio del traffico, la sicurezza del cloud può essere configurata in base alle esigenze esatte di una determinata azienda.
 5 – Sicurezza Endpoint e Asset Digitali
La sicurezza degli endpoint è la pratica di proteggere gli endpoint o i punti di ingresso dei dispositivi degli utenti finali come desktop, laptop e dispositivi mobili dall’essere sfruttati da attori malintenzionati.
 La sicurezza degli endpoint si è evoluta dai tradizionali software antivirus per fornire una protezione completa da malware sofisticati e minacce zero-day in continua evoluzione.
 Le organizzazioni di tutte le dimensioni sono a rischio a causa di stati-nazione, hacktivist, criminalità organizzata e minacce interne dannose e accidentali. La sicurezza degli endpoint è spesso vista come la prima linea della sicurezza informatica e rappresenta una delle prime implementazioni con cui le organizzazioni cercano di proteggere le proprie reti aziendali.
 Gli odierni sistemi di protezione degli endpoint sono progettati per rilevare, analizzare, bloccare e contenere rapidamente gli attacchi in corso. A tal fine, devono collaborare tra loro e con altre tecnologie di sicurezza per offrire agli amministratori visibilità sulle minacce avanzate e accelerare i tempi di risposta, di rilevamento e di riparazione.
 6 – Sicurezza Dati, Informazioni e Privacy
La sicurezza dei dati è un insieme di standard e tecnologie che proteggono i dati dalla distruzione, modifica o divulgazione intenzionale o accidentale. Essa può essere applicata utilizzando una gamma di tecniche e tecnologie, inclusi controlli amministrativi, sicurezza fisica, controlli logici, standard organizzativi e altre tecniche di protezione che limitano l’accesso a utenti o processi non autorizzati o dannosi.
 Tutte le aziende oggi trattano i dati in una certa misura: dai giganti bancari che si occupano di enormi volumi di dati personali e finanziari all’impresa individuale che memorizza i dettagli di contatto dei suoi clienti su un telefono cellulare, i dati sono in gioco nelle aziende sia grandi che piccole.
 L’obiettivo principale della sicurezza dei dati è proteggere i dati che un’organizzazione raccoglie, archivia, crea, riceve o trasmette.
 Indipendentemente dal dispositivo, dalla tecnologia o dal processo utilizzato per gestire, archiviare o raccogliere dati, questi devono essere protetti. Le violazioni dei dati possono, infatti, sfociare in contenziosi e ingenti multe, per non parlare dei danni alla reputazione di un’organizzazione.
 Sicurezza Informatica in Azienda: Chi Se Ne Occupa?
All’interno di un’azienda vi sono diverse figure e team che si occupano di sicurezza informatica. Le due cariche più importanti, però, sono il Ciso e il DPO. Vediamo nel dettaglio chi sono e quali sono i loro compiti, oltre che responsabilità.
 Chi è e Cosa Fa il Ciso?
Il CISO è una posizione di leadership che è responsabile di stabilire le corrette pratiche di sicurezza e governance e dell’abilitazione di un framework per operazioni aziendali scalabili, oltre che prive di rischi all’interno del difficile panorama aziendale.
 La posizione di leadership è focalizzata sulla comprensione delle sfide alla sicurezza nello stato attuale e futuro delle operazioni aziendali e nel preparare l’organizzazione con gli strumenti, le competenze, le risorse, le relazioni e le capacità giuste contro i crescenti rischi per la sicurezza delle informazioni.
 La posizione di Chief Information Security Officer (CISO) può assumere una varietà di attività e responsabilità lavorative a seconda delle dimensioni, della gerarchia, del settore verticale e delle normative di conformità applicabili ad una determinata organizzazione.
 I CISO hanno una vasta gamma di responsabilità che vanno ben oltre la sola gestione di firewall e software antivirus. Sono responsabili dell’assunzione del personale IT, della definizione delle politiche necessarie per proteggere l’azienda dalle minacce emergenti e della gestione diretta dei leader dei team IT senior per garantire che diano la priorità agli aspetti giusti di una strategia di protezione in qualsiasi momento.
 Chi è e Cosa Fa il DPO?
DPO è l’acronimo di Data Protection Officer. Un DPO è una persona a cui viene data la responsabilità formale della conformità alla protezione dei dati all’interno di un’organizzazione.
 Ai sensi del regolamento generale sulla protezione dei dati dell’UE, alcune organizzazioni dovranno nominare un DPO. Una volta nominato, il GDPR prescrive un quadro attorno ai ruoli e alle responsabilità di questa figura, ma è importante notare che non tutte le organizzazioni dovranno nominare un DPO e che gli stessi DPO non saranno personalmente responsabili per la non conformità delle organizzazioni al GDPR. Il rispetto della protezione dei dati è in ultima analisi responsabilità del responsabile del trattamento dei dati personali.
 È necessario nominare un DPO se si è un’autorità o un ente pubblico, se le attività principali della propria impresa implicano il monitoraggio pertinente e sistematico di individui su larga scala o se le attività principali comportano il trattamento di dati personali sensibili.
 I DPO possono essere interni oppure essere rappresentati da un professionista esterno, a condizione che il DPO esterno abbia una conoscenza sufficiente dell’organizzazione e delle attività di trattamento dei dati che l’azienda effettua.
 Il DPO deve essere coinvolto, fin dall’inizio, in tutte le questioni relative al rispetto della protezione dei dati. Deve, in aggiunta, monitorare la conformità dell’organizzazione e consigliarla sulle questioni relative alla protezione dei dati.
 Il DPO funge anche da punto di contatto principale tra l’organizzazione e l’autorità di controllo responsabile dell’attuazione del GDPR.
 Le esatte responsabilità di un DPO variano da organizzazione a organizzazione, a seconda delle operazioni di raccolta, conservazione e trattamento dei dati personali che vengono effettuate.
   Ogni Dipendente Può Dare il Suo Contributo
Non solo ci sono persone specializzate a occuparsi di cybersecurity, ma ogni dipendente, nel suo piccolo, può comportarsi e agire per garantire il livello di sicurezza informatica più alto possibile all’interno della propria azienda al fine di evitare possibili attacchi.
 Ecco alcune pratiche di sicurezza informatica per le aziende che ogni dipendente dovrebbe conoscere e seguire:
- Proteggere i propri dati.
- Evitare di fare clic su popup, email sconosciute e link non noti.
- Usare una forte protezione e autenticazione tramite password.
- Connettersi solo a connessioni Wi-Fi protette da password.
- Abilitare la protezione firewall al lavoro e a casa.
- Investire in sistemi di sicurezza informatica.
- Installare gli aggiornamenti del software di sicurezza ed eseguire il backup dei propri file frequentemente.
- Parlare con il reparto IT della propria azienda.
- Impiegare controlli di terze parti.
3 Consigli per Migliorare Velocemente la Sicurezza Informatica Aziendale
Proteggere la propria organizzazione dagli attacchi informatici a volte può sembrare un gioco infinito di colpi di scena: non appena ti sei assicurato la protezione da una determinata debolezza, ne appare subito un’altra.
 Questo può demoralizzare qualsiasi organizzazione e far credere loro che le buone pratiche di sicurezza delle informazioni siano impossibili. Tuttavia, c’è una soluzione, ma richiede un modo diverso di sviluppare il proprio pensiero.
 Le organizzazioni devono smettere di guardare a ogni singola minaccia man mano che si presenta e invece costruire difese attrezzate per gestire molteplici azioni che i criminali informatici possono mettere in atto.
 Ecco 3 consigli che ogni azienda dovrebbe implementare subito per migliorare la propria sicurezza informatica.
 1 – Creare una Password Policy
Le password policy sono una raccolta di regole con lo scopo di aumentare la sicurezza dei computer e della rete. Questo di solito significa richiedere agli utenti di creare password sicure e affidabili stabilendo standard specifici. I criteri per le password spesso descrivono come memorizzare e utilizzare le parole di accesso e con quale frequenza devono essere aggiornate.
 Molte aziende non si rendono conto di quanto sia importante creare password complesse. In effetti, statistiche recenti di LastPass mostrano che il 47% delle persone intervistate utilizza le stesse password sia per il proprio lavoro che per gli account personali.
 I criminali informatici stanno diventando sempre più sofisticati ed è abbastanza facile per un hacker decifrare una semplice password.
 Ecco alcune best practice per le password da tenere a mente:
- Rendi le password più complesse includendo cifre, lettere maiuscole e minuscole e caratteri speciali.
- Non consentire agli utenti di riutilizzare le vecchie password modificando un singolo carattere per creare una nuova parola d’accesso.
- Stabilisci password o frasi proibite facili da indovinare come nomi, date di compleanno o nome utente.
- Richiedi agli utenti di creare password diverse per ogni sistema che utilizzano.
2 – Identificare le Vulnerabilità e Monitorare i Dispositivi Utilizzati
Individuare i punti deboli di un’infrastruttura sfruttando la simulazione di violazione e attacco (BAS), ossia una categoria di strumenti che simula un’ampia gamma di attività dannose (inclusi gli attacchi che eluderebbero i controlli attuali), consentendo ai clienti di determinare lo stato attuale della loro posizione di sicurezza, è un ottimo modo per valutare lo stato di protezione di un’organizzazione.
 Il Pentesting è un modo efficace per effettuare un controllo sulla sicurezza di una rete informatica e applicare le lezioni apprese per migliorare il livello di resilienza ai rischi. Uno sforzo di pentesting può valutare e misurare quantitativamente le minacce alle risorse informative presentando le informazioni risultanti dall’analisi dei dati relativi all’incidente e determinando la risposta appropriata da intraprendere se si dovesse verificare la situazione testata.
 Essendo in grado di cercare le vulnerabilità in modi meno tradizionali, questa tecnica può anche identificare i punti deboli nella risposta degli utenti, le aree di formazione necessarie e, se eseguita prima e dopo una campagna educativa, quanto sia stato efficace lo sforzo di formazione.
 Sempre più aziende utilizzano dispositivi mobili nelle loro transazioni. Sebbene ciò sia conveniente, porta, inevitabilmente, anche ad alcuni ulteriori problemi di sicurezza. Il furto di dispositivi come laptop, server, ecc. è, infatti, spesso causa di violazioni dei dati.
 Assicurati, quindi, di avere un inventario documentato dei tuoi dispositivi: la tua azienda dovrebbe essere consapevole di dove si trovano questi dispositivi, chi li possiede, se possono lasciare il tuo ambiente aziendale, ecc.
 Se qualcuno esce con qualcosa per cui non possiede l’appropriata autorizzazione, tenere un inventario può aiutarti a identificare rapidamente il dispositivo rubato, quando il fatto è accaduto, l’entità dei dati rubati e quali ulteriori azioni dovrebbero essere intraprese.
 3 – Formare i Dipendenti nell’Ambito della Cybersecurity
Le politiche e le procedure da sole non faranno molto bene alla tua attività se i tuoi dipendenti non le seguiranno. Una delle principali cause delle violazioni dei dati è dovuta proprio all’errore umano. Tutto ciò che serve è che un dipendente dimentichi di chiudere a chiave una porta o l’armadio di un data center o che faccia entrare una persona non autorizzata in un’area riservata.
 Assicurati di formare i tuoi dipendenti in modo coerente sia sulla sicurezza fisica che sulle minacce che possono sopraggiungere nell’ambito della cybersecurity. Inoltre, la formazione dovrebbe essere costante per assicurare un continuo aggiornamento in base alle continue evoluzioni degli attacchi informatici.
 Alteredu offre diversi corsi online relativi alla cybersecurity molti dei quali rientrano nel monte ore fissato per l’aggiornamento quinquennale dei lavoratori in merito ai rischi e alla sicurezza sul luogo di lavoro.
 Essendo svolti in modalità telematica, i corsi offerti da Alteredu permettono di conciliare lo studio con l’attività lavorativa consentendo al dipendente di scegliere in autonomia il tempo da dedicare alla propria formazione.