BUSINESS BYTES

ENTERPRISE INFORMATION SECURITY: Le best practice per una corretta sicurezza aziendale

  • Pubblicato 7 mesi fa
  • 3 min per lettura

La digitalizzazione dei dati e dei processi è un elemento chiave all'interno delle aziende e, senza dubbio, è uno dei fattori trainanti della crescita economica. Allo stesso tempo però, l'inserimento di informazioni sensibili all'interno di reti informatiche crea una serie di sfide in materia di sicurezza e vulnerabilità dei network. La comunicazione multicanale, per esempio, costituisce un valore aggiunto all'esperienza del cliente, ma rende i sistemi più vulnerabili agli attacchi esterni con conseguenze devastanti.

Lo sanno bene i più di 250.000 utenti di 116 Paesi che il 12 maggio 2017 sono stati vittima della peggior epidemia ransomware della storia (1). Già citati nell'ultimo articolo di Business Bytes (2), i ransomware sono malware che criptano l'accesso ai dispositivi infettati richiedendo un riscatto alle aziende per rimuovere tale limitazione. A farne le spese in Europa sono stati i dispositivi meno aggiornati, come quelli della pubblica amministrazione, tra cui uffici, università e sanità. Le conseguenze più gravi si sono verificate in Inghilterra, dove alcuni ospedali hanno dovuto annullare visite e interventi e dirottare le ambulanze verso strutture vicine a causa dell'incapacità di consultare la documentazione e le cartelle cliniche dei pazienti in cura.

Il delicato compito dei CIO

La protezione dei dati personali coinvolge qualsiasi settore, e la sua importanza dipende anche dal fatto che i consumatori europei la considerino un elemento determinante nella scelta di un'azienda, prima ancora della qualità del prodotto o del servizio. Per le imprese, tuttavia, questo compito non è semplice. Vivere nell'era digitale significa assistere a una crescita esponenziale del numero di dati, di device connessi alla rete e di sfide per la gestione della sicurezza. Molte imprese decidono di investire in tecnologie sofisticate come potenti farewall, anti-virus e altri software di protezione dimenticando che, nell'epoca dell'IoT, tutti i device collegati in rete rappresentano possibili brecce per gli hacker. Minaccia che trova conferma nei preoccupanti dati che provengono dal mondo delle imprese: il 70% dichiara di aver subito almeno un furto di dati come risultato di processi e soluzioni di stampa poco sicure (3).

Oggi, però, parlare di sicurezza all'interno dell'ambiente di lavoro non significa solo limitarsi alla protezione di singoli dispositivi e documenti, ma adottare un approccio olistico che comprenda l'intera infrastruttura informativa aziendale - la cosiddetta enterprise information security. L'obiettivo primario è quello di creare protocolli di sicurezza che consentano di garantire la protezione delle informazioni in tre direzioni: riservatezza, integrità e disponibilità. I CIO devono, infatti, assicurare che le informazioni sensibili, in formato fisico e digitale, siano accessibili solo a individui e sistemi autorizzati. Nell'epoca dello smart working è essenziale per i dipendenti condividere il proprio lavoro attraverso device protetti che impediscano accessi non autorizzati. Per raggiungere tale obiettivo è importante che l'infrastruttura informativa aziendale sia gestita in modo centralizzato, assicurando il controllo degli accessi da remoto e garantendo l'aggiornamento automatico di device e software ed il corretto flusso di dati e documenti. Investire sulla sicurezza è vantaggioso per l'impresa non solo per preservare la propria competitività dalla minaccia di attacchi e furti di informazioni sensibili, ma anche per consentire al team IT di risparmiare risorse e tempo prezioso da dedicare alle attività quotidiane.

Sicurezza e best practice

Sono tre le best practice su cui si costruisce la sicurezza della struttura informatica aziendale. È necessario prevenire e intercettare le minacce prima che queste siano effettivamente pericolose, sviluppando sistemi informativi e analitici in grado di avvertire in caso di rischi provenienti da attacchi esterni. Fondamentali sono anche i meccanismi di controllo lungo tutto l'ecosistema aziendale che coinvolgono, giorno dopo giorno, le divisioni IT Security, il Risk Management e l'ufficio legale. Nel caso in cui non sia possibile prevedere o controllare la minaccia, le aziende devono essere pronte ad affrontare gli attacchi con tempestività al fine di garantire la sicurezza dei dati, delle proprietà intellettuali e della reputazione, e riportando l'organizzazione alla piena operatività nel più breve tempo possibile.


1- Avast Blog, blog.avast.com/wannacry-update-the-worst-ransomware-outbreak-in-history
2- Business Bytes, http://www.canon.it/business-bytes/articles/security-stories-cios-need-to-read.aspx
3- What we do to keep your data safe. Canon information security approach.