Finalmente anche in Italia l’approccio alla cyber security sembra aver raggiunto una nuova dimensione e le imprese hanno acquisito consapevolezza del fatto che la sicurezza aziendale è fondamentale. A confermarlo, oltre ai dati sugli investimenti nel settore, sono anche gli esperti, che percepiscono ora un nuovo atteggiamento da parte del settore produttivo. Ma quali sono gli ingredienti per arrivare a garantire la sicurezza aziendale di dati e servizi digitali? Eccoli di seguito.
L’assessment di sicurezza
Il primo passo nella predisposizione di una strategia rivolta a offrire strumenti per la sicurezza aziendale è l’assessment, cioè un’analisi dello status quo che permetta di “fotografare” il livello di security delle infrastrutture e identificare eventuali vulnerabilità. Non solo: l’intervento di professionisti in questa fase consente anche di mappare con precisione i dispositivi e i servizi presenti, individuare quelli “critici” e gettare le basi per la progettazione dei sistemi di protezione e delle procedure necessarie per garantire l’integrità delle informazioni e un’efficace cyber security aziendale. Questa prima attività consente, in definitiva, di definire quale sarà l’“ossatura” su cui costruire i sistemi di sicurezza informatica, mettere a fuoco le esigenze dell’azienda e individuare gli strumenti più adeguati per soddisfarle.
Governance risk and compliance
Con l’introduzione di normative sempre più specifiche (come il GDPR), la gestione della sicurezza aziendale richiede la predisposizione di un quadro ispirato a policy e standard aderenti alle norme stesse. L’adempimento, nel nuovo quadro che si sta delineando in Italia e in Europa, non è dettato solo dagli obblighi di legge: la compliance alle normative si è infatti rapidamente trasformata in un fattore abilitante per il business, richiesto da partner fornitori e clienti per qualsiasi attività. Si tratta di un’attività indispensabile, che permette di definire con precisione tutte le procedure e le policy aziendali in una logica “security first”. Nella definizione della governance risk and compliance, oltre all’aderenza alle normative e alle certificazioni di settore, è indispensabile introdurre tutti i fattori che consentono di garantire la business continuity e l’acquisizione di quelle caratteristiche (anche attraverso sistemi di audit) al fine di operare in piena sicurezza.
Servizi di sicurezza gestiti
La prospettiva stessa della cyber security è cambiata radicalmente negli ultimi anni: l’iperattivismo dei pirati informatici e il processo di digitalizzazione “spinta” a livello di infrastrutture ha infatti aumentato il livello di complessità che l’impresa deve affrontare per garantire la sicurezza aziendale. La strategia basata sulla logica della detection and response risponde a questa esigenza attraverso l’adozione di tecnologie adeguate e l’implementazione di competenze specifiche. La predisposizione di un efficace sistema di difesa non richiede soltanto strumenti tecnici, ma anche un’attività di gestione e monitoraggio che consenta di contrastare proattivamente le minacce informatiche. La formula dei servizi gestiti, oltre a rappresentare una soluzione in grado di ottimizzare i costi nella gestione delle attività di cyber security, offre la certezza di avere a disposizione un team di esperti in grado di sfruttare tecniche di prevenzione (dalla cyber intelligence all’ethical hacking) e di tempestivo intervento in caso di attacco.
Il fattore umano nella sicurezza aziendale
Tra gli elementi indispensabili per garantire un adeguato livello di sicurezza aziendale, c’è anche la formazione continua di dipendenti e collaboratori. Le strategie dei cyber criminali, infatti, si sono da tempo focalizzate sull’uso di tecniche di ingegneria sociale (come il phishing) che consentono loro di accedere alle reti aziendali per poi eseguire un’attività di “movimento laterale” che gli permette di individuare (e colpire) le risorse critiche dell’azienda. L’attività di awareness, che permette di “educare” alla cyber security i dipendenti attraverso l’erogazione di corsi specifici e l’uso di strumenti training mirati, rappresenta uno degli strumenti più efficaci per prevenire incidenti di sicurezza.
Per una guida più generica sui rischi del web, ti invitiamo a leggere anche la nostra guida su come navigare internet in sicurezza.
