Cyber Security è un termine di uso comune che si riferisce genericamente alla sicurezza dei dati. In realtà gli aspetti che coinvolgono la Cyber Security hanno implicazioni molto più ampie a livello aziendale e legale: si tratta, infatti, di tutte quelle attività atte a proteggere i dati, i sistemi informatici, le reti, e i dispositivi da attacchi informatici, atti criminali, furti e manipolazioni, non solo attraverso l’installazione di specifici software di analisi e controllo, ma anche definendo regolamenti aziendali specifici e diffondendo una corretta cultura della sicurezza informatica.

Le minacce informatiche evolvono rapidamente a livello globale e la quantità di Data Breach aumenta ogni anno. Nel primo semestre del 2023 gli attacchi cyber in Italia sono cresciuti del 40% rispetto allo stesso periodo dell’anno precedente. La media mensile registrata è passata da 15,7 attacchi al mese rilevati nel 2022 a ben 22 attacchi al mese nel primo semestre 2023. Per questo, implementare correttamente un sistema di Cyber Security per proteggere i dati in maniera proattiva sta diventando sempre più una priorità per le aziende.

Datapro può intervenire a supporto delle aziende per predisporre un sistema di sicurezza informatica ottimale, seguendo un iter definito che andremo a spiegare meglio in questo articolo di approfondimento.

Indice degli argomenti inerenti alla Cyber Security approfonditi all’interno dell’articolo: La Cyber Security: dall’analisi alla proattività Il Regolamento Informatico: uno strumento indispensabile Risk Assessment: l’analisi dei rischi La funzione del System Auditor Servizio di Check On Proteggere i dati creando consapevolezza

La Cyber Security: dall’analisi alla proattività

Gli attacchi informatici sono attività dolose solitamente finalizzate all’accesso, alla trasformazione o alla distruzione di informazioni sensibili, nonché all’interruzione dei normali processi aziendali. Ne consegue che il primo approccio per predisporre correttamente un sistema di Cyber Security aziendale è rappresentato dalla fase di analisi dei sistemi informatici già esistenti, per capire quali interventi attuare per rendere la rete più sicura e robusta.

Tuttavia, un approccio alla Cyber Security che si limiti ad affinare l’inviolabilità tecnica dei sistemi informatici non è sufficiente a garantire la sicurezza di un’azienda di fronte agli innumerevoli tentativi di attacchi illeciti. Infatti, è essenziale tenere in considerazione all’interno di questo processo anche la possibilità che il danno possa essere imputabile ad un errore umano, seppure in buona fede.  

Per questo è fondamentale porre particolare attenzione alla Cyber Security proattiva: l’azienda, in qualità di organizzazione, è tenuta a porsi in una condizione di proattività, dotandosi di sistemi di prevenzione del rischio e mettendo il personale aziendale nelle condizioni di partecipare direttamente e in modo attivo alla sicurezza informatica, tenendo alta la soglia d’attenzione e adottando comportamenti sicuri, come ad esempio segnalando email sospette al reparto IT, evitando di aprire allegati di cui non si conosce la provenienza, e attenendosi a standard ben definiti a livello aziendale e informatico.

Un sistema di Cyber Security proattivo è composto da numerose attività, che permettono a tecnologia e fattore umano di agire in sinergia:

• Adozione di un regolamento informatico aziendale;
• Installazione di antimalware sempre aggiornati;
• Installazione di firewall che filtrino il traffico web attraverso la creazione di regole per l’accesso a determinati contenuti;
• Sistemi di crittografia per proteggere i dati in transito lungo la rete;
• Sistemi di backup aziendali, che consentano un rapido recupero delle informazioni e dei sistemi in caso di malfunzionamenti o attacchi;
• Sistemi di rilevazione e controllo degli accessi ai dispositivi e alle reti aziendali, per bloccare intrusioni non autorizzate;
• Sistemi di monitoraggio costante della rete e di intervento immediato in caso di attacco o data breach;
• Creazione di una cultura della sicurezza informatica per limitare possibili rischi dovuti all’errore umano inconsapevole (es. phishing, furti d’identità, sottrazioni di dati e, nei casi più gravi, il blocco dei sistemi informatici).

Ѐ, dunque, necessario che tutti coloro che operano nel contesto aziendale abbiano un’adeguata formazione per attenersi sempre a procedure sicure, in modo da prevenire ogni tipo di crimine informatico e contribuire in modo proattivo a rendere davvero funzionali i sistemi tecnologici per la sicurezza informatica.

Il regolamento informatico: uno strumento indispensabile

La Cyber Security di un’azienda non può prescindere dal Regolamento Informatico, uno degli strumenti di gestione più importanti per definire l’utilizzo di tutta la strumentazione informatica aziendale ed implementare la consapevolezza aziendale.

Il Regolamento Informatico è destinato a dipendenti e collaboratori sia interni che esterni, e ha lo scopo di fornire le regole all’utente, prevenire ed evitare comportamenti rischiosi, che possano – anche inconsapevolmente – minacciare o compromettere la sicurezza dei dati. Ad esempio, un file scaricato da un sito non certificato può contenere un malware programmato per spiare le attività degli utenti senza che questi forniscano alcuna autorizzazione.

La costante connessione a Internet dei dispositivi aziendali causa la continua esposizione al rischio di attacchi informatici, con possibili ricadute in termini legali, patrimoniali e reputazionali. Il furto o la perdita di dati possono avere effetti deflagranti sull’impresa ed è per questo che è necessario dotarsi di un regolamento stilato da professionisti, utile sia per formare e sensibilizzare il personale sul tema della sicurezza delle informazioni, sia per tutelare la società dai danni correlati ad un uso scorretto della tecnologia aziendale.

Risk Assessment: l’analisi dei rischi

Come abbiamo anticipato, il processo attraverso il quale si realizza un sistema di Cyber Security inizia individuando i potenziali rischi. Questa attività di analisi dei rischi è nota anche come Risk Assessment, il cui obiettivo primario è la valutazione di due fattori principali: la probabilità che si verifichino una serie di rischi e l’impatto che questi eventi avrebbero nell’eventualità in cui si verificassero realmente. 

Tramite il Risk Assessment è possibile decidere quali rischi possono essere accettati e quali invece devono essere trattati, sempre considerando i criteri di accettazione del rischio stabiliti. Tutti i rischi sopra la soglia di accettabilità definita dall’organizzazione devono essere sottoposti a dovute revisioni.

Le attività realizzate da Data Pro per il Risk Assessment sono allineate con le seguenti norme internazionali:

• ISO/IEC 27001:2022 – Information Security Management Systems, cybersecurity and privacy
• ISO/IEC 27701:2019 – Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and Guidelines
• ISO 31000:2018 – Risk Management Principles and Guidelines

La funzione del System Auditor

Con il termine audit si intende una valutazione indipendente, volta a ottenere evidenze obiettive relativamente ad un determinato evento o oggetto, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno.

La norma UNI EN 19011: 2018 definisce le linee guidae i principi dell’attività di audit, la gestione dei programmi e la conduzione degli audit dei sistemi di gestione e, inoltre, fornisce una guida per la valutazione delle competenze delle persone coinvolte nel processo (Privacy e Audit – ISPOA Guide Operative).

Chi si occupa dei processi di audit è la figura del System Auditor, il cui ruolo è valutare e garantire la corretta gestione dei sistemi di sicurezza informatica e di tutte le tecnologie connesse all’interno di un’azienda. Si tratta, a tutti gli effetti, di una figura essenziale per ottimizzare la Cyber Security perché possiede le competenze per stabilire il grado di vulnerabilità dei sistemi e, di conseguenza, per indicare come e quali misure di sicurezza adottare.

Il System Auditor si occupa di:

• Fare una valutazione dei potenziali rischi informatici;
• Identificare vulnerabilità e punti deboli dei sistemi informatici;
• Definire e controllare le politiche di sicurezza informatica;
• Approntare le misure correttive necessarie a migliorare la sicurezza informatica.
  

Servizio di Check On: il sistema di monitoraggio attivo

Una volta ottimizzati i sistemi di sicurezza informatica, è possibile tenerne monitorato il funzionamento grazie al servizio Check On.

Il servizio Check On consiste nell’attivazione di una gamma di controlli presidiati, da individuare in base alle necessità, per monitorare il funzionamento del sistema informatico aziendale. Ogni controllo è volto ad uno specifico obiettivo e può generare un alert che permette di intervenire in caso di problemi, rimediando tempestivamente e minimizzando costi e tempi di fermo attività.

Grazie al servizio Check On è possibile effettuare i monitoraggi di base, delle prestazioni, dei componenti hardware e delle applicazioni. Inoltre, è possibile monitorare i servizi di rete.

Il servizio Check On offre innegabili vantaggi alle aziende che lo adottano, innanzitutto perché permette di prevenire le più frequenti problematiche dei sistemi, riducendo i fermi e i successivi interventi tecnici e di porre rimedio tempestivamente a diverse criticità. Con il Check On viene garantito un presidio attivo che suggerisce le migliori azioni correttive, generando, in aggiunta, periodici report analitici con i risultati dei controlli, lo stato dei sistemi e l’elenco delle configurazioni hardware e software attive.

Proteggere i dati aziendali creando consapevolezza informatica

Consapevolezza e proattività sono rappresentano il primo passo verso una migliore sicurezza informatica aziendale. Le minacce informatiche, infatti, non provengono esclusivamente da attacchi esterni sotto forma di malware, ransomware, exploit e DoS, ma possono anche essere causate da errori umani dovuti una scarsa conoscenza dei rischi.

Adottare misure tecniche consolidate, come sistemi antivirus, backup e monitoraggio delle infrastrutture IT aziendali è il primo passo, ma è la formazione del personale aziendale che rappresenta una condizione sine qua non per la corretta implementazione e gestione del sistema di protezione dei dati. Creare una maggiore consapevolezza nelle persone che utilizzano quotidianamente i dispositivi aziendali è indispensabile per prevenire attacchi alla sicurezza informatica.

Datapro conosce l’importanza di attivarsi in maniera preventiva con misure tecniche ed organizzative: la sicurezza di un’azienda deve includere sia un sistema informatico capace di gestire in modo adeguato i dati e le informazioni, sia la formazione costante del personale per sensibilizzare su quanto il fattore umano possa effettivamente fare la differenza per aumentare la conoscenza degli strumenti e dei pericoli connessi.

Oltre a fornire servizio di consulenza in materia di Cyber Security, Datapro organizza corsi di formazione e aggiornamento per aiutare aziende ed organizzazioni a raggiungere la compliance normativa ed il livello di sicurezza desiderato, insieme ad un’approfondita conoscenza degli strumenti informatici.