Cybersecurity: come migliorare la sicurezza aziendale

La Cybersecurity rappresenta un elemento essenziale per il successo delle aziende in un'era digitale sempre più interconnessa.

Tutti noi ci troviamo ad affrontare i riflessi dei notevoli cambiamenti che stanno interessando il sistema informativo nazionale. Le aziende fronteggiano continuamente minacce e incidenti (furto di beni materiali o immateriali, spionaggio industriale, incendi, incidenti sul lavoro) che possono avere un impatto notevole sull’integrità dei loro dipendenti, sulla loro immagine e reputazione, oltre a determinare implicazioni finanziarie onerose e spesso insostenibili. In tale contesto, un approccio olistico alla sicurezza, unito ad una rapida comunicazione, diviene essenziale.

Un approfondimento di Carmine Ciccotti, Safety e Security Expert e tutor del Master Cybersecurity e Data Protection.

Il ciclo della sicurezza

L’unione fa la forza; questa espressione, che esalta il gioco di squadra e la capacità di collaborare, può definire il modo in cui sicurezza logica e sicurezza fisica confluiscono nello stesso dominio; due mondi considerati da sempre separati ma che in realtà si uniscono per raggiungere un solo obiettivo: ridurre il rischio di attacchi. 

Proteggere le strutture, i documenti aziendali, i dati personali e la proprietà intellettuale è il principali obiettivo comune per i professionisti della sicurezza (Cyber, Physical e Information Security) che devono trovare strategie, politiche e soluzioni per eseguire la gestione del rischio ed il ripristino dei dati, riportando metriche di sicurezza antimalware.

Uno Stato che garantisce dei livelli di sicurezza ottimali è, dunque, uno Stato che contribuisce al benessere economico del Paese. Partendo dal concetto sociologico di sicurezza inteso come bene, diritto, valore e bisogno primario, la security incide fortemente sulla “qualità della vita” sociale e individuale. La sicurezza non è più intesa come semplice adempimento legislativo da rispettare per non incorrere in sanzioni economiche e penali ma come un profondo valore sociale a cui deve tendere tutta la comunità.

Si parla in questo caso di cultura della sicurezza, intesa come quell’insieme di credenze, norme, atteggiamenti e pratiche, sia sociali che tecniche, indirizzate a minimizzare l’esposizione a condizioni considerate come pericolose. Per attuare questo cambiamento è necessario però che tutte le figure lavorative (dal datore di lavoro fino ai dipendenti) siano coinvolte e formate in materia di sicurezza.  

Un luogo di lavoro sano e sicuro non solo protegge i lavoratori, ma può anche diminuire i costi derivanti da attacchi informatici (furto, alterazione o distruzione di dati) o da attacchi fisici (furti, aggressioni o intrusioni) e quindi aumentare la produttività e la qualità, oltre che sollevare il morale dei dipendenti.  

L’attività del professionista della sicurezza si pone quindi in maniera trasversale rispetto ad una pluralità di discipline che, di fatto, hanno una “ossatura comune” che è proprio la gestione della qualità che impone all’organizzazione di gestire il rischio. 

Lo sviluppo del Disaster Recovery Plan deve essere svolto quindi con la partecipazione di tutte le figure dell’organizzazione per capire le varie vulnerabilità, le informazioni critiche per ciascun ambito di competenza e per comprendere in modo sicuro ed efficace come continuare a fare funzionare quel determinato processo. L’informazione è una componente fondamentale per l’attività di ogni istituzione e, conseguentemente, deve essere protetta.

La sicurezza informatica protegge l’informazione nei confronti di un’ampia gamma di attacchi potenziali al fine di garantire la continuità dell’attività e minimizzare i danni e le interruzioni di servizio.

La sicurezza delle informazioni è realizzata attraverso l’attivazione di politiche specifiche, strutture organizzative, procedure, funzionalità software ed è completata da un sistema di controlli.

Requisiti di sicurezza in Azienda

Il termine “sicurezza” racchiude molteplici eventi gestionali che riguardano:

• la sicurezza patrimoniale (vigilanza e di investigazione per far fronte alle perdite dell’azienda legate a furti, frodi o truffe);

• la sicurezza informatica (protezione dei sistemi informatici, al fine di renderli inattaccabili dall’esterno, predisponendo la relativa protezione delle informazioni e dei dati aziendali o da virus);

• la sicurezza sul lavoro ed ambiente (garanzia della  vivibilità dei posti di lavoro ed  individuazione di  eventuali pericoli). 

Pertanto, l’attività di security management viene svolta secondo precisi items, interessando settori ben definiti e con la condivisione di tutte le divisioni dell’azienda.

La valutazione del rischio a cui possono essere esposti i beni aziendali, con i potenziali danni che ne derivano, consiste in un’attività sistematica volta a considerare l’impatto sulle attività istituzionali, derivante da carenze o violazioni del sistema di sicurezza in termini di perdita di confidenzialità, integrità o disponibilità del sistema informativo.  

I risultati della valutazione portano a definire le azioni e le priorità di intervento nelle fasi di realizzazione dei sistemi di sicurezza e dei relativi controlli: 

• quantificazione ed accettazione del cosiddetto rischio residuo, cioè il rischio non coperto dai sistemi di sicurezza o da strumenti/sistemi non tecnologici (norme, assicurazioni);

• individuazione dell’insieme dei requisiti legali, regolamentari e contrattuali a cui l’azienda  ed i suoi fornitori devono far fronte. 

Politiche di sicurezza 

Una policy di sicurezza è una dichiarazione generale, prodotta dal responsabile della sicurezza, che definisce le regole per la corretta gestione della stessa.

Le politiche di sicurezza costituiscono il blocco di partenza da cui raggiungere qualsiasi obiettivo che sia realmente efficace e rappresentano quindi un indispensabile strumento di supporto alla gestione.

Le politiche di sicurezza sono usate come un punto di riferimento per una vasta serie di attività di information security che includono: progettazione di controlli interni alle applicazioni, definizione delle regole per il controllo degli accessi, esecuzione dell’analisi del rischio, formazione degli utenti per un corretto utilizzo degli strumenti.

Politiche di sicurezza fisica 

Le politiche di sicurezza fisica sono definite in funzione all’efficacia degli strumenti utilizzati che devono essere commisurati all’importanza delle risorse da proteggere.

Il controllo degli accessi, la videosorveglianza, le attività anti intrusione, il divieto di rimozione o introduzione di attrezzature o altri componenti informatici senza uno specifico documento di autorizzazione, evitare che un’operazione non ammessa provochi un danno significativo per l’azienda o per i soggetti che interagiscono con essa, sono solo alcune delle politiche aziendali che determinano gli obiettivi volti a salvaguardare l’integrità fisica delle persone e l’integrità fisica e funzionale di apparati e locali.

Politiche di sicurezza logica 

Le politiche di sicurezza logica si realizzano attraverso la protezione del patrimonio informatico mediante soluzioni, sia hardware che software, rese operative dal sistema informatico: il controllo degli accessi alle risorse informatiche a salvaguardia delle intrusioni e degli attacchi interni ed esterni; il divieto di memorizzazione e trasmissione dei dati; la disponibilità di informazioni che consentano di indagare su possibili violazioni. Linee guida per la sicurezza informatica delle aziende unite ad una Innovazione Tecnologica.

Possiamo affermare, dunque, che accanto alla gestione delle variabili competitive tradizionali e della tipologia di attacchi subiti, l’azienda, sia essa industriale, bancaria, commerciale o finanziaria, ha come obiettivo la tutela del suo patrimonio, inteso nell’accezione più ampia del termine (risorse materiali, immateriali e umane), che si pone alla base dei processi di creazione del valore aziendale, assicurando il mantenimento della capacità reddituale nel tempo, mettendo in atto le medesime politiche di sicurezza.

Conclusioni 

Le tematiche fino a qui affrontate, ed il relativo livello di approfondimento, non costituiscono un esame esaustivo della varie fattispecie in quanto il mondo della security è in continua evoluzione, ma rappresentano piuttosto uno spunto di riflessione ed una base di partenza per chi, all’interno delle aziende cura la gestione della sicurezza delle persone, delle infrastrutture e degli apparati informatici.

Emerge in maniera netta la necessità per le aziende di dotarsi di professionisti della security di riferimento che possiedano competenze e conoscenze tecniche, giuridico-legali e di criminologia, con riferimento specifico ai crimini informatici e alla tutela delle informazioni, alla capacità di lavorare in team, con un orientamento al problem solving e con l’autorevolezza di imporre i necessari provvedimenti di sicurezza elaborati.

In riferimento ad una condizione di piena garanzia, di ampia tutela e protezione contro pericoli, rischi o possibili turbamenti dell’ordinario svolgersi dei rapporti civili, economici e sociali, possiamo in ultimo affermare che tutti noi abbiamo più bisogno di sicurezza.