La digitalizzazione delle realtà aziendali operata negli ultimi decenni ha reso possibile un notevole incremento della produttività e semplificazione di molti processi, contribuendo tuttavia all’esposizione della superficie aziendale e rendendo così molto più concrete parte delle minacce in grado di colpire l’azienda stessa.

È perciò fondamentale adottare internamente all’azienda un documento che imponga determinate disposizioni, comportamenti e misure organizzative, applicabili per dipendenti e collaboratori esterni, al fine di contrastare i rischi informatici.

Nel corso di questo articolo andremo dunque ad analizzare i principali standard riguardanti la stesura di una policy e le informazioni necessarie da inserire al suo interno.

Indice degli argomenti 

• Cosa è una policy e quali sono gli standard a cui un’azienda deve sottostare?
• Perché applicare una security policy?
• Quali sono le Best Practice consigliate?

L’ecosistema aziendale è divenuto un complicato groviglio di device, software e dipendenti che devono saper sfruttare al meglio le risorse loro offerte, evitando semplici errori che in situazioni particolari potrebbero comportare perdita di dati o problemi legali.

Una simile complessità prevede una collaborazione totale di tutte le parti, essendo ormai consolidato il fatto che la sicurezza non dipenda esclusivamente dal team incaricato di controllare il perimetro dell’azienda stessa, ma da tutti i dipendenti che devono perciò essere educati all’utilizzo intelligente e sicuro dei mezzi a loro disposizione.

Cosa è una policy e quali sono gli standard a cui un’azienda deve sottostare?

La policy di sicurezza informatica è un breve e semplice documento che raccoglie le linee guida fondamentali per garantire la sicurezza dell’azienda e dei suoi dipendenti. Tali direttive vengono spesso elaborate da un esperto ICT e sono successivamente approvate dal Consiglio di Amministrazione, che provvede successivamente alla scrittura per via informatica del documento.

In caso si parli di realtà aziendali medio-grandi, è necessario anteporre a tale iter l’identificazione delle possibili minacce e l’educazione del personale che dovrà successivamente firmare, se ritenuto necessario, il documento da ufficializzare. 

Secondo il “Sistema di Gestione della Sicurezza delle Informazioni” (ISMS), lo standard internazionale che le aziende dovrebbero prendere in considerazione è lo “Standard ISO/IEC 27001”, che si basa su 3 punti cardinali:

• Analisi e monitoraggio dell’organizzazione per determinare la presenza di rischi, vulnerabilità e minacce;
• Sviluppo di strategie atte a difendere l’organizzazione;
• Sviluppo di una gestione efficiente del processo produttivo che permetta di controllare in ogni situazione i requisiti preposti, affinché la sicurezza sia sempre garantita.

Perché applicare una security policy?

L’importanza di applicare una policy di sicurezza informatica risiede nei vantaggi legali e tecnici che fornisce non solo in ambito direttivo, ma anche su ciò che riguarda la tutela del dipendente, al quale potrebbero essere addossate responsabilità o sanzioni dovute al comportamento scorretto operato ai suoi danni da parte di colleghi o eventuali attaccanti.

Di conseguenza la policy si rivela una scelta conveniente poiché:

• Diminuisce la possibilità che attacchi informatici elaborati, come phishing o social engineering, vengano eseguiti con successo;
• Permette di ridurre le risorse da destinare ai controlli di sicurezza;
• Incrementa la tutela delle informazioni dei clienti e utenti;
• Semplifica il recupero dello stato operativo in caso di data breach o attacchi di portata critica (Incident Response policy).

Si aggiunge a queste anche una motivazione legale: il datore di lavoro potrebbe rischiare di essere accusato di concorso per reato informatico a causa di eventuali errori eseguiti dal solo dipendente poichè la mancanza di regole prestabilite, normalmente espresse in una policy di sicurezza informatica, è considerabile come una agevolazione alla commissione del crimine stesso.

Quali sono le best practice consigliate?

Le pratiche di sicurezza più consigliate all’interno delle security policy sono riassunte di seguito:

• Installare un software anti-malware su ogni device presente in azienda;
• Mantenere costantemente aggiornati i sistemi operativi e i software adottati dal personale;
• Scansionare automaticamente il contenuto di supporti esterni per individuare malware o elementi corrotti;
• Eseguire il backup periodico di tutti i dati;
• Configurare i permessi sui vari dispositivi per evitare che eventuali attaccanti possano facilmente visionare informazioni riservate;
• Inserire filtri di rete per evitare la navigazione su siti malevoli;
• Non aprire ed eseguire automaticamente gli allegati nelle mail;
• Inviare informazioni riservate solo attraverso mail cifrate;
• Settare filtri personalizzati su account aziendali per evitare che mail di scam o spam possano giungere nella inbox del dipendente;
• Fornire sempre un doppio fattore di autenticazione per accertare l’identità del dipendente che richieda accesso ad informazioni riservate o invii comunicazioni ad altri dipendenti.

Conclusioni

L’adozione di una policy di sicurezza informatica è un processo ormai fondamentale che permette di incrementare la produttività e la sicurezza della vostra azienda, sviluppando una strategia difensiva stabile nel tempo e facile da modificare in caso di necessità.