Sono in progressivo aumento le imprese italiane che investono in sicurezza informatica, tuttavia le realtà produttive del nostro Paese utilizzano le risorse quasi esclusivamente per strumenti di prevenzioni di attacchi, mentre sono ancora poche, se non pochissime, le aziende che hanno già attivi dei piani di recupero in caso di data breach.
Per un’azienda di medio-grandi dimensioni è consigliabile iniziare da tre step di base per redigere un programma di sicurezza completo:
- Creazione di un team di sicurezza informatica
Per un’azienda di medio-grandi dimensioni è anzitutto fondamentale, anche alla luce dell’ormai noto GDPR, investire nella creazione di un team dedicato alla sicurezza informatica che può suddividersi in:
- Team Esecutivo
Fa parte di questo team il CIO (Chief Information Office) o CISO (Chief Information Security Office) che, rispondendo direttamente al CEO, è responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
Oltre al CIO fa parte dell’esecutivo anche il DPO (Data Protection Officer). Le due figure del CIO e del DPO non possono assolutamente essere ricoperte dalla stessa persona, per un ovvio conflitto di interessi, in quanto uno dei compiti del DPO è quello di verificare che i trattamenti realizzati nei sistemi informatici (quindi decisi dal CIO) siano rispondenti alle norme.
- Team della sicurezza
In questa categoria decisamente ampia rientrano figure con varie specializzazioni, sono responsabili delle operazioni di sicurezza quotidiane, tra cui l’analisi del rischio, la gestione delle risorse, la valutazione delle minacce e le vulnerabilità, il monitoraggio e controllo della rete. Il team di sicurezza può essere suddiviso in una serie di sottogruppi dedicati alla gestione delle reti, alle operazioni, alle applicazioni e alla sicurezza offensiva.
- Adozione di un framework
L’approccio aziendale alla cybersecurity può basarsi su degli standard ormai consolidati che possono tornare molto utili. In particolare il NIST (National Institute of Standards & Technology) propone un framework che prevede cinque compiti principali: identificare, proteggere, rilevare, rispondere, ripristinare.
Su ispirazione di questo framework è nato nel 2015, in Italia, il Framework Nazionale per la Cybersecurity e la Data Protection, uno strumento di supporto preziosissimo per tutte le realtà che necessitano di strategie e processi volti alla protezione dei dati personali e alla cyber security.
- Inventario dispositivi, software e strumenti
La prima operazione pratica a cui il team di sicurezza dovrà dedicarsi è l’inventario di base sulla sicurezza dell’azienda.
Gli elementi da raccogliere sono:
- Client e server con relative versioni dei software, inclusi smartphone e tablet.
- Dispositivi di rete. Router, switch, firewall etc.
- Internet, domini, certificati SSL, hosting, cloud e condivisione file, social network, server di posta elettronica
- Email aziendali
- Software, licenze e rinnovi
I dati e le informazioni devono essere classificati secondo un criterio che tenga in considerazione la loro criticità (es. dati pubblici, dati solo per uso commerciale, dati riservati, dati segreti).