Alcuni consigli importanti, derivanti dai principali framework e standard internazionali, per migliorare la propria security posture in azienda. Perché una sana igiene di sicurezza è di fondamentale importanza per agevolare e rendere più stabile il processo di transizione verso i dettami del nuovo regolamento europeo per la protezione dei dati personali.
Sette (s)punti per una sana igiene di sicurezza
Dati. Beni di valore inestimabile e allo stesso tempo fragili elementi di un ecosistema continuamente sottoposto a mutazioni tecnologiche e minacce di qualunque tipo. È proprio sotto questo frangente che il “nuovo” regolamento europeo per la protezione dei dati personali (GDPR) cerca di porsi, provando ad armonizzare quella che attualmente rappresenta una situazione variegata all’interno dei settori pubblico e privato riguardo la gestione di questi beni. Tutto ciò, attraverso una serie di regole uniche da applicare a tutti i trattamenti di dati effettuati nel territorio dei Paesi membri dell’Unione. Se fino ad ora al centro delle normative di data protection era stata posta la persona, intesa come persona fisica e titolare di diritti, ora, infatti, i dati acquistano valore intrinseco per quel che sono, a prescindere dalle persone cui si riferiscono, diventando fonte di nuovi business.
Essere aggiornati sulle nuove minacce e tecnologie
“È molto meglio aver nemici dichiarati che amici celati”. Essere sempre documentati sui nuovi trend tecnologici e sulle nuove minacce informatiche permette di predisporre soluzioni che ne limitino l’impatto. Blog, social media, riviste internazionali, papers ed ogni altra fonte di comprovata affidabilità sono risorse di inesauribile validità da cui attingere.
Eseguire periodicamente controlli di sicurezza
Una corretta gestione della sicurezza si basa innanzitutto su un’adeguata conoscenza dell’attuale livello di protezione dei propri sistemi. Avere uno scatto istantaneo della propria security posture aiuta a scoprire i propri punti deboli su cui investire. I test di sicurezza si rivelano quindi essere un altro tassello immancabile, purché fatti nel rispetto delle disposizioni vigenti ed opportunamente configurati.
Inventariare periodicamente il proprio comparto software
Le vulnerabilità nel software sono il più grande vettore di infezione. Un’enorme porta di ingresso per i cybercriminali motivati al controllo dei nostri device e dei dati su questi memorizzati. Inventariare ogni singolo applicativo permette di avere una più ampia panoramica e possibilità di gestione dello stesso, così da riuscire ad intervenire in maniera mirata in caso di necessità.
Disinstallare software EOL
Anche il software possiede una data di scadenza. Per questo è importante rimuovere dai propri dispositivi ogni applicativo che ha raggiunto la fine del suo ciclo di vita (EOL). Un software “End-Of-Life” è un software potenzialmente non sicuro e che non riceve ulteriori patch di sicurezza, diventando un punto debole all’interno della propria infrastruttura.
Utilizzare servizi terzi affidabili
Un grande numero di aziende e privati sta spostando parte dei servizi IT verso il cloud. Ma se da un lato questo offre infinite possibilità di crescita mantenendo flessibilità e risparmio sui costi di sviluppo dell’infrastruttura IT stessa, dall’altro non mancano di certo le problematiche. I nostri dati vengono infatti posti in un nuovo ambiente e memorizzati su dispositivi cui non abbiamo completo e diretto controllo, e che potrebbero essere a loro volta compromessi o soggetti a policy non abbastanza stringenti. Importante quindi scegliere sempre servizi cloud affidabili leggendo e soffermandosi su ogni punto presente all’interno del service level agreement (in italiano: accordo sul livello del servizio), strumenti contrattuali dove vengono definite le metriche di servizio che devono essere rispettate da un fornitore di servizi (provider) nei confronti dei propri clienti.
Attuare una corretta gestione delle password
Argomento continuamente affrontato all’interno di vari standard e linee guida nazionali ed internazionali, ma puntualmente tra i fattori principali di data loss e data leak, favorito anche da una malsana dose di negligenza. Mettere quindi sempre in atto tutte le norme elementari di sicurezza delle password come previsto dalle regole aziendali e/o documenti di riferimento deve essere un obbligo immancabile in qualsiasi contesto.
Formazione, l’arma di prevenzione più efficace
Oggi più di ieri è diventato fondamentale per chiunque e a qualsiasi grado gerarchico di un’organizzazione conoscere quelle che sono le buone prassi da seguire in un contesto che ha in toto o in parte il proprio patrimonio informativo, digitalizzato. Conoscere le conseguenze che scaturiscono da un’azione errata, permette di limitare la maggior parte delle minacce interne dovute dall’inconsapevolezza nel compierle. La formazione risulta essere l’unica e più efficace forma di prevenzione per quella piattaforma hardware così perfetta ed allo stesso tempo così stupida: l’essere umano.
Quelle presentate sono, ovviamente, solo alcune delle principali strategie che possono fare la differenza in qualunque contesto informatico ed informatizzato. Ma se queste erano delle soluzioni generali è importante ricamare delle soluzioni specifiche per ogni contesto, che vadano a rispettare quelli che sono i diritti fondamentali di ogni individuo, e dotino le nostre attività di quello che deve essere considerato un elemento immancabile in ogni realtà: la sicurezza. Un elemento fragile ed allo stesso tempo un concetto da non intendere mai come assoluto.
