12 attività fondamentali per la cybersecurity di aziende, pmi, studi professionali

Una checklist per la valutazione della sicurezza informatica

Il termine cybersecurity fa riferimento alle misure di sicurezza da applicare ad una infrastruttura informatica per limitare i rischi di accesso e utilizzo fraudolento alle risorse aziendali. 

Le aziende devono prestare un’attenzione particolare alla cybersecurity perché la maggior parte dei dati aziendali sono in formato elettronico e quindi sono memorizzati, gestiti, salvati e trasferiti attraverso l’infrastruttura informatica

Come essere sicuri di aver fatto tutto il possibile per tutelare la cybersecurity di un’azienda? 

Come è facile immaginare, non esiste una risposta univoca a questa domanda, ogni azienda ha la sua specificità sia in termini di dati trattati che di soluzioni tecniche adottate per la loro gestione.

In questo articolo, vogliamo fornire una check-list affinchè ogni azienda, pmi e studio professionale possa eseguire un’autovalutazione basata su un report diffuso dall’Agenzia dell’Unione Europea per la Sicurezza Informatica (ENISA) dal nome “Cybersecurity per le PMI – Sfide e raccomandazioni”.

Il report si basa su 12 punti e fornisce una guida essenziale sulle misure di sicurezza e di condotta (best practice) per minimizzare i rischi legati alla sicurezza informatica.

Questi 12 punti possono rappresentare un’utile checklist di autovalutazione per ogni azienda. Sulla base di queste indicazioni, ogni struttura sarà in grado di verificare il proprio grado di sicurezza:

  1. Sviluppare una solida cultura della cyber-sicurezza, attraverso cinque passaggi:
  • attribuire la responsabilità della gestione, organizzando l’azienda in modo da individuare le risorse a cui assegnare questa responsabilità
  • coinvolgere il personale, a tutti i livelli perché la sicurezza non è limitata alle attività dell’amministrazione,
  • eseguire audit per la cyber-sicurezza, per avere, almeno all’inizio de percorso, una chiara immagine della situazione aziendale,
  • tenere a mente la protezione dei dati (Reg. UE 679/2016), che deve essere il filo conduttore di tutte le iniziative legate ai dati, alla loro gestione, alla minimizzazione delle vulnerabilità,
  • pubblicare politiche in materia di cyber-sicurezza, ovvero adottare regole interne chiare e specifiche in materia di sicurezza informatica

2. Fornire una formazione e continua ai dipendenti al fine di sensibilizzarli alla cyber-sicurezza e dare a tutti un buon livello di preparazione in materia.

3. Garantire un’efficace controllo di tutte le attività dei fornitori, in particolare quelli che hanno accesso a dati e/o sistemi sensibili, affichè siano gestiti attivamente verificando che anche per chi tratta dati per conto dell’azienda siamo garantiti adeguati livelli di sicurezza.

Spesso i rischi legati alla diffusione di dati personali di cui l’azienda è titolare sono più alti presso i nostri fornitori di servizi che presso la nostra azienda pur rimanendo la responsabilità (accountability) sul titolare.

4. Sviluppare un piano di risposta agli incidenti, che contenga orientamenti, ruoli e responsabilità chiari e documentati per garantire che tutti gli incidenti a livello della sicurezza siano affrontati in modo tempestivo, professionale e appropriato.

5. Rendere sicuro l’accesso ai sistemi, scegliendo password lunghe, complesse e non riutilizzarle altrove.

6. Rendere sicuri i dispositivi, ad esempio attraverso queste azioni:

  • mantenere il software corretto e aggiornato,
  • installare e tenere aggiornati gli anti-virus su tutti i tipi di dispositivi,
  • utilizzare strumenti di protezione per i messaggi di posta elettronica e il web,
  • proteggere i dati adottando protocolli di crittografia,
  • attuare la gestione dei dispositivi mobili controllando quali dispositivi sono utilizzati per l’accesso da remoto o per lo smart-working e mantenendo gli stessi dispositivi (anche se personali dei dipendenti) allo stesso livello di aggiornamento e protezione di quelli aziendali.

7. Rendere sicura la propria rete, utilizzando firewall e analizzando le soluzioni di accesso remoto (vedi punto precedente).

8. Migliorare la sicurezza fisica, quindi attuare controlli fisici adeguati nei luoghi in cui sono presenti informazioni importanti.

9. Rendere sicuri i backup, per consentire il recupero di informazioni essenziali e minimizzare i rischi di perdita o compromissione dei salvataggi di dati, il tutto integrato con il punto 4. In caso di aziende con moltissimi dati personali specie se affidati all’azienda dai titolari (è il caso di grandi studi di commercialisti o consulenti del lavoro), l’elaborazione di un piano di Disaster Recovery rende sicuramente meno rischioso la conservazione e gestione dei dati stessi.

10. Lavorare con il cloud, considerandone attentamente tutti i rischi.

11. Rendere sicuri i propri siti web, quindi configurarli e tenerli in modo sicuro e da proteggere i dati che vengono trattati su di essi.

12. Cercare e condividere le informazioni, come strumento efficace nella lotta contro la criminalità informatica, raccontando ai colleghi delle aziende simili quali misure sono state adottate per fronteggiare i rischi legati alla cybersecurity.

Lo Studio Corigliano & Porfido incoraggia le PMI e gli studi professionali ad usare questa lista per valutare il proprio livello di sicurezza informatica.

Vuoi un supporto per la valutazione delle misure di cybersecurity nella tua azienda? Vuoi conoscere la strada giusta da intraprendere per tutelare i tuoi dati?

Contattaci 

Lascia un commento