InfoGeek

Sicurezza delle Informazioni, sfide e soluzioni

Attenzione, sicurezza delle informazioni e non sicurezza informatica. Sembra un gioco di parole e molto spesso vengono scambiate l’una per l’altra, ma la sicurezza delle informazioni e la sicurezza informatica sono due ambiti che trattano da due angolazioni diverse la protezione dei dati.

Iniziamo con il capire cosa si intende con questi termini, la differenza ma anche le affinità e le connessioni per poi arrivare al vero argomento di questo articolo: alcune soluzioni per adottare un nuovo approccio nella data protection.

La sicurezza delle informazioni

Sicurezza delle informazioni è un modo alternativo per intendere la sicurezza dei dati.

La maggior parte delle aziende moderne raccoglie i dati aziendali all’interno di server, ma la loro protezione concerne anche le informazioni tenute in forma cartacea per fare in modo che nessun utente non autorizzato possa utilizzarle, averne accesso, modificarle, consultarle, distruggerle o copiarle. La sicurezza delle informazioni è il primissimo step per un piano concreto di sicurezza da sottoporre poi a tutti i dipendenti.

La sicurezza informatica

La sicurezza informatica, o anche cybersecurity, riguarda invece la protezione dei dati che provengono da internet. I professionisti di questo settore si occupano di assicurare che la rete aziendale, i server e i sistemi digitali utilizzati siano a prova di incursione da parte di hacker e altri criminali del web.

Cybersecurity è anche l’insieme degli strumenti che possono essere utilizzati per proteggere l’ambiente digitale, ma anche di quelli che vengono utilizzati dai dipendenti durante il giorno, come i cellulari per leggere le e-mail dei clienti oppure l’accesso ai social privati durante i momenti di pausa.

Le principali differenze e le loro affinità

  • La sicurezza dei dati ha a che fare anche con le informazioni cartacee, mentre la cybersecurity non se ne occupa
  • La sicurezza dei dati non riguarda la guerra cybernetica, l’impatto sociale negativo dovuto all’interazione tra utenti sul web come il cyber stalking, la protezione delle infrastrutture digitali
  • La cybersecurity è costantemente sotto l’attacco di tentativi di penetrare la sicurezza aziendale da parte di malware, phishing, doxing e altre tipologie di attacchi informatici

Entrambe le pratiche considerano i dati di massima importanza solamente in ambiti leggermente diversi: l’information security ha come preoccupazione principale la salvaguardia dei dati dell’azienda dall’accesso illecito di qualsiasi tipo, mentre in cybersecurity il primo obiettivo è quello di proteggere i dati dall’accesso illegale e digitale.

Sicurezza delle Informazioni, sfide e soluzioni

Chi si occupa di sicurezza delle informazioni e di sicurezza dei dati personali al giorno d’oggi, non può non tenere conto del modo in cui i dati circolano all’interno dell’azienda.

Sicurezza delle informazioni e data protection sono state le parole chiave del 2018 per effetto degli adeguamenti al GDPR, ma sono ancora poche le aziende che hanno adottato misure di sicurezza efficaci ed esercitano un controllo ferreo sui dati. Nel 2019 la sfida era arrivare a nuovi livelli ma il problema principale che si incontra è il modo in cui le informazioni in azienda (o tra l’azienda e i suoi partner) circolano, riducendo sensibilmente ogni forma e capacità di controllo e gestione.

Prendiamo un’azienda media o medio-grande – realtà caratterizzata dall’avere una forte componente impiegata nei settori di produzione e/o vendita di prodotti e servizi e da fatturati che vanno dalle centinaia di milioni di euro ai miliardi – con un minimo di qualche migliaio di dipendenti e oltre.

Tali aziende, spesso strutturate con filiali sparse in Italia o nel mondo, hanno reparti IT con una decina di addetti e hanno sicuramente investito molto nella digitalizzazione dei propri processi e nella costruzione di sistemi centralizzati che consentono di mantenere sotto controllo i dati importanti per il business.

Ridurre gli ambiti dove possono presentarsi vulnerabilità, aumentare la capacità di implementare misure di protezione, controllarne l’efficacia, mantenerle aggiornate e monitorarne i casi di errore e le possibili violazioni è sicuramente un intervento di grande beneficio per la sicurezza ed è possibile ponendo il tutto sotto un’unica governance aziendale.

La sfida principale rimane, però, sempre attuale: la maggior parte dei team non dispone di un addetto alla sicurezza delle informazioni e/o di uno dedicato solamente alla cybersecurity. La figura di responsabile della sicurezza informatica diventa fondamentale per garantire l’incolumità delle informazioni dei propri dipendenti, ma anche delle figure professionali che interagiscono con la propria azienda.

Per questo motivo, il lavoro di difendere la sicurezza aziendale diventa un lavoro a tempo pieno e una priorità considerando che i dati sono ormai considerati come uno dei motori per lo sviluppo dell’economia e una fonte di nuovi business ma soprattutto sono destinati a diventare la materia prima alla base di servizi e prodotti innovati.

La leggerezza delle soluzioni di sicurezza

Un esperto di sicurezza potrebbe facilmente pensare di trovare una soluzione nella cifratura, nella data loss prevention e similari ma non esiste niente di più sbagliato.

Cifrare il dato in un contesto destrutturato può avere solo due conseguenze:

  • rendere impossibile al collaboratore di svolgere il proprio lavoro, quando la misura di sicurezza si dimostra davvero efficace;
  • più frequentemente, dare adito a tutta una serie di condizioni eccezionali in cui la misura di sicurezza non sarà applicata, vanificandone il beneficio proprio là dove servirebbe.

Serve quindi un nuovo, diverso, approccio alla gestione delle esigenze aziendali, anche dal punto di vista della sicurezza. La risoluzione di problemi radicati da tempo non è solo specialistica – come nel caso della cifratura dei dati – ma deve anche aumentare la collaborazione in azienda, volta ad un’attenta valutazione di cause / esigenze che determinano il problema. Assolutamente da evitare soluzioni facili e veloci dando priorità a soluzioni tecniche, di lunga prospettiva, che possono riscontrare più consenso negli utenti finali.

Dov’è la sicurezza in tutto questo?

C’è, e se valida, non si nota. Ad esempio, utilizzando uno strumento di reporting (reso adeguatamente sicuro e affidabile) anziché un foglio elettronico o una presentazione, l’informazione:

  • sarà sempre presente su un sistema centralizzato, anziché circolare in modo incontrollato sui PC e sulle caselle e-mail;
  • potrà essere condivisa, ma solo gli autorizzati potranno accedervi;
  • sarà mantenuta corretta, aggiornata, verificata;
  • ne potrà essere inibito l’accesso a coloro che perdono la qualità, il ruolo, che li autorizza ad accedervi;
  • sarà sempre disponibile, ai più alti livelli di servizio che l’azienda ritiene opportuni, e non inficiata da malfunzionamenti degli strumenti posti sotto il controllo degli utenti finali.

A tal proposito, se le fonti dei dati venissero ristrette ad un numero limitato di strumenti o gli archivi verso cui sono destinate, sarebbe possibile attuare delle misure di sicurezza anche sui dati non strutturati e prevedere che il PDF o foglio elettronico generato da un sistema di reporting venga cifrato o protetto da tecniche di DRM che ne limitino l’apertura.

La stessa logica si applica in caso di utilizzo di sistemi di workflow o di piattaforme collaborative, le quali limiterebbero la circolazione di contenuti nelle caselle e-mail, in aree condivise e sui desktop del personale, consentendo di applicare misure di controllo accessi e di protezione più restrittive.

I dati “non strutturati”

Per dati “non strutturati” si intendono le informazioni contenute all’interno di fogli elettronici, presentazioni, documenti di testo e file che circolano all’interno dell’azienda.

Se, da un lato, la strada della sicurezza è ormai una pratica consolidata nella maggior parte dei casi, non è possibile affermare la stessa cosa riguardo alla gestione dei dati “non strutturati”.

Tali documenti costituiscono la sorgente o la destinazione delle elaborazioni che sono svolte all’interno delle applicazioni aziendali centralizzate: le specifiche di un componente che deve essere realizzato dall’impianto produttivo, la costruzione di un’offerta economica prima del caricamento sul CRM, oppure un’estrazione dal CRM per le statistiche di vendita, l’andamento degli ordini ecc…

Come sono generati, dove sono conservati, a quali soggetti sono trasmessi, quando saranno cancellati i file sono questioni critiche per la sicurezza e per la conformità alle normative.

Sicurezza delle informazioni: le priorità

È importante porsi come obiettivo la limitazione di processi gestiti interamente mediante PC – considerando un’utopia la totale eliminazione di dati non strutturati – ed inquadrare la tematica all’interno della strategia di sviluppo dei sistemi informativi aziendali per capire come creare una discontinuità con il passato, e la massima collaborazione, sul personale.

L’azienda che sceglie di utilizzare i “thin client” ha la possibilità di ridurre la circolazione di file spostando l’operatività degli utenti su piattaforme di file sharing e collaboration. Il dato si troverà sempre in una copia su archivi centralizzati aziendali a cui, però, i dipendenti o il personale potrà accedere in modo più ordinato. Nelle iniziative di smart working o laddove si debba rinnovare il parco strumenti e ricorrere a più moderni tablet o dispositivi mobili, viene applicato il medesimo approccio. In ambito industriale, l’uso di interfacce web di soluzioni di workflow è preferibile rispetto al classico foglio elettronico, difficilmente utilizzabile sulle interfacce di macchinari e tablet di cui non è possibile avere certezza di aggiornamento.

La migrazione verso servizi Cloud pubblici, privati o ibridi è un incentivo a questo cambiamento: il dato, seppur non in azienda, è custodito in un perimetro ben determinato su cui possono essere definite regole di accesso e utilizzo a livello aziendale.

Conclusioni

Che si tratti di sicurezza informatica o di sicurezza delle informazioni, la parte più importante per limitare attacchi esterni e relativa perdita di dati è utilizzare tutte le precauzioni del caso ma soprattutto formare il personale ad un corretto utilizzo degli strumenti aziendali atti a tutelare tale sicurezza.

Se sei interessato ad approfondire questa tematica, Nexsys – azienda informatica di Verona – propone corsi di formazione dedicati che ti permetteranno di utilizzare in modo consapevole e responsabile i mezzi informatici in generale e a porre attenzione anche alle operazioni più comuni, dall’apertura degli allegati di posta elettronica, alle policy di sicurezza, alla riservatezza della propria password. Scopri e scarica il programma del corso Sicurezza Informatica per Utenti.

Mr. Red

Atipico consumatore di cinema commerciale, adora tutto quello che odora di pop-corn appena saltati e provoca ardore emotivo. Ha pianto durante il finale di Endgame e questo è quanto basta.
Back to top button