Oggi parleremo di sicurezza informatica, e più nello specifico delle procedure di base, indispensabili – per qualsiasi organizzazione, di qualunque tipo e di qualsivoglia dimensione – per garantire una gestione IT sicura. Quando si parla di sicurezza informatica, lo abbiamo capito da tempo, è sempre preferibile fare una premessa: la sicurezza assoluta non esiste. Costruire un’infrastruttura sicura al 100%, inattaccabile, inespugnabile e graniticamente pronta a sventare ogni minaccia è una pura fantasia. Ci si può però arrivare vicini, e l’obiettivo di chi lavora nel campo della sicurezza informatica è quindi quello di rendere l’infrastruttura sempre più sicura, nella consapevolezza che esiste sempre un margine di miglioramento: non si tratta di una battaglia persa, quanto invece di una sfida continua.

Questa è la prima premessa fondamentale. E ce n’è in realtà un’altra: le attività messe in campo per aumentare il livello di sicurezza del sistema IT aziendale non devono essere percepite come un costo, e quindi come un peso per l’azienda. Nessuno di noi, nel momento dell’acquisto di un’automobile, guarda alla cintura di sicurezza presente su tutti i sedili come a un costo: quelle cinture sono invece un valore, un elemento senza il quale non riusciamo nemmeno a concepire, ormai, un’automobile (e per fortuna). Lo stesso vale per le procedure e per gli strumenti per la sicurezza informatica: non si tratta di costi, ma di elementi di valore, indispensabili per una gestione IT sicura e quindi efficace.

Le 7 procedure di base per un buon livello di sicurezza informatica

Vediamo quindi quali sono le procedure indispensabili per assicurare una gestione IT sicura:

1- Definizione di una policy aziendale: apriamo la lista di procedure di base non con una procedura, quanto invece con la definizione di un regolamento interno. Ancor prima di definire le procedure di partenza è infatti necessario definire le regole interne. Su queste norme, volte a spiegare nel dettaglio quello che può essere fatto e quello che non può essere fatto per salvaguardare la sicurezza dell’azienda, saranno di fatto costruite le procedure vere e proprie. È fondamentale che il regolamento interno sia ideato in modo da permettere a ogni singolo dipendente di poterlo capire e digerire. L’obiettivo è fare sì che le regole non restino delle “fredde” norme vuote di senso, ma che anzi possano essere calate nella quotidianità aziendale e nella sua stessa cultura, per diventare nel tempo degli automatismi (calza a pennello anche in questo caso l’esempio della cintura di sicurezza, la quale viene ormai indossata non tanto per la paura di una sanzione, quanto per una questione di abitudine e soprattutto di buon senso). Una policy aziendale per la sicurezza IT è efficiente nel momento in cui ogni dipendente capisce l’utilità e la sensatezza di ogni singola regola.

2- Backup e disaster recovery: ecco la prima ed essenziale procedura di partenza. Si tratta di una procedura
fondamentale poiché al giorno d’oggi ogni azienda lavora in primo luogo su dei dati: quando questi vengono meno, il lavoro si blocca. Fortunatamente, in informatica effettuare delle copie dei propri dati è molto semplice. Ma effettuare delle repliche non basta. Un’efficace procedura di backup deve partire da un’analisi attenta dei dati aziendali, per capire quali devono essere copiati e ogni quanto è necessario effettuare una nuova copia. L’obiettivo deve essere quello di sviluppare una procedura in grado di mettere al sicuro l’azienda da un piccolo errore umano (la cancellazione accidentale di un file da parte di un dipendente) come da un evento potenzialmente catastrofico, come un attacco esterno che senza un piano di disaster recovery potrebbe bloccare completamente l’azienda.

3- User management: arriviamo, seguendo un ordine di importanza, alla procedura relativa alla gestione degli utenti. Il presupposto in questo caso è semplice: solo chi ha il permesso dell’azienda deve poter accedere al sistema. Per questo ogni utente deve avere un account personale e una password, due elementi che, da insieme, possono essere visti come il caposaldo della sicurezza informatica. Nella procedura si scriverà quindi che questi elementi devono essere strettamente personali, unici, riservati e segreti, che non devono dunque essere diffusi, che non possono essere scritti in nessun luogo accessibile e via dicendo. Ma non è tutto qui: una procedura di user management deve tenere in considerazione anche eventi speciali, come per esempio le dimissioni di un dipendente. Come verrà gestito il ritiro degli elementi per l’accesso alla rete aziendale, per evitare per esempio delle pericolose fughe di notizie?

4: Gestione accessi dall’esterno: questa procedura ha guadagnato ulteriore importanza con il diffondersi dello smart working e del lavoro da casa. Nel momento in cui l’infrastruttura aziendale deve essere facilmente ed efficacemente accessibile dall’esterno, è doveroso assicurarsi che queste “porte” non siano aperte a tutti. La procedura quindi prende in esame ogni modalità di accesso dall’esterno.

5- Change management: altra procedura che va assolutamente scritta e monitorata è quella relativa al cambiamento fisiologico e anzi necessario delle aziende. Solo dei cambiamenti piccoli e grandi possono portare a del valore aggiunto all’impresa, e per questo è sempre necessario impostare il sistema in modo da essere pronti ad accogliere senza traumi ogni piccolo passo in avanti. Ogni cambiamento, ogni evoluzione, ogni miglioramento deve essere monitorato, senza che gli interventi necessari rischino di bloccare o di rallentare eccessivamente il lavoro. Un esempio pratico? Un intervento migliorativo sulla rete o su una singola macchina deve essere effettuato in modo da ridurre al minimo l’impatto negativo sulla produttività.

6- Gestione dei dispositivi mobili: questa procedura è strettamente collegata a quella relativa al controllo degli accessi esterni, la quale a sua volta era connessa alla procedura di user management. Pensiamo alla gamma di dispositivi mobili utilizzati all’interno dell’universo aziendale, dal tablet allo smartphone. Si tratta in tutti i casi di potenziali punti di accesso per hacker, che possono essere esposti a importanti rischi. Il primo passaggio da definire è quindi la creazione di un sistema di inventario – di asset management – per tenere sotto controllo tutte le vulnerabilità dei diversi positivi. Si parla, va sottolineato, soprattutto di vulnerabilità tecniche, ma anche di vulnerabilità non tecniche, come potrebbero essere la perdita o il furto dello smartphone, evento che potrebbe far finire i dati aziendali nelle mani sbagliate. Queste vulnerabilità possono mettere in crisi l’intero sistema di sicurezza informatica, ed è quindi necessario creare una procedura apposita per questo aspetto, che preveda per esempio di crittografare ogni dispositivo mobile, rendendolo inespugnabile.