L’Information security, o sicurezza delle informazioni, viene definita nel Glossario dell’ente statunitense del NIST – National Institute of Standards and Technology – come “The protection of information and information systems from unauthorized access, use, disclosure, disruption, modification, or destruction in order to provide confidentiality, integrity, and availability”. Si può considerare che la sicurezza delle informazioni si attui attraverso tre diversi strati.

  1. Sicurezza preventiva: si attuano comportamenti ed utilizzano dispositivi in modo da mitigare i rischi per i propri sistemi e dati.
  2. Sicurezza predittiva: si prevengono le minacce informatiche, attraverso l’analisi proattiva dei dati disponibili da varie fonti interne ed esterne ed attraverso l’analisi dei rischi per individuare le proprie vulnerabilità, per ridurre i tempi di intercettazione e risposta agli attacchi.
  3. Sicurezza reattiva: dando per scontato che prima o poi avverrà un incidente alle informazioni, si predispongono misure di contenimento e di recupero, per attuarle alla necessità subendo meno danni e per una minor durata.

Le aziende che operano esclusivamente nel cloud, affidandosi ad un provider di comprovata affidabilità hanno sicuramente meno oneri relativi alla sicurezza di dati e sistemi. Tuttavia non possono esimersi dall’attuazione di alcune precauzioni fondamentali di sicurezza preventiva, che qua si elencano brevemente, prescindendo dalle più complesse sicurezze predittive e reattive, le quali devono attuarsi affidandosi a soggetti con esperienza nel campo e/o a piattaforme specialistiche, in misura tanto maggiore quanto più sono indispensabili l’integrità e la riservatezza dei propri dati, nonché la loro disponibilità nel tempo.

L’adozione di misure tecniche ed organizzative per la sicurezza delle informazioni risponde anche ad uno dei requisiti del GDPR (Regolamento UE 2016:679 sulla protezione di dati personali).

Vediamo di seguito quali precauzioni devono prendere le aziende nelle attvità di ogni giorno.

  1. precauzioni di carattere generale
    1. “scrivania pulita”: non lasciare esposti documenti riservati
    2. custodire gelosamente le proprie password (possibile utilizzo di un “gestore delle password” attraverso una piattaforma di comprovata affidabilità)
    3. utilizzare password con almeno 8 caratteri, con lettere maiuscole e minuscole e segni di interpunzione
    4. rinnovare le password almeno ogni 6 mesi (Nota: i requisiti minimi per la password e la sua scadenza possono essere imposti dall’amministratore di sistema)
    5. non condividere le password con altri utenti, né per accedere ad applicazioni/piattaforme diverse
    6. utilizzare credenziali rafforzate da MFA (Multi Factor Access) per tutti gli accessi
    7. non immettere i propri dati personali sul PC/dispositivo e nell’account aziendali
    8. non utilizzare canali non aziendali per le comunicazioni aziendali e per il salvataggio di dati aziendali
    9. essere coscienti che i più frequenti attacchi informatici con violazione di dati e sistemi avvengono a seguito l’attuazione di “phishing” (ottenimento di credenziali e/o dati personali tramite simulazione di contenuti affidabili in messaggi provenienti da soggetti apparentemente noti ed affidabili)
    10. non proseguire la navigazione su siti web classificati come “sospetti” dall’antivirus
    11. proteggere la rete aziendale con firewall aggiornato; non concedervi accesso a visitatori se non per l’utilizzo di Internet
    12. istruire i nuovi assunti in merito alla sicurezza delle informazioni ed alla protezione dei dati personali
    13. alla cessazione di un rapporto di lavoro, provvedere al recupero dei dispositivi e alla chiusura degli account assegnati
  2. precauzioni relative al PC o altro dispositivo elettronico
    1. utilizzare le utenze amministrative anonime, quali “root” (Unix), “Administrator” (Windows), o “admin”), solo per situazioni specifiche
    2. utilizzate uno screen saver, con blocco dello schermo, che scatti ogni 10 minuti al massimo
    3. garantire l’aggiornamento tempestivo del S.O., dell’antivirus e delle applicazioni utilizzate
    4. utilizzare su smartphone e tablet le stesse protezioni attuate sul PC, sapendo che l’utilizzo di social, messaggistica e app scaricate comporta rischi ancor più elevati
    5. utilizzare un PIN o l’autenticazione biometrica o il “segno” geometrico  su smartphone e tablet, per superare il blocco schermo
    6. non scaricare sul dispositivo applicazioni non autorizzate dall’azienda, sia per ragioni di possibile copyright che di sicurezza informatica
    7. prima della consegna di un dispositivo elettronico a terzi (per es. per manutenzione) rimuovere o crittografare i dati riservati
    8. non lasciare incustoditi supporti di memorizzazione di massa con dati riservati non crittografati
    9. proteggere da furto e da danni i propri dispositivi
    10. in caso di alienazione di dispositivi e di supporti dati, effettuare la “cancellazione sicura” dei contenuti o la distruzione fisica degli oggetti
    11. concedere a terzi, per supporto, l’accesso da remoto al proprio PC solo per il tempo necessario all’intervento (utilizzando passcode a scadenza)
  3. precauzione relative agli account aziendali
    1. essere coscienti che la violazione del proprio account aziendale potrebbe compromettere le attività dell’azienda stessa
    2. limitare i permessi relativi agli account alle sole operazioni pertinenti con il ruolo aziendale delle persone cui sono assegnati (principio del “privilegio minimo”)
    3. utilizzare solo account individuali (eventuali account condivisi dovrebbero avere permessi limitati e sottostare al controllo dell’amministratore di sistema)
    4. utilizzare il 2FA (“accesso a due fattori”) dove possibile su ogni sistema, per impedire accessi non autorizzati in caso di violazione della password
    5. nell’utilizzo di PC di terzi, accedere al proprio account utilizzando la finestra di “navigazione in incognito”, sì che l’account venga comunque chiuso con l’uscita dal browser
    6. tenere un elenco aggiornato di tutti gli account aziendali assegnati e rimuovere quelli che non devono essere più utilizzati
    7. non utilizzare l’email aziendale per trasmettere o ricevere informazioni di carattere personale sensibili
    8. nell’invio per email di documenti confidenziali attivare la “modalità riservata”, che consente di impostare scadenza e passcode (tramite SMS)
    9. assicurarsi che le informazioni relative alle operazioni effettuate sugli account aziendali siano tracciabili attraverso un file di log e che questi siano accessibili soltanto al personale incaricato.

Una volta messe in pratica queste precauzioni, le aziende e i loro collaboratori acquisiscono consapevolezza nella gestione di questa delicata materia. Wondersys, in qualità di Cloud reseller e system integrator, può aiutarvi nell’impostazione, organizzazione e documentazione delle misure di sicurezza reattive e proattive. Ogni tassello di questo schema contribuisce a creare un quadro di sicurezza verso la prevenzione delle frodi e degli attacchi informatici.