Guida aziendale: come gestire la sicurezza delle informazioni

A seguito della forte spinta verso la trasformazione digitale, le aziende devono agire subito per proteggere i propri sistemi di gestione delle informazioni. Troppe organizzazioni hanno ritardato gli investimenti in un sistema di sicurezza dettagliato, restando vulnerabili agli attacchi. L'attività di tutti è ora automatizzata, digitalizzata e online, con conseguenti vantaggi in termini di velocità e costi, ma anche con l’introduzione di una serie di potenziali vulnerabilità. Fortunatamente, la creazione di un efficiente sistema di gestione della sicurezza delle informazioni (ISMS) contribuirà notevolmente a mitigare i pericoli.

Pericoli informatici

Il problema principale nell'era della trasformazione digitale è la protezione dati, in particolare contro i criminali informatici. Il gigante delle telecomunicazioni Verizon ha condotto una ricerca sui maggiori rischi per la sicurezza delle aziende e ha concluso che sono causati dall'hacking, che contribuisce al 40% delle violazioni dei dati e al malware, che ne determina un altro 30%. Un esempio spettacolare è stato il massiccio attacco informatico della scorsa estate al colosso di container Maersk nel porto di Los Angeles. Con computer e server chiusi, i dipendenti sono stati costretti a improvvisare usando Twitter, WhatsApp e Post-It. L'attacco di Petya ransomware è costato a Maersk $ 300 milioni e ha interrotto le operazioni per due settimane, dimostrando che anche le compagnie globali sono vulnerabili agli attacchi.

La tecnologia è un mondo che non si ferma mai ma, sfortunatamente, questa affermazione si applica anche ai criminali. Ciò significa che le aziende non possono mai riposare sugli allori quando si tratta di avere tutti gli strumenti e i più recenti sistemi per mantenere i propri dati al sicuro in ogni momento, indipendentemente da ciò che possa accadere.

Un sistema di gestione della sicurezza delle informazioni ben progettato (ISMS) aumenterà la resilienza di un'azienda agli attacchi informatici. Ma non è solo questione di attivare le tecnologie di sicurezza per poi andare a dormire. Creare il giusto ISMS richiede profonde riflessioni prima di selezionare un’architettura di policy e relative tecnologie. Le aziende devono fare una valutazione del rischio per identificare le vulnerabilità chiave e quindi valutare la propria posizione aziendale per determinare l’entità del proprio budget. Dovranno decidere se il personale esistente ha le capacità tecniche o se dovranno assumere, quindi stabilire obiettivi a breve e lungo termine. I rischi per la sicurezza cambiano rapidamente e i sistemi ISMS devono evolversi per affrontare nuove minacce. Per la loro analisi, le aziende devono cercare indicazioni del rischio in base agli standard multipli disponibili, tra cui COBIT, ISO 27000 (International Organization for Standardization) e NIST (National Institute of Standards and Technology) degli Stati Uniti serie 800.

Identificare il punto più debole dell'attività

Un quadro ISMS terrà conto del fatto che la maggior parte degli incidenti di sicurezza informatica sono causati dalla mancanza di consapevolezza delle vittime, che cadono preda delle trappole dei criminali informatici. Un esempio di alto profilo è stata la massiccia violazione della sicurezza l'anno scorso presso l'agenzia di reporting del credito Equifax, che ha fatto trapelare i dati di oltre 147 milioni di consumatori. Il CEO dell'azienda ha attribuito il problema ad un errore umano. È chiaro che è necessaria la tecnologia per ridurre il più possibile il rischio di errore umano, anche se non può quasi mai essere eliminato completamente. I programmi di formazione sulla sicurezza informatica sono essenziali per spiegare ai dipendenti come errori di poco conto possano avere conseguenze catastrofiche. C'è anche un costo umano se si fanno errori evitabili. Nessuno vuole licenziare il personale quando è vittima di una campagna di phishing o di un attacco di ingegneria sociale.

Soluzioni SIM

Un altro importante problema nella creazione di un sistema di sicurezza delle informazioni è determinare come selezionare tutti i dati che “inondano” i dispositivi di sicurezza, come firewall, server proxy, sistemi di rilevamento delle intrusioni e software antivirus. Il team IT può essere rapidamente sopraffatto perché l'installazione di un sistema di sicurezza migliore aumenterà piuttosto che ridurre i dati di allarme. Le aziende devono prendere in considerazione l'installazione di una tecnologia SIM (security information management) che registra e ordina i dati registrati da altri software.

Le organizzazioni più grandi hanno iniziato a utilizzare i sistemi SIM dieci anni fa, ma il mercato è esploso e ora sono parte integrante della sicurezza in molte piccole e medie imprese. Invece dei team di sicurezza IT che selezionano manualmente grossi gruppi di dati, il toolkit SIM automatizza il processo e normalizza i dati. Può tradurre gli avvisi software Cisco, Microsoft o CheckPoint in un linguaggio comune. Molte suite SIM includono più applicazioni per affrontare diversi problemi.

Al momento di decidere quale sistema SIM acquistare, le aziende devono considerare il livello di rischio che si trovano ad affrontare e se ha le capacità richieste. Deve essere scalabile, quindi registra le informazioni da centinaia o persino migliaia di dispositivi in tempo reale. Deve poter far fronte a ciò che Symantec chiama "minaccia mista", che potrebbe combinare le caratteristiche di virus, Cavalli di Troia e codice dannoso. Alcune aziende vorranno capacità di risposta attiva, il che significa che il sistema SIM intraprende azioni immediate sulla base dei dati. Questa opzione richiede sempre un'attenta installazione per evitare arresti non necessari di server e traffico bloccato se lo staff commette errori innocenti. Bisogna anche fare attenzione a negoziare le politiche interdipartimentali. SIM richiede un'integrazione complessa e potrebbero verificarsi ritardi poiché ogni reparto elabora i privilegi di accesso più adeguati.

Una volta che il sistema è stato progettato e installato, non è ancora concluso. L'organizzazione deve impostare KPI per monitorarne l'efficacia, quindi esaminare le principali violazioni. I cattivi attori sfruttano continuamente nuove tecnologie e vulnerabilità e sarà fondamentale implementare costantemente nuovi strumenti, competenze e procedure per contrastarli. Fortunatamente, le società tecnologiche si stanno muovendo velocemente quanto i criminali e sono disponibili tutti gli strumenti per implementare un sistema forte e sicuro.