Cyber Security in azienda, da dove si comincia?
Se pensi che il problema della sicurezza sia una cosa nuova, ti diamo degli elementi per ricrederti.
Il primo “virus” nasce con Arpanet, l’antesignana di Internet, nata negli USA alla fine degli anni ‘60. Si chiamava Creeper e fu creato per valutare le contro misure necessarie in caso di attacco a quella rete che era stata pensata come difesa ultima in caso di conflitto nucleare con l’allora Unione Sovietica.
Era il 1971 o giù di lì. Da allora è stato tutto un procedere tra attacchi e difese, tra scoprire vulnerabilità e i modi per proteggerle.
D’altronde, l’accelerazione industriale ed economica che l’era digitale ha introdotto, ha seguito un paradigma molto semplice: creiamo nuove soluzioni e servizi e poi li perfezioniamo. Lo sviluppo software basato sulle metodologie Agile funziona così. Non si aspetta la versione perfetta di un programma per rilasciarla, perché quella perfezione è irraggiungibile. O, quanto meno, si fa col tempo e l’utilizzo da parte degli utenti. Si lavora per costruire un sistema usabile e continuamente migliorabile. È l’economia degli aggiornamenti.
Ma, se siamo diventati bravissimi a capire questo, dobbiamo diventare altrettanto bravi a individuare una strategia per tutelare il nostro lavoro che dipende, in modo sempre più stringente, dalle tecnologie che usiamo.
Come avere un’azienda al sicuro dagli attacchi informatici, una linea guida
Allerta spoiler: per rendere la tua azienda, i tuoi dati e risorse veramente sicuri, non puoi fare tutto da sola/solo. Nemmeno se sei Capitan America. Non si dica che non sei stata avvisata/a.
Occuparsi della security delle tue risorse digitali richiede un lavoro armonico su almeno cinque fattori essenziali:
Bonus: avere qualcuno che ti consigli in maniera fredda, lucida e chiara. Sottolineiamo “che ti consigli”, non che ti venda apparati. Di quelli è pieno il mondo.
1. Cultura
Il principio è facile: puoi agire se prima capisci quello che serve. Puoi agire se prima conosci “il tuo nemico”. Inutile tormentare il tuo IT chiedendo maggiore sicurezza. Chiedi di capire, parla con gli esperti del settore. Magari fai due chiacchiere con noi.
Non rimanere ad un livello superficiale. Sapere che esistono i “virus informatici” è un livello superficiale. Conoscere le reali minacce che girano per la rete, i comportamenti, gli apparati e le policy che creano vulnerabilità è un’altra cosa. Non devi diventare un tecnico, ma un conoscitore della materia, sarebbe meglio di si.
2. Analisi dell’infrastruttura
Cosa c’è da proteggere? Come è fatta (veramente) la tua rete? Chi la segue? Chi fa manutenzione? Come? Ogni quanto?
Queste e altre duecento ventidue domande (grosso modo) sono le questioni da indagare. Sia dal punto di vista tecnico (qui sì servono i tecnici) sia dal punto di vista delle procedure. Ogni rete è diversa. Tu sei sicuro di conoscere la tua?
Di nuovo: se capisci come stanno le cose, sai come agire. Altrimenti agisci alla cieca o, peggio, corri ai ripari quando il danno è fatto.
3. Il livello di maturità digitale della tua azienda
Ne abbiamo parlato in uno dei nostri approfondimenti a proposito del lavoro ibrido. Qui vale la stessa cosa.
Consigliati da LinkedIn
Bisogna armonizzare più aspetti della gestione aziendale, il primo lo abbiamo già detto, è la cultura. Ma, poi ne abbiamo altri:
Battute a parte, considera che la pandemia ha risvegliato molte coscienze, ma non tutte. Alcuni hanno imparato la lezione, altri pensano ancora che gestiranno il problema quando e se si presenterà. Il problema è che quando si presenta è tardi. Ma, una cosa è certa: si presenterà e non chiederà permesso per entrare.
4. Definire la strategia difensiva a dimensione di chi sei
Il timore è spesso quello di dover spendere milioni di euro. Non è quasi mai così, a meno che tu sia un’azienda coinvolta in settori strategici della nazione.
Moltissime soluzioni di cyber security hanno modulazioni che si adattano ad aziende di tutte le dimensioni. Da quelle piccolissime a quelle molto grandi.
Il punto non è scegliere una soluzione per il nome e nemmeno per il prezzo, ma sceglierla per quello che ti serve effettivamente. E questo, my dear, te lo può dire sono un esperto. Per questo non puoi fare tutto da solo.
Ti avevamo avvertito.
Scegli le persone giuste, fatti spiegare per bene cosa serve e perché. Chiedi preventivi trasparenti con una distinzione tra hardware e servizi.
5. Qualità e prezzo fanno la differenza
L’esempio classico è quello dell’armatura. Se ne prendi una troppo pesante, rischi di non muoverti. Se è troppo leggera sei molto agile, ma non sei protetto a sufficienza. Se una cosa ci hanno insegnato gli Avenger e la Marvel in generale, è che i costumi dei super eroi devono essere forti, ma permettere movimenti naturali.
Così deve essere il tuo sistema di Cyber Security. Ed è per questo che vanno scelte soluzioni robuste, ma modulari. Ci sono e ce ne sono per(quasi) tutte le tasche. Ragionevolmente.
Perché la sicurezza è una cosa seria e serve per tutelare il tuo lavoro, la continuità e, in definitiva, il tuo conto corrente.
Bisogna essere molto chiari su tutto quello che ci siamo detti sopra ed evitare di fare investimenti sovra dimensionati o sotto stimare le vulnerabilità.
Per questo un preventivo non può mai essere basato su un singolo apparato o servizio, ma deve basarsi sulla progettazione reale, su misura, di quello che entra ed esce dalla tua rete. Evitando che entri o esca ciò che non vuoi.
La domanda fondamentale
Abbiamo cercato, come sempre, di rimanere semplici, ma sappiamo bene che c’è un mondo dietro a queste brevi righe.
Noi proponiamo sempre una domanda diretta e semplice:
Quanto tempo puoi stare senza i tuoi dati e senza la tua rete?
Ore, minuti o giorni?
In base alla tua risposta puoi renderti conto dell’urgenza di lavorare sulla Cyber Security della tua azienda.
Parliamone.
Bello l’articolo e validissimi i paragoni. Bravi ragazzi!