Cyber Security in azienda, da dove si comincia?

Cyber Security in azienda, da dove si comincia?

Se pensi che il problema della sicurezza sia una cosa nuova, ti diamo degli elementi per ricrederti.

Il primo “virus” nasce con Arpanet, l’antesignana di Internet, nata negli USA alla fine degli anni ‘60. Si chiamava Creeper e fu creato per valutare le contro misure necessarie in caso di attacco a quella rete che era stata pensata come difesa ultima in caso di conflitto nucleare con l’allora Unione Sovietica.

Era il 1971 o giù di lì. Da allora è stato tutto un procedere tra attacchi e difese, tra scoprire vulnerabilità e i modi per proteggerle.

D’altronde, l’accelerazione industriale ed economica che l’era digitale ha introdotto, ha seguito un paradigma molto semplice: creiamo nuove soluzioni e servizi e poi li perfezioniamo. Lo sviluppo software basato sulle metodologie Agile funziona così. Non si aspetta la versione perfetta di un programma per rilasciarla, perché quella perfezione è irraggiungibile. O, quanto meno, si fa col tempo e l’utilizzo da parte degli utenti. Si lavora per costruire un sistema usabile e continuamente migliorabile. È l’economia degli aggiornamenti.

Ma, se siamo diventati bravissimi a capire questo, dobbiamo diventare altrettanto bravi a individuare una strategia per tutelare il nostro lavoro che dipende, in modo sempre più stringente, dalle tecnologie che usiamo.

Arpanet - Fonte WIkipedia


 

Come avere un’azienda al sicuro dagli attacchi informatici, una linea guida

Allerta spoiler: per rendere la tua azienda, i tuoi dati e risorse veramente sicuri, non puoi fare tutto da sola/solo. Nemmeno se sei Capitan America. Non si dica che non sei stata avvisata/a.

Occuparsi della security delle tue risorse digitali richiede un lavoro armonico su almeno cinque fattori essenziali:

  1. La cultura: una conoscenza del panorama delle minacce in senso stretto
  2. Analisi della tua infrastruttura: cosa c’è da proteggere?
  3. Capire, onestamente, il livello di maturità della tua azienda in materia digitale e di sicurezza
  4. La definizione di una strategia di Security basata sulla tua effettiva infrastruttura
  5. Orientarsi verso le tecnologie giuste con il rapporto qualità/prezzo adeguato per la tua azienda

 Bonus: avere qualcuno che ti consigli in maniera fredda, lucida e chiara. Sottolineiamo “che ti consigli”, non che ti venda apparati. Di quelli è pieno il mondo.


1.     Cultura

Il principio è facile: puoi agire se prima capisci quello che serve. Puoi agire se prima conosci “il tuo nemico”. Inutile tormentare il tuo IT chiedendo maggiore sicurezza. Chiedi di capire, parla con gli esperti del settore. Magari fai due chiacchiere con noi.

Non rimanere ad un livello superficiale. Sapere che esistono i “virus informatici” è un livello superficiale. Conoscere le reali minacce che girano per la rete, i comportamenti, gli apparati e le policy che creano vulnerabilità è un’altra cosa. Non devi diventare un tecnico, ma un conoscitore della materia, sarebbe meglio di si.


2.     Analisi dell’infrastruttura

Cosa c’è da proteggere? Come è fatta (veramente) la tua rete? Chi la segue? Chi fa manutenzione? Come? Ogni quanto?

Queste e altre duecento ventidue domande (grosso modo) sono le questioni da indagare. Sia dal punto di vista tecnico (qui sì servono i tecnici) sia dal punto di vista delle procedure. Ogni rete è diversa. Tu sei sicuro di conoscere la tua?

Di nuovo: se capisci come stanno le cose, sai come agire. Altrimenti agisci alla cieca o, peggio, corri ai ripari quando il danno è fatto.

 

3.     Il livello di maturità digitale della tua azienda

Ne abbiamo parlato in uno dei nostri approfondimenti a proposito del lavoro ibrido. Qui vale la stessa cosa.

Bisogna armonizzare più aspetti della gestione aziendale, il primo lo abbiamo già detto, è la cultura. Ma, poi ne abbiamo altri:

  •  che tipo di organizzazione del lavoro avete? Ibrida o in presenza?
  • che scelte avete fatto in materia di conservazione e gestione dei dati?
  • Avete valutato un piano B e magari anche un piano C. in caso di “incidente informatico”?
  • I vostri collaboratori sono adeguatamente informati e formati rispetto ai comportamenti da tenere per proteggere dati e infrastruttura?
  • La tua rete è pensata come una parte integrante di un organismo in crescita e in evoluzione oppure “finchè internet va” il problema non si pone?

Battute a parte, considera che la pandemia ha risvegliato molte coscienze, ma non tutte. Alcuni hanno imparato la lezione, altri pensano ancora che gestiranno il problema quando e se si presenterà. Il problema è che quando si presenta è tardi. Ma, una cosa è certa: si presenterà e non chiederà permesso per entrare.

 

4.     Definire la strategia difensiva a dimensione di chi sei

Il timore è spesso quello di dover spendere milioni di euro. Non è quasi mai così, a meno che tu sia un’azienda coinvolta in settori strategici della nazione.

Moltissime soluzioni di cyber security hanno modulazioni che si adattano ad aziende di tutte le dimensioni. Da quelle piccolissime a quelle molto grandi.

Il punto non è scegliere una soluzione per il nome e nemmeno per il prezzo, ma sceglierla per quello che ti serve effettivamente. E questo, my dear, te lo può dire sono un esperto. Per questo non puoi fare tutto da solo.

Ti avevamo avvertito.

Scegli le persone giuste, fatti spiegare per bene cosa serve e perché. Chiedi preventivi trasparenti con una distinzione tra hardware e servizi.

 

5.     Qualità e prezzo fanno la differenza

L’esempio classico è quello dell’armatura. Se ne prendi una troppo pesante, rischi di non muoverti. Se è troppo leggera sei molto agile, ma non sei protetto a sufficienza. Se una cosa ci hanno insegnato gli Avenger e la Marvel in generale, è che i costumi dei super eroi devono essere forti, ma permettere movimenti naturali.

Così deve essere il tuo sistema di Cyber Security. Ed è per questo che vanno scelte soluzioni robuste, ma modulari. Ci sono e ce ne sono per(quasi) tutte le tasche. Ragionevolmente.

Perché la sicurezza è una cosa seria e serve per tutelare il tuo lavoro, la continuità e, in definitiva, il tuo conto corrente.

Bisogna essere molto chiari su tutto quello che ci siamo detti sopra ed evitare di fare investimenti sovra dimensionati o sotto stimare le vulnerabilità.

Per questo un preventivo non può mai essere basato su un singolo apparato o servizio, ma deve basarsi sulla progettazione reale, su misura, di quello che entra ed esce dalla tua rete. Evitando che entri o esca ciò che non vuoi.

 

La domanda fondamentale

Abbiamo cercato, come sempre, di rimanere semplici, ma sappiamo bene che c’è un mondo dietro a queste brevi righe.

Noi proponiamo sempre una domanda diretta e semplice:

Quanto tempo puoi stare senza i tuoi dati e senza la tua rete?
Ore, minuti o giorni?

In base alla tua risposta puoi renderti conto dell’urgenza di lavorare sulla Cyber Security della tua azienda.

Parliamone.

Bello l’articolo e validissimi i paragoni. Bravi ragazzi!

Per visualizzare o aggiungere un commento, accedi

Altri articoli di ITCore Group

Altre pagine consultate