È possibile mitigare i rischi di qualsiasi attacco informatico se ci si focalizza sui trend di attacco piuttosto che sulle singole vulnerabilità. In questo modo è possibile stare un passo avanti ai criminali informatici ed anticipare le loro mosse.
I nostri esperti di sicurezza hanno stilato un elenco di 5 modi con i quali è possibile proteggere la tua organizzazioni e le sue informazioni.
1. La dirigenza e lo staff tecnico devono cooperare
Il personale responsabile della sicurezza informatica spesso si lamenta della mancanza di supporto da parte della dirigenza, che si traduce in budget insufficiente per gli obiettivi da raggiungere o richieste che non vengono né ascoltate né approvate.
Il motivo di tutto ciò è la scarsa visione di insieme da parte della dirigenza. Spesso, “i piani alti” pensano che la sicurezza informatica sia poco più che un problema dell’IT, senza considerare, invece, che riguarda l’intera organizzazione in tutte le sue parti, ossia il personale, le strutture fisiche, i processi, le procedure e le tecnologie.
Come risolvere l’impasse? Il team tecnico dovrebbe rendere più chiari i propri obiettivi, senza usare tecnicismi, in modo da essere compresi appieno, mentre il personale amministrativo dovrebbe mettere la sicurezza informatica al primo posto della scala delle priorità aziendali.
2. Il personale deve essere formato ed aggiornato con regolarità
Due delle più attuali minacce informatiche per le organizzazioni sono gli attacchi di phishing e il ransomware, accomunate dal fatto che entrambe sfruttano le debolezze umane. Se anche solo un membro del personale apre un’e-mail di phishing (che spesso contiene ransomware) senza riconoscere in tempo il pericolo, l’intera organizzazione è a rischio.
Succede anche che il personale abusi dei privilegi di accesso a certi software o applicazioni, oppure perda dei dati sensibili in modo accidentale: la causa di ciò risale al mancato rispetto delle misure di sicurezza decise dall’organizzazione, spesso perché il personale non ne è a conoscenza.
Educare il personale è la chiave per mitigare questi rischi che potrebbero causare danni considerevoli all’organizzazione. Idealmente, un programma di formazione e sensibilizzazione del personale dovrebbe essere eseguito con scadenza annuale, ogni volta che si assume un nuovo membro dello staff e ogni qualvolta succede un incidente di sicurezza, per mostrare al personale come comportarsi ed evitare che accada di nuovo in futuro.
3. Dare la priorità alla valutazione del rischio
La valutazione del rischio è uno dei compiti da fare quando si prepara il programma di sicurezza delle informazioni. È l’unico modo per essere sicuri che i controlli e le misure di sicurezza scelte siano adeguati ai rischi che si corrono.
Senza di essa, si rischia di ignorare le minacce reali e di sprecare tempo e risorse per affrontare minacce che non si verificheranno mai o che non causano danni significativi.
4. Le policy e le procedure devono essere riviste con regolarità
Le policy e le procedure sono documenti che stabiliscono come l’organizzazione gestisce i dati e le informazioni che possiede. Le policy forniscono una visione generale dei principi dell’organizzazione, mentre le procedure spiegano nel dettaglio come e quando si effettuano certe azioni.
Dato che le minacce informatiche sono in continua evoluzione, per tenere il passo, anche le policy e le procedure devono essere continuamente riviste per adattarsi ai cambiamenti.
5. Le misure di sicurezza devono essere migliorate costantemente
Ogni parte del programma di sicurezza trae beneficio dalla revisione e dal miglioramento continuo, quindi anche le misure di sicurezza. È un compito che richiede sforzi enormi e molto tempo, ma se effettuato con continuità porterà i suoi frutti.
ISO 27001 e la sicurezza delle informazioni
Ti consigliamo di certificare la tua organizzazione a ISO 27001, lo standard internazionale che descrive le best practice per un ISMS (sistema di gestione della sicurezza delle informazioni, anche conosciuto come SGSI). La struttura dello Standard copre tutto quanto elencato nei cinque punti precedenti ed è progettata per aiutare le organizzazioni a gestire le proprie prassi di sicurezza in modo centrale, coerente ed economico.
Per maggiori informazioni sullo standard ISO 27001 e il sistema di gestione della sicurezza delle informazioni, visita le nostre pagine informative o scarica la guida gratuita realizzata dai nostri esperti di sicurezza delle informazioni.
 |
 |
