Garantire la sicurezza dei dati, che rappresentano uno dei principali asset delle imprese, è un interesse prioritario delle organizzazioni e un preciso impegno dell’IT.
Va però ricordato che la sicurezza dei dati non si limita alla protezione dei dati personali, come previsto dal regolamento europeo GDPR. Una violazione di dati che coinvolge, ad esempio, informazioni riservate sulla produzione, pur non avendo impatto su dati personali, può causare all’azienda un danno economico ingente.
Le misure da adottare per garantire la sicurezza dei dati dovrebbero essere commisurate al rischio, valutato in base a tre aspetti: integrità, riservatezza e disponibilità dei dati.
Le cause delle violazioni che minano la sicurezza dei dati aziendali e personali possono essere molteplici, come il furto o lo smarrimento dei dispositivi, copie non autorizzate dei dati, errori dei sistemi hardware, del software o errori umani, autorizzazioni di accesso ai dati troppo permissive, password deboli, attacchi a reti mal protette e malware.
La cyber security, che difende i dati da attacchi malevoli provenienti dall’esterno, rappresenta dunque solo una componente in termini di sicurezza.
Come scegliere le misure appropriate per la sicurezza dei dati
Come scegliere le misure appropriate per la sicurezza dei dati
La sicurezza dei dati presuppone un’analisi del rischio che vada a valutare, per ciascuna categoria di dato, la probabilità del verificarsi di una minaccia e l’impatto conseguente.
In base al rischio, si definiranno le priorità di intervento per ridurlo a un livello accettabile, attuando appropriate misure di mitigazione, di tipo tecnico e organizzativo.
Le misure dipenderanno dai parametri coinvolti. La violazione di un dato personale, regolamentata dal GDPR, potrà avere un impatto sulla riservatezza e dovrà essere commisurata alle conseguenze sui diritti e le libertà degli interessati. La non disponibilità di un dato fondamentale per l’operatività aziendale avrà un impatto determinato dal costo (anche in termini di immagine) derivante dall’interruzione del business.
Mentre nel primo caso una misura tecnica utile per garantire la riservatezza può essere la crittografia, questa è del tutto inappropriata per il secondo, dove potrebbe essere invece utile il ricorso al backup, del tutto inadatto per garantire la riservatezza dei dati personali.
Misure tecniche per la sicurezza dei dati
Misure tecniche per la sicurezza dei dati
Chiarito dunque che non esiste una misura unica per la sicurezza dei dati e che è indispensabile un’analisi del rischio per capire se si punta alla riservatezza, all’integrità, alla disponibilità (o a una combinazione di queste), può essere molto utile, in fase preliminare, fare il punto sulla situazione di partenza attraverso un assessment della sicurezza.
Più in generale alcune misure comunque consigliate sono:
- Scegliere password strong e cambiarle periodicamente per l’accesso ai dati critici;
- Consentire l’accesso solo ai dati necessari per le attività;
- Crittografare i dati sensibili (dati personali o di valore aziendale);
- Adottare antivirus (continuamente aggiornati) per difendersi dagli attacchi più comuni;
- Utilizzare strumenti avanzati di detection delle minacce in tempo reale;
- Utilizzare firewall, per difendere la rete aziendale da accessi indesiderati;
- Effettuare il backup automatizzato per garantire la copia aggiornata dei dati per poterli ripristinare tempestivamente.
Misure organizzative per la sicurezza dei dati
Misure organizzative per la sicurezza dei dati
Va inoltre definita una policy per la sicurezza dei dati da comunicare a dipendenti e collaboratori, che devono essere costantemente aggiornati sulle misure di protezione adottate.
La formazione è indispensabile per aumentare la consapevolezza sulla necessità di garantire la sicurezza dei dati dalle principali minacce, ad esempio riconoscendo potenziali messaggi di phishing e adottando una gestione corretta delle password. Le persone dovrebbero essere formate anche sul modo corretto di mantenere il proprio lo spazio di lavoro, evitando di esporre documenti riservati o password.
Va per tempo definito un piano che coinvolga processi e persone, per garantire la business continuity in caso di violazione dei dati.
Vanno previsti controlli per verificare il livello di protezione dei dati con audit periodici e la verifica che i sistemi di sicurezza dei dati funzionino correttamente, ad esempio attraverso vulnerability e penetration test.
Le organizzazioni devono essere consapevoli che la valutazione del rischio e l’individuazione dei rimedi per la sicurezza dei dati vanno considerati processi da aggiornare in modo continuo sulla base delle trasformazioni dell’azienda e dell’evoluzione delle minacce.
NovaNext, system integrator, security advisor e training center per i professionisti dell’ICT, progetta e realizza le più avanzate soluzioni in ambito Security, Data Center, Networking, Collaboration e offre una gamma completa di Managed Security Services. Gli esperti NovaNext accompagnano i Clienti nella scelta, nell’attivazione e nella gestione dei mezzi di protezione più adeguati a supportare l’evoluzione strategica dell’Azienda, in tutta sicurezza.
