Difendere l’azienda dai rischi: chi deve pensarci e perché?

A cura di Vittorio Orefice

Iniziamo da un dettaglio di notevole importanza: la parola sicurezza ha tanti significati. A seconda del contesto e della formazione di chi parla, possiamo pensare alla difesa fisica, al controllo sulla proprietà intellettuale, alla volontà di non compiere reati contro l’ambiente, alla protezione dal phishing o alla prevenzione di scalate ostili in borsa.

La sicurezza può essere definita come lo stato di protezione e di assenza di pericolo o minaccia a cui è soggetto un individuo, una comunità o un’organizzazione.

In corsivo ne vogliamo richiamare bene il concetto. Siamo sicuri che il lettore non mancherà di trovare almeno qualcuno degli aspetti, se non nuovo, spesso disatteso nella sua realtà aziendale.

In generale, la sicurezza si riferisce alla capacità di prevenire, ridurre o gestire i rischi e le minacce che possono mettere a repentaglio l’incolumità, la salute o il benessere di un individuo, di una comunità o di un’organizzazione. La sicurezza può essere ottenuta attraverso l’adozione di misure preventive, come l’implementazione di sistemi di controllo e di monitoraggio, la formazione del personale, l’adozione di protocolli e procedure di sicurezza, la definizione di piani di emergenza e di continuità delle attività in caso di crisi o di attacchi.

Inoltre, la sicurezza implica anche la capacità di reagire in modo efficace e tempestivo in caso di emergenza, per minimizzare i danni e ripristinare il normale funzionamento delle attività. Questo aspetto della sicurezza è spesso chiamato sicurezza reattiva.

In ogni contesto, la sicurezza deve essere valutata in base ai rischi specifici a cui è soggetto l’individuo, la comunità o l’organizzazione. Ciò significa che le misure di sicurezza adottate devono essere proporzionate alla natura e alla gravità dei rischi, e devono essere continuamente riviste e aggiornate per garantire la massima efficacia e protezione possibile.

In sintesi, la parola sicurezza si riferisce alla protezione e alla prevenzione dei rischi e delle minacce a cui è soggetto un individuo, una comunità o un’organizzazione. Essa implica l’adozione di misure preventive e reattive, proporzionate alla natura e alla gravità dei rischi, e deve essere continuamente rivista e aggiornata per garantire la massima efficacia e protezione possibile.

Essa può essere declinata in diversi ambiti, ad esempio la sicurezza personale, la sicurezza informatica, la sicurezza alimentare, la sicurezza del lavoro, la sicurezza stradale e così via.

Come si vede con pochissimi flash in ambiti differenti abbiamo facilmente dimostrato che la sicurezza è un concetto trasversale e avvolgente, ma continuando dimostreremo che contiene sia il concetto di sbarramento passivo nei confronti degli attacchi che quello di ripresa dell’operatività in caso di attacco subìto e, purtroppo, non bloccato.

Quindi non possiamo liquidare questo aspetto, assai critico, della vita aziendale come se fosse (spesso viene posto in questi termini) una piccola parte, secondaria e misconosciuta, dei compiti dell’ICT.

La sicurezza aziendale è invece un tema cruciale per qualsiasi azienda, e coinvolge tutte le figure manageriali, non solo l’ICT: se ciascuna area farà in modo privo di rischi il suo lavoro l’azienda intera vedrà ridursi il rischio.

Tuttavia per brevità e nel rispetto del nostro ambito consulenziale ci limiteremo a discutere le problematiche e le tecnologie che in qualche modo riguardano la sfera informatica.

L’importanza della sicurezza aziendale non può essere sottovalutata, poiché gli attacchi informatici sono sempre più sofisticati e le conseguenze di un attacco possono essere molto gravi, sia in termini economici che reputazionali.

Per questo motivo, è fondamentale che la sicurezza aziendale sia un valore tenuto in considerazione da tutti i collaboratori dell’azienda, sia interni che esterni. Non solo i dipendenti, ma anche i partner commerciali e i fornitori devono essere consapevoli dell’importanza della sicurezza aziendale e collaborare per garantirla. L’azienda deve vigilare, attivamente, sul rispetto delle regole da parte dei partner.

Ad esempio, se l’azienda utilizza un fornitore di servizi cloud, deve assicurarsi che il fornitore rispetti gli standard di sicurezza e che le credenziali di accesso siano gestite in modo sicuro. Inoltre, l’azienda deve accertare che tutto il personale coinvolto sia formato adeguatamente sulla sicurezza informatica.

Quanto sopra deve avvenire mediante un processo formale e supportato da documenti (NDA ed altro) che permettano all’azienda di rivalersi in caso di danni prodotti o derivanti da incuria di terze parti.

Le figure manageriali hanno un ruolo fondamentale nel garantire la sicurezza aziendale. I manager devono avere una conoscenza approfondita dei rischi informatici e delle best practice per prevenirli. Devono inoltre assicurarsi che le politiche di sicurezza aziendale siano correttamente applicate e che il personale sia formato in modo adeguato.

Inoltre, i manager devono collaborare con gli esperti di sicurezza informatica per garantire che l’infrastruttura tecnologica dell’azienda sia protetta. Devono inoltre definire un piano di emergenza per gestire eventuali attacchi informatici e garantire che tutti i dipendenti siano a conoscenza del piano e in grado di attuarlo in caso di necessità.

A ciò si aggiunga che i piani di emergenza destinati a questi casi sporadici (si spera infatti di non doverli mai attivare) devono essere testati periodicamente da un lato per garantire la pronta ed ottimale esecuzione in caso di necessità e dall’altro per affinarli ed aggiornarli.

Ma la sicurezza aziendale non riguarda solo le figure manageriali. Tutti i dipendenti dell’azienda devono essere consapevoli dei rischi informatici e adottare le opportune best practice per prevenirli. Ad esempio, devono evitare di utilizzare password semplici o di condividere le proprie credenziali di accesso con altri, e devono essere in grado di riconoscere eventuali tentativi di phishing. Sia chiaro che il phishing viene qui usato come rappresentante simbolico di tutta la categoria di attacchi social engineering.

Inoltre, i dipendenti devono essere formati regolarmente sulla sicurezza informatica, al fine di garantire che siano a conoscenza degli ultimi rischi e delle migliori pratiche per prevenirli e la loro formazione deve essere asseverata con test periodici volti a garantire la correttezza della risposta aziendale.

In questo modo, l’azienda può garantire la sicurezza dei propri dati e delle proprie infrastrutture tecnologiche, proteggere la propria reputazione e assicurare la continuità delle proprie attività in caso di attacco informatico.

È importante che le aziende investano in formazione e iniziative volte a sensibilizzare il personale sulla sicurezza informatica, al fine di garantire che tutti i dipendenti siano a conoscenza dei rischi e delle migliori pratiche per prevenirli.

Inoltre, l’azienda deve continuamente monitorare la propria infrastruttura tecnologica per individuare eventuali vulnerabilità e adottare le misure necessarie per correggerle. La sicurezza informatica è un processo continuo e in continua evoluzione e richiede una costante attenzione da parte di tutti gli attori coinvolti.

In sintesi, la sicurezza aziendale è un aspetto critico che coinvolge tutte le figure manageriali e tutti i collaboratori dell’azienda, sia interni che esterni. L’adozione di buone pratiche e l’investimento in formazione e sensibilizzazione sono fondamentali per garantire la protezione dei dati e delle infrastrutture tecnologiche dell’azienda e assicurare la continuità delle proprie attività in caso di attacco informatico.

In conclusione, la sicurezza aziendale è un tema cruciale per qualsiasi azienda, e coinvolge tutte le figure manageriali, non solo l’ICT. Tutti i collaboratori dell’azienda, sia interni che esterni, devono essere consapevoli dei rischi informatici e adottare le best practice per prevenirli. In questo modo, l’azienda può garantire la propria sicurezza passiva.

Vi è ancora da considerare tutto il tema della reazione all’ eventuale attacco effettivamente subito che tratteremo in un successivo articolo, che crediamo potrà interessare tutti voi, sul prossimo numero del nostro magazine.