Protezione dei dati aziendali: come fare? Le minacce alla cyber security sono in aumento e i network aziendali sempre più fluidi: monitorare tutto è più difficile, ma è possibile. Anche le strategie di backup cambiano forma e diventano più sofisticate, recependo le nuove direttive in materia di privacy. Di seguito proviamo a darvi 5 consigli utili per gestire meglio i delicati aspetti legati alla messa in sicurezza di dati e processi.
SOMMARIO
- Security awareness
- Controllo degli accessi
- Segmentazione rete aziendale
- Aggiornamento tecnologia
- Gestione agile dei backup
Premessa: la situazione
Con l’aumento massiccio della circolazione dei dati e la creazione di sempre più fitte connessioni di rete, crescono i rischi legati alla cyber security. Lo rilevano molti rapporti ufficiali e l’esperienza concreta: la circolazione delle informazioni è più fluida, ma è anche più esposta ai rischi.
I problemi sono in primo luogo di protezione della privacy: c’è il rischio reale che informazioni sensibili sui propri clienti vengano intercettate e utilizzate in modo fraudolento. C’è però anche il rischio, serio, di compromettere l’efficienza aziendale: è già accaduto più volte, con attacchi informatici che hanno colpito business di diversa entità (ricordate il malware wannacry?).
Le misure di sicurezza per dati e processi aziendali sono oggi molto complesse: i network infatti non sono circoscritti soltanto allo spazio fisico dell’ufficio ed è possibile accedervi da più punti. In questo scenario, una difesa perimetrale via firewall non basta più. Inoltre, è più importante affidarsi a personale specializzato, da assumere magari in-house, per garantire la sicurezza e misure di protezione efficaci su dati e processi.
Una strategia efficace passa anche per un buon piano di backup. Più in generale, si assicura con un insieme di interventi strutturali e best practice individuali. Di seguito ve ne presentiamo qualcuna.
1. Security awareness
Conoscere un problema è il primo passo per affrontarlo. La cyber security è argomento importante e riguarda tutti in azienda. Fa sempre effetto osservare le statistiche di settore: la percentuale di danni provocati da errori o disattenzioni individuali è sempre piuttosto alta. Volete rendervene conto? Scorrete questo interessante report sulla cybersecurity 2020 e osservate quali sono le cause principali di cyber disaster nelle aziende USA.
Minacce anche sere possono arrivare dalla semplice apertura di mail sospette o da un clic sul link sbagliato: fondamentale è dunque averne consapevolezza. Non è necessario diventare esperti di sicurezza informatica, ma almeno sapere cosa sono malware o phishing, e quali i rischi connessi anche ai task di minore entità.
Molte aziende organizzano momenti di confronto e formazione interna sui problemi di sicurezza informatica. Per sensibilizzare alla questione, dal 2004 negli USA è stato istituito il mese della cybersecurity awareness (Ottobre). Si tratta di un’occasione “istituzionale” per consuntivi e iniziative a tema, che anche l’Unione Europea ha recepito e fatto propria.
Discorso ancora più delicato riguarda il trattamento dei dati personali e la tutela della privacy. Procedure aziendali apposite e disciplinari comunitari come il GDPR in vigore dal 25 maggio 2018 indicano tempi e modi per la protezione dei dati sensibili, in primo luogo di clienti e personale. Un corso di formazione o attività analoghe sono importanti per assicurare che in azienda si sappia cosa fare.
Lo spot della campagna di security awareness ideato per il 2019 dall’ENISA, l’agenzia europea per la sicurezza delle reti e dell’informazione
2. Controllo degli accessi
La security awareness è più importante nelle aziende odierne, dove il lavoro non si svolge solo sul PC dell’ufficio. Il “vecchio” modello di intranet si controllava meglio perché il numero di punti di accesso era relativamente limitato. Un modello aggiornato deve tenere conto dello scenario attuale. Qui, per esempio, gli agenti di vendita si collegano al portale aziendale per inserire gli ordini, i manager recuperano via tablet le loro presentazioni per meeting e convegni, o semplicemente l’impiegato usa in ufficio il suo smartphone con la rete aziendale.
La gestione degli accessi è quindi fondamentale per la protezione dei dati aziendali. Un sistema statico, fondato sul consueto schema di verifica con log-in e successivo accesso completo alla rete, non è il più adatto nella nuova situazione. Funziona meglio un accesso ai dati e alla rete dinamico e compartimentato. In parole pratiche, username e password non bastano da sole, e occorre verificare altri parametri e fattori di rischio.
Un approccio di questo tipo è quello detto ZeroTrust, particolarmente adatto alle strutture in cui dati e processi vengono gestiti anche in cloud. Un’architettura ZeroTrust, come dice il nome, non dà niente per scontato, e gestisce la sicurezza in modo dinamico. In sostanza, considera oltre ai dati di login altre variabili: tipo di connessione, di risorsa richiesta ecc. In questo modo, e con il giusto supporto tecnologico, si riesce a creare un sistema di networking più dinamico e protetto senza perdere in praticità e rapidità.
Il nuovo modello di rete aziendale, ibrida e con molteplici punti di accesso
3. Segmentazione rete aziendale
Per un network aziendale la segmentazione è una soluzione quasi obbligata. Non solo per questioni di sicurezza e protezione dei dati, ma anche per meglio dividere i processi e i carichi di lavoro. Si è sempre fatto finora creando le sottoreti; oggi è possibile definire microsegmenti di rete particolarmente efficaci, soprattutto nelle architetture ibride.
Nell’azienda moderna c’è da gestire sia la molteplicità degli accessi, sia l’utilizzo crescente di macchinari e strumenti di tipo IoT, Internet of Things. Questi devices, se garantiscono un eccezionale ritorno in termini di semplificazione ed efficienza dei processi, presentano però anche rischi legati alla cyber sicurezza.
Un network meglio compartimentato migliora la protezione e l’efficienza di dati e processi, se progettato bene. Nuove tecnologie come quelle di Software Defined Networking (SDN), permettono oggi una migliore gestione e creazione dei singoli comparti. L’azienda ne beneficia in termini di protezione dei dati: si riduce infatti la possibilità che un virus si propaghi nel network, con termine tecnico diminuisce la superficie di attacco. La microsegmentazione migliora però anche l’efficienza aziendale, con una migliore distribuzione delle risorse e dei processi.
Per saperne di più: Microsegmentazione delle reti: quanto è sicura nelle architetture cloud?
4. Aggiornamento tecnologia
Restare aggiornati è una best practice del commercio, tanto più valida nel settore informatico. In materia di protezione dei dati personali, per esempio, le minacce alla sicurezza sono sempre più sofisticate. D’altra parte, rischi importanti arrivano ancora dall’utilizzo di software non aggiornati oppure obsoleti. I bug dei programmi possono essere i primi nemici dei vostri dati. La qualità dei software in uso e, soprattutto, la garanzia di continuità e supporto sono fondamentali.
Quanto detto vale per le applicazioni di office automation, ma anche e soprattutto per i software di cyber security in uso. Firewall e sistemi evoluti di backup devono essere continuamente aggiornati per garantire protezione adeguata: la frequenza di bug fixes e release messe a disposizione è dunque un fattore cruciale da considerare nella scelta di questi prodotti.
Al tempo stesso, la scelta di software tecnologicamente avanzato non basta e va accompagnata a un periodico aggiornamento di conoscenze del personale. Affidare la gestione della sicurezza informatica a un Data Protection Officer interno è importante anche per questo: si può contare su una risorsa qualificata e professionalmente tenuta a documentarsi. In un settore in continua evoluzione come quello informatico è un vantaggio non da poco.
5. Controllo agile dei backup
Una buona strategia di backup dei dati aziendali è flessibile: invece di concentrare gli archivi, tende a distribuirli in modo da ridurre l’entità dell’eventuale perdita di dati. Può essere complicata da gestire, ma è la maniera migliore per minimizzare i rischi. La regola comunemente conosciuta è la regola del 3-2-1 (0): cioè eseguire 3 backup di ogni documento, archiviarlo in 2 dispositivi differenti di cui 1 esterno all’azienda e ridurre a 0 la possibilità di errori.
Seguendo questa regola, è importante progettare un sistema di backup distribuito e sicuro, che oggi conta fondamentalmente sull’archiviazione dei dati nel cloud. La “nuvola” virtuale poggia in realtà su un sistema di data center, generalmente esterni all’azienda. Nella scelta del servizio di cloud, può essere preferibile scegliere quelli basati su data center più prossimi geograficamente e più piccoli. Offrono infatti maggiore rapidità nel data recovery, ma anche più garanzie di sicurezza e accesso: in uno scenario complicato da guerre commerciali e sistemi opachi, sono aspetti da considerare.
La pianificazione del backup comprende anche una strategia di Disaster Recovery: letteralmente, cosa fare in caso di manomissione dei dati. In questo scenario, vanno individuate le priorità e definiti i processi da eseguire. Compito da affidare a personale specializzato, in-house o esterno. L’obiettivo è garantire la cosiddetta business continuity, cioè la possibilità di rimanere operativi. Una gestione agile e strategica del sistema di backup può servire allo scopo.
Sintesi: cyber security 2020
Come dimostrano gli studi di settore, la sicurezza informatica è un settore delicato, per il quale è prevista una crescita esponenziale degli investimenti. Nonostante i proclami, anche le aziende più grandi hanno mostrato in passato la loro vulnerabilità. In un certo senso ciò è inevitabile perché la cyber security è una rincorsa continua tra hacker e gestori della sicurezza.
Con la proliferazione dei dati e la dematerializzazione crescente della gestione documentale, la protezione dei dati aziendali diventa allora imperativa per tutti. Nuovi obblighi di archiviazione e un nuovo regolamento in tema di privacy rendono necessario affrontare questo tema. Affidarsi a personale specializzato, aggiornare le infrastrutture aziendali, archiviare i dati in modo flessibile e sicuro e, soprattutto, aumentare la consapevolezza individuale in materia di data protection sono alcuni passi fondamentali da compiere per una cyber security 2020.
Vedi anche:
GDPR: come adeguarsi |
Data center: cosa sono, sicurezza e come scegliere un data center in Italia
SU
