Cybersecurity: best practice aziendali
In un mondo sempre più digitalizzato, la cybersecurity è diventata una priorità per le aziende di ogni dimensione.
Abbiamo chiesto a Francesco Bassolino, un esperto di cybersecurity di EMM Systems Consulting, di introdurci in questo argomento così complesso, ma così attuale.
Le minacce informatiche sono in costante aumento, sia in termini di numero che di sofisticazione, mettendo a rischio non solo i dati sensibili, ma anche la reputazione e la stabilità finanziaria delle imprese. È per questo motivo che le organizzazioni dovrebbero attuare delle best practice per proteggere i loro asset e garantire il rispetto dei tre principi fondamentali della sicurezza informatica:
- Confidenzialità: capacità di un sistema di fornire l’accesso alle risorse esclusivamente agli utenti che risultano in possesso delle autorizzazioni necessarie;
- Integrità: protezione di dati dalla modifica da parte di un utente non autorizzato;
- Disponibilità: prontezza con cui il sistema riesce a garantire l’accesso alle informazioni richieste.
Per affrontare queste sfide, può essere utile seguire degli standard di riferimento. In modo da avere delle linee guida che possano facilitare il raggiungimento di tali obiettivi e, allo stesso tempo, incrementare l’affidabilità della propria organizzazione. Infatti, per le aziende, adottare questi standard significa non solo migliorare la sicurezza interna, ma anche dimostrare a clienti e partner un impegno serio verso la protezione dei dati.
Best practice, quali sono gli standard?
Tra i riferimenti internazionali più utilizzati ci sono lo standard ISO/IEC 27001, che definisce i requisiti per un sistema di gestione della sicurezza delle informazioni, e il Cybersecurity Framework del NIST.
La norma ISO/IEC 27001
La norma ISO/IEC 27001 rappresenta uno degli standard internazionali maggiormente riconosciuti. Il suo scopo consiste nel fornire una struttura per stabilire, implementare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni.
La norma si focalizza sulle policy di sicurezza, sulla valutazione e la gestione del rischio e sull’implementazione dei controlli. Nello specifico, nell’ultima revisione, che risale al 2022, sono state identificate quattro macrocategorie di controlli: organizzativi, fisici, tecnologici e controlli sul personale. Tali controlli rappresentano delle verifiche che l’organizzazione deve eseguire sui propri sistemi, in modo da redigere il documento di applicabilità (SOA), necessario in fase di realizzazione del piano di trattamento dei rischi.
Il processo di certificazione prevede l’esecuzione di un audit di terza parte diviso in due fasi. Durante la prima fase vengono analizzate le informazioni fornite dall’azienda attraverso documenti o interviste al personale. Mentre durante la seconda fase viene valutata l’attuazione e l’efficacia del sistema di gestione dell’organizzazione.
In seguito alla certificazione, sono previsti altri due audit di sorveglianza con cadenza annuale, per verificare che i requisiti siano ancora soddisfatti e che non siano presenti nuove non conformità. Seguiti da un eventuale audit di rinnovo, che deve essere effettuato entro i tre anni dalla certificazione.
Il Cybersecurity Framework del NIST
Il Cybersecurity Framework del NIST (National Institute of Standards and Technology) è un altro punto di riferimento essenziale per le aziende che desiderano migliorare la propria attitudine nei confronti degli aspetti di sicurezza informatica. Infatti, il NIST, con il documento SP 800-53, fornisce un’ampia gamma di controlli di sicurezza e best practice per la gestione dei rischi informatici. Coprendo aspetti come la gestione degli accessi, la protezione delle informazioni e la risposta agli incidenti. Questo framework, sebbene sia nato per essere utilizzato da organizzazioni di qualsiasi settore e dimensione negli Stati Uniti, è stato adottato a livello globale da molte altre organizzazioni e paesi. Questo perché si integra bene con altri standard di sicurezza, offrendo un approccio completo e dettagliato alla sicurezza informatica.
Implementare la cultura della sicurezza
Implementare questi standard nelle aziende richiede un impegno significativo ma offre numerosi vantaggi. Prima di tutto, aiuta a creare una cultura della sicurezza all’interno dell’organizzazione, sensibilizzando il personale sull’importanza di proteggere le informazioni sensibili. Inoltre, adottare best practice come quelle suggerite in questi standard migliora la resilienza dell’azienda contro le minacce informatiche, riducendo il rischio di violazioni e incidenti di sicurezza
Il primo passo per integrare tali standard nella strategia aziendale è una valutazione del rischio accurata. Questo processo comporta l’identificazione e la valutazione delle minacce e delle vulnerabilità specifiche dell’azienda. La metodologia adottata può sfruttare un approccio qualitativo, analizzando le conseguenze o la probabilità che il rischio possa concretizzarsi, o un approccio quantitativo, con cui viene eseguita una valutazione basata su dati storici e/o su report di incidenti. Attraverso l’attribuzione di livelli di rischio, è possibile definire delle priorità, in modo che l’azienda abbia un quadro chiaro sulle minacce da trattare.
Una sicurezza aziendale in costante aggiornamento
Un elemento cruciale per aderire agli standard presentati in precedenza consiste nella creazione di una politica di sicurezza aziendale chiara e dettagliata. La politica deve includere lo sviluppo di piani a breve e lungo termine. Accompagnati da una corretta allocazione delle risorse necessarie, umane, finanziarie e tecnologiche, per l’implementazione delle misure di sicurezza. Deve essere coerente con le finalità dell’azienda, deve comprendere gli obiettivi prefissati e gli esiti previsti, e deve essere disponibile come insieme di informazioni documentate.
La gestione operativa della cybersecurity implica anche la necessità di sviluppare un piano di risposta agli incidenti. Questa deve includere le procedure dettagliate per la gestione delle emergenze, la formazione del personale e l’esecuzione di simulazioni per testare l’efficacia del piano. La prontezza nel rispondere agli incidenti può limitare i danni e accelerare il recupero delle operazioni aziendali.
La gestione della cybersecurity non si esaurisce con l’implementazione iniziale, ma richiede un impegno costante e un miglioramento continuo. Adattare le misure di sicurezza alle nuove minacce emergenti è fondamentale, così come implementare patch e aggiornamenti regolari per i sistemi e i software utilizzati. È importante anche rivedere periodicamente le politiche e le procedure di sicurezza, introducendo i cambiamenti significativi che avvengono nel corso del tempo e che possono influenzare la sicurezza delle informazioni dell’organizzazione.
La formazione e la sensibilizzazione del personale sono essenziali per mantenere un alto livello di consapevolezza dei potenziali problemi di sicurezza. Programmi di formazione continua mantengono il personale aggiornato sulle migliori pratiche, mentre campagne di sensibilizzazione favoriscono una cultura della cybersecurity all’interno dell’azienda.
Di Francesco Bassolino
Security Compliance Analyst
EMM Systems Consulting