giovedì 30 maggio 2013

Il decalogo della sicurezza informatica in azienda

Apro la posta e trovo una mail di drupal.org che mi avvisa di un problema di sicurezza rilevato nei loro sistemi che si pensa possa aver causato la diffusione di dati sensibili degli account degli utenti.

Nella mail si puntualizza che il problema non è dovuto al framework Drupal, ma ad un programma "indesiderato" installato sui server. Per sicurezza sarà necessario modificare i propri dati di accesso.

Come già parlato in un articolo precedente sono sempre di più gli attacchi alle grandi società tecnologiche del web. Ma se queste grandi aziende, che dovrebbero contare su esperti di sicurezza specializzati e di alto livello, finiscono per cedere agli attacchi informatici cosa può fare una piccola società di fronte a questi pericoli?

Ecco un decalogo delle regole di sicurezza informatica in azienda.
  1. Mai pensare ch le informazioni della propria azienda non interessino a nessuno. Molte aziende credono che, essendo piccole, sono al sicuro degli attacchi informatici. Queste aziende non sanno invece che le reti di computer "zombie" sono costituite da qualunque tipo di sistema e vengono utilizzate per inviare spam o effettuare attacchi informatici distribuiti. Inoltre non bisogna sottovalutare che le proprie informazioni su tariffe, bilanci contabili e margini operativi possono interessare alla concorrenza.
  2. Un altro errore è pensare che la sicurezza informatica sia qualcosa che interessi solo il campo informatico e dimenticarsi di tutto ciò che riguarda altri aspetti come quelli legali ed organizzativi.
  3. Un antivirus ed un firewall non sono sufficienti a mettere in sicurezza la propria azienda. Esistono tanti altri tipi di minaccia che richiedono altrettante misure di sicurezza
  4. La sicurezza non è un prodotto, è un processo. Nonostante ciò c'è ancora chi pensa il contrario ed adotta la stessa strategia che usa in altri settori della propria azienda scegliendo di non aggiornare i propri sistemi, non aumentare le proprie conoscenze e non migliorare i processi. Questo comportamento mette in pericolo il proprio sistema informatico.
  5. C'è chi pensa che la confidenzialità sia una cosa da spie. Non è così. È fondamentale poter garantire la protezione dei dati dell'azienda mediante accordi di confidenzialità con tutte quelle persone che ne hanno accesso siano fornitori, clienti o dipendenti
  6. Dimenticare di specificare le norme di sicurezza sui contratti che vengono firmati. Molte PMI firmano contratti con fornitori e clienti senza includere clausole di confidenzialità o la richiesta che siano soddisfatte le norme di legge.
  7. Esistono aziende ignorano molte delle clausole riguardanti la legge sulla protezione dei dati personali. Spesso si limitano a far firmare ed accettare l'informativa senza poi applicare i criteri richiesti dalla legge.
  8. Il nemico non sempre arriva dall'esterno. La maggior parte dei problemi di sicurezza provengono dall'interno dell'azienda e molte volte nemmeno sono intenzionali. Può essere sufficiente un dipendente che usi una chiavetta USB infetta, apra un allegato contenente virus o ancora visiti un sito web malevolo. La soluzione è adottare una strategia costante che limiti i possibili problemi di sicurezza e che includa tutto l'organico.
  9. Assicurarsi che i servizi offerti attraverso internet non siano vulnerabili a possibili attacchi.
  10. Non curarsi della propria rete. Gli hotspot wifi mal protetti, un database ad uso interno o un server che non si usa da tanto tempo possono diventare dei comodi punti di accesso per gli attaccanti.

Nessun commento:

Posta un commento