Molte aziende dipendono ormai completamente dai dati archiviati sui propri server di rete, PC, laptop, dispositivi mobili o sul cloud. È probabile che alcuni di questi dati contengano informazioni personali e/o informazioni aziendali riservate.
Qui esamineremo alcuni degli aspetti da considerare quando si valuta la sicurezza dei sistemi informatici e come ridurre al minimo i rischi di perdita di dati. Disponiamo di una scheda informativa correlata che include ulteriori considerazioni per chi gestisce dati nel cloud o utilizza una qualche forma di outsourcing.
Si sono verificati numerosi casi di perdita di dati di alto profilo, in cui grandi volumi di informazioni personali sono diventati di dominio pubblico. Tra questi, cartelle cliniche, dati finanziari e dati dei dipendenti.
Un'organizzazione commerciale corre anche il rischio aggiuntivo che i dati vengano persi a favore di un concorrente.
Ovviamente, le perdite di dati più ingenti da parte di enti governativi e aziende hanno fatto notizia. Tuttavia, qualsiasi azienda, indipendentemente dalle sue dimensioni, potrebbe subire una perdita di dati se non vengono prese precauzioni sensate.
Secondo una ricerca commissionata dal Dipartimento per la Cultura, i Media e lo Sport (DCMS), nel 2021 circa il 39% delle aziende del Regno Unito ha subito una violazione della sicurezza o un attacco informatico. Il rapporto è disponibile all'indirizzo: https://www.gov.uk/government/statistics/cyber-security-breaches-survey-2022 .
Verificare l'uso e l'archiviazione dei dati personali
Considera i dati potenzialmente sensibili e riservati archiviati dalla tua azienda:
- registri del personale con data di nascita, informazioni mediche, stipendio e dettagli del conto bancario ecc.
- registri di clienti e fornitori con dettagli di conti bancari/carte di credito, numeri PIN, password, informazioni sulle transazioni, informazioni sui contratti, sconti e prezzi
- dati finanziari e di performance e piani aziendali
- I dati riservati non sempre sono archiviati in modo conveniente in un database "sicuro". Spesso i dipendenti devono creare e distribuire report ad hoc (utilizzando fogli di calcolo e altri documenti) che di solito sono estratti di informazioni archiviate in un database. Questo tipo di recupero dati avviene spesso a scapito della sicurezza dei dati, poiché il database stesso avrà invariabilmente controlli di accesso, ma questi report ad hoc di solito non lo sono.
- scoprire cosa sta succedendo ai dati e quali controlli sono in atto per prevenire la perdita accidentale o deliberata di queste informazioni.
Analisi del rischio e riduzione del rischio
La domanda chiave è: se tutti o alcuni di questi dati andassero persi, chi potrebbe essere danneggiato e in che modo?
Una volta data risposta a questa domanda, è necessario adottare misure per mitigare il rischio di perdita di dati. Ecco alcune misure da adottare per ridurre il rischio di perdita di dati:
- eseguire backup regolari e archiviare i dati di backup in modo sicuro fuori sede
- se i dati ad alto rischio sono archiviati nel cloud, è necessario comprendere quali meccanismi di sicurezza sono in atto e come è possibile recuperare tutti questi dati, se necessario
- Esaminare il tipo di informazioni archiviate su tutti i dispositivi (inclusi laptop, cellulari, tablet, ecc.) utilizzati fuori sede. Se tali informazioni contengono dati personali e/o riservati, cercare di minimizzare o rendere anonimi i dati. Assicurarsi che a tali dati vengano applicati i livelli più appropriati di sicurezza e crittografia dei dati.
- Se è consentito l'utilizzo di dispositivi mobili nelle strutture aziendali, assicurarsi che sia attiva una politica BYOD (Bring Your Own Device). Inoltre, implementare controlli di sicurezza appropriati per limitare il tipo di dati che possono essere archiviati su tali dispositivi.
- Assicuratevi che i siti web aziendali che elaborano pagamenti online offrano i massimi livelli di sicurezza disponibili, come l'utilizzo delle ultime versioni di SSL per la trasmissione dei dati. Se non affidate il processo di pagamento a un gateway di pagamento e archiviate le informazioni relative alle carte di credito, su disco o in memoria sui vostri server, dovrete rispettare lo standard PCI DSS (Payment Card Industry Data Security Standard).
- esaminare l'uso/la disponibilità di USB e di altri supporti scrivibili come i dispositivi ottici all'interno dell'azienda e valutare la possibilità di limitare l'accesso a questi dispositivi solo agli utenti autorizzati, tramite impostazioni di sicurezza appropriate, crittografia dei dati e controlli fisici
- assicurarsi che i siti web e le reti aziendali siano testati per individuare le vulnerabilità derivanti da attacchi e valutare l'assunzione di società di penetration testing per condurre questi test per vostro conto
- avere una procedura per la gestione delle informazioni sensibili e il loro smaltimento sicuro una volta che i dati non sono più necessari, questo dovrebbe includere anche lo smaltimento delle stampe
- avere una procedura mediante la quale tutti i dati personali/aziendali memorizzati sui dispositivi mobili possono essere eliminati o l'accesso rimosso
- formare il personale sulle proprie responsabilità, sulle procedure di sicurezza dei dati aziendali e su cosa fare in caso di smarrimento dei dati
- formare il personale a identificare e-mail non autorizzate, ransomware, malware e altre potenziali minacce, nonché le procedure da seguire.
Violazione della sicurezza
Oltre alla riduzione del rischio, è buona norma predisporre procedure in caso di violazione della sicurezza. Queste dovrebbero concentrarsi su quattro aree principali:
- un piano di recupero e procedure per affrontare la limitazione dei danni
- processo di revisione del recupero per valutare le potenziali conseguenze negative per gli individui, quanto siano gravi o sostanziali e quanto sia probabile che si ripetano
- Procedure di notifica: ciò non include solo la notifica alle persone che sono state o potrebbero potenzialmente essere interessate. Se la violazione della sicurezza comporta la perdita di dati personali, è necessario informare l'Information Commissioner (ICO). Potrebbero essere altri enti di regolamentazione e terze parti come la polizia, le banche e i media a dover essere informati.
- dopo la violazione: assicurarsi che siano adottate misure appropriate per prevenire un evento simile, aggiornare le procedure e formare o riqualificare il personale di conseguenza.
Risorsa utile
Centro nazionale per la sicurezza informatica (Regno Unito) – www.ncsc.gov.uk/guidance .
La minaccia informatica per le aziende del Regno Unito – www.ncsc.gov.uk/cyberthreat .
