2017: è tempo di proteggere i tuoi dati!
Proteggi la tua organizzazione e i tuoi clienti grazie ad una cultura aziendale orientata alla sicurezza
La sicurezza di un’azienda è una strenua battaglia, dove si devono affrontare sfide sempre nuove derivanti dal continuo aggiornamento delle tecnologie e da minacce alla sicurezza di giorno in giorno più complesse e sofisticate. Nessuna compagnia è ormai immune ai data breach, indipendentemente dalla superiorità della sua architettura di sicurezza o dalle sue dimensioni.
Anche le piccole e medie imprese, infatti, sono nel mirino della criminalità informatica, ed anzi spesso ne costituiscono il target privilegiato, anche se la questione sicurezza pare che sia ancora da queste ampiamente sottovalutata: secondo il rapporto Zurich, infatti, solo il 21% delle aziende italiane teme la sottrazione di dati, percentuale che – sebbene in lieve aumento – è ancora notevolmente inferiore rispetto a quella di altre realtà europee (es. 41% in Irlanda).
Con il nuovo EU-GDPR (EU General Data Protection Regulation) che entrerà in vigore tra meno di 18 mesi, e che prevede sanzioni fino al 4% del fatturato annuo globale (oppure fino a 20 milioni di euro), diviene essenziale prendere misure adeguate ora, se si vogliono evitare data security breach molto gravosi in termini economici, ma anche di reputazione e credibilità, stabilità del business e conservazione della clientela.
L’effetto domino di un security breach
I costi di un security breach, infatti, non sono da attribuirsi soltanto alle immediate attività di risposta all’evento avverso, ma comprendono anche i costi a medio e lungo termine determinati, ad esempio, dalla pubblicità negativa su stampa e social media, dalle spese legali e di notifica, dall’aumento dei premi assicurativi e dalla perdita di clienti e di posti di lavoro (vedi figura a fianco. Fonte Deloitte CIO CyberSecurity Handbook).
Numerose indagini e rapporti statistici hanno mostrato, nel corso del 2015 e del 2016, che la causa più comune dei data breach aziendali è ancora determinata da errori o inavvertenze del personale, come la perdita di una chiave USB non cifrata contenente dati aziendali riservati, l’apertura di un’email di phishing, ecc.
Le aziende devono assicurarsi di avere tecnologie e controlli adeguati per proteggere i loro sistemi vitali, le informazioni dei clienti e quelle confidenziali e di proprietà intellettuale dai furti che possano avvenire all’interno o all’esterno del perimetro aziendale che, per inciso, sta diventando ormai un concetto sempre più vago. Ma focalizzarsi soltanto su tecnologie e compliance ormai non è più sufficiente: ogni organizzazione deve rivedere a fondo la propria cultura, così come deve cambiare il valore che il personale attribuisce alle informazioni aziendali ed al proprio ruolo nella loro protezione. Questo è un passo essenziale per difendersi contro i security breach.
Quattro passi…verso un cambiamento culturale
Per modificare la propria cultura, un’azienda dovrebbe radicare la sicurezza all’interno del suo DNA: al pari dell’innovazione e della creatività, la sicurezza prospera dove viene considerata un valore fondamentale dell’azienda. Creare una cultura orientata alla sicurezza non è compito facile.
Leadership: la chiave per prevenire i data breach
Tuttavia, si può cominciare da qui:
Leadership: la dirigenza deve fissare come priorità assoluta la sicurezza di dati e sistemi all’interno della propria organizzazione e comunicarlo ai dipendenti con regolarità. La protezione del patrimonio informativo e del capitale intellettuale dovrebbe essere inserita in qualunque processo di business e rimanere sempre in primo piano, come qualunque altro valore previsto dalla mission aziendale.
Cambiare atteggiamento mentale: Per sviluppare una sana cultura della sicurezza, gli atteggiamenti mentali devono cambiare, instaurando relazioni collaborative anziché antagonistiche fra team differenti, e creando le condizioni in cui essi possano lavorare assieme per trovare delle soluzioni condivise e gestire i rischi alla sicurezza attuali e potenziali.
Formazione e comunicazione: La protezione del patrimonio aziendale dovrebbe essere una responsabilità condivisa da tutti, non soltanto un compito di cui esclusivamente il security team debba farsi carico. In modo che tutto il pesonale sia in grado di adottare un atteggiamento mentale orientato alla sicurezza, gli impiegati e i quadri dovrebbero non solo essere informati e consapevoli delle policy di sicurezza, ma dovrebbero anche comprendere che cosa ci si aspetta da loro e quali sono le potenziali minacce.
La formazione sulla security awareness dovrebbe essere effettuata regolarmente in modo da essere certi che il personale non solo capisca che cosa fare e soprattutto che cosa non fare con il patrimonio informativo aziendale, ma anche per fornirgli una guida ed un indirizzo qualora necessiti di ulteriore aiuto.
Cifra tutto quello che puoi: Un’inavvertenza o una distrazione sono sempre possibili, soprattutto dato il ritmo frenetico del lavoro di oggi. La cifratura è un processo tramite il quale i dati vengono convertiti in un formato inintelligibile a chiunque non abbia accesso ad una chiave crittografica o ad una password, e che garantisce che nessuno sarà in grado di utilizzarli per scopi meno che legittimi, qualora vengano persi o trafugati.
Cifra tutto quello che puoi: proteggere i dati dai breach
La crittografia può essere di tipo hardware o software. I processi di cifratura/decifratura via hardware vengono eseguiti in modo automatico da un processore dedicato, integrato nel dispositivo stesso. Nella crittografia software, invece, per cifrare e decifrare i dati vengono utilizzate le risorse del dispositivo su cui il software di cifratura viene installato.
Sebbene quest’ultima costituisca forse il metodo più economico, cela in realtà numerose debolezze rispetto alla crittografia hardware, come la maggiore vulnerabilità a virus e malware, ed il fatto che i dati cifrati da un software possono venire anche de-cifrati da un software, qualora cadano nelle mani sbagliate.
Costruire una cultura aziendale orientata alla sicurezza, in cui la protezione del patrimonio aziendale entri a far parte degli obiettivi e delle mansioni di ciascun impiegato alla pari di qualunque altro compito, richiede impegno a partire dai livelli più alti dell’organizzazione, nonché sforzi concentrati e costanza da parte di tutti.
Il coinvolgimento di team di esperti con funzioni trasversali nello sviluppo dei messaggi aziendali, i programmi e la comunicazione del management, le iniziative di security awareness e la protezione delle informazioni più vitali tramite la crittografia possono essere di enorme aiuto nella diffusione di una cultura aziendale orientata alla sicurezza. Sembra uno sforzo difficile all’inizio, ma i vantaggi a lungo termine contro i rischi di un data breach superano di molto qualunque aspetto negativo.
A cura di: Adriana Franca, DigiTree Country Manager