Attenti a non esagerare

Sicurezza

Spesso il problema sicurezza viene trascurato fino a quando non diventa dolorosamente evidente, e allora si rischia di esagerare con le contromisure

E’ come dire: ‘Chiudere la stalla dopo che i buoi sono fuggiti!”. Spesso i responsabili che avevano trascurato il problema di garantire il giusto livello di sicurezza informatica per la propria azienda, ne prendono dolorosa e repentina coscienza, facendosi prendere dal panico ed esagerando nell’implementazione delle successive contromisure. Continuando l’analogia della stalla è come se dopo la fuga del bestiame si decidesse di sostituire la porta con torri, bastioni, fossato e portone blindato. Una simile soluzione potrebbe in alcuni casi rivelarsi peggiore del danno subito. L’implementazione di una corretta politica di security aziendale impone infatti uno sforzo economico e organizzativo non indifferente, crrispondente al livello di copertura e robustezza che si desidera raggiungere. Il livello di sicurezza da implementare deve infatti essere proporzionato al valore di quanto si deve proteggere.

Imparare dagli errori A fronte del danno subito dal precedente attacco è quindi possibile effettuare una prima e sommaria valutazione dei propri punti deboli, dei dati fondamentali e dei costi causati da una loro perdita o danneggiamento. Poiché la reazione a un eventuale attacco è quasi sempre caratterizzata da una notevole carica emotiva, causa stessa della decisione di ricorrere a contromisure sproporzionate, l’analisi del patrimonio aziendale da proteggere dovrebbe essere delegata a personale specializzato o a tecnici interni. Come prima cosa bisogna valutare attentamente per ogni possibile tipologia di danno, l’effettivo impatto sulla produttività della propria azienda. A tal fine è bene ricordare che le principali tipologie di danno derivabili da un attacco informatico rientrano in tre categorie: economici, legali e d’immagine. Il danno economico può derivare da molteplici effetti dell’attacco: istruzione o evasione di informazioni riservate, interruzione di servizio e perdita di business, spese legali derivanti a danni generati a terzi, necessità di bonifica del sistema e rafforzamento delle misure di sicurezza. I danni legali possono invece essere causati da rivalsa di terzi per danni concatenati all’attacco subito, o per violazione della privacy su dati personali persi o danneggiati. I danni d’immagine provengono fondamentalmente da servizi erogati a terzi e resi inaffidabili da attacchi portati con successo, senso di fragilità trasmesso da un sistema che non garantisce adeguata sicurezza, invio improprio di mail o dati riservati a terzi. Avendo ben presente in mente quanto perso in termini di produttività e immagine a causa dell’attacco subito, ed eventualmente estendendo l’analisi agli altri danni tra quelli elencati, che potrebbero concretizzarsi nel corso di successive violazioni della sicurezza, è possibile individuare con buona precisione gli obiettivi sensibili. In base al valore anche approssimativo di quanto si è scelto di proteggere sarà quindi possibile definire un budget e una linea di ammortamento. Conclusioni Subire un attacco spesso consente di prendere finalmente coscienza che nella propria azienda vi è qualcosa di valore esposto e raggiungibile da elementi estranei. Certo non si tratta del modo migliore per imparare la lezione, ma il responsabile avveduto ne farà una ragione di crescita e sviluppo. E’ vero che in caso di attacco ci si sente vulnerabili, tutto sembra a rischio e si tende a sopravvalutare l’effettiva quantità e il valore degli elementi aziendali da includere in un nuovo piano di sicurezza. Questa componente emotiva può portare a una sorta di corsa agli armamenti per implementare un piano di sicurezza aziendale spropositato rispetto all’effettivo valore dei beni da proteggere. Ecco perché, una volta preso coscienza che la sicurezza e necessaria si deve mantenere la necessaria calma e lucidità per procedere con gli step e i tempi necessari. Farsi prendere dalla frenesia e saltare le tappe non porta a nulla e rischia solo di far perdere tempo e soldi. Il primo passo è quindi quello di affidare a personale interno o consulenti specializzati una seria e oggettiva valutazione dei beni aziendali da includere nel piano di sicurezza. In seguito, l’infrastruttura di sicurezza che sarà implementata dovrà essere calibrata in base all’effettivo valore dei dati da proteggere e alle risorse aziendali disponibili.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore