Fondamentali per gestire la sicurezza It

Aziende

Il 2005 è stato un anno difficile per le Pmi di tutta Europa per la protezione di sistemi e infrastrutture It. Ecco un elenco delle fasi indispensabili per attuare una policy adeguata

Secondo Ca le Pmi di tutto il mondo hanno già investito oltre 2,5 miliardi di dollari in soluzioni per la sicurezza It, ma la sicurezza è un settore in perenne evoluzione, caratterizzata dalla comparsa quotidiana di nuove minacce e vulnerabilità, e ancora molto ci sarà da fare e da investire non solo in termini economici, ma anche di risorse umane e formazione. E’ provato che è impossibile proteggere un’organizzazione al 100%, ma l’applicazione di due semplici misure aiuta a salvaguardare in modo ragionevole dati business, applicazioni software, processi e la stessa reputazione dell’azienda. La prima regola è formulare una policy di sicurezza adatta alla propria azienda. La seconda è implementare efficacemente tale policy mediante un programma completo per la gestione della sicurezza, facilmente modificabile e ampliabile in modo da proteggere l’azienda dall’insorgere di nuove minacce.

Una policy di sicurezza definisce il framework per un programma completo che deve coprire gli aspetti relativi alla sicurezza logica e fisica, alla privacy/riservatezza e alla conformità normativa che coinvolgono l’organizzazione. Il framework deve anche definire i ruoli e le responsibilità di amministratori, utenti e service provider e deve prevedere un componente regolamentare che stabilisce i comportamenti contrari alla policy e le azioni disciplinari che l’azienda intraprenderà in caso di violazioni. Ecco le cinque fasi da intraprendere per implementare una policy di sicurezza efficace.

Condurre un esame approfondito di tutta la rete e delle risorse It collegate (workstation, applicazioni, dati e database, sistemi e server, dispositivi storage, periferiche e strumenti di servizio), oltre che di qualunque altro sistema indipendente in uso nell’azienda.

Documentare il ruolo di ognuna di queste risorse informative evidenziando quelle critiche per la sopravvivenza dell’azienda, senza dimenticare i processi di business da esse utilizzati e supportati, né gli utenti che ne fanno uso. È necessario documentare le risorse fisiche che proteggono queste risorse informative (porte di sicurezza, computer room protette, sistemi di backup on-site e off-site, ecc.)

Analizzare singolarmente e complessivamente le reti e le risorse documentate al fine di identificare i rischi e le vulnerabilità potenziali. Tra i rischi più comuni figurano accessi non autorizzati, diffusioni d’informazioni riservate, perdite o danneggiamenti di dati, malfunzionamenti operativi, cadute di corrente e rallentamenti causati da virus.

Valutare i rischi e le vulnerabilità identificate rispetto all’importanza delle risorse vulnerabili. In questo modo è possibile stabilire quanto tempo e denaro investire per proteggere ciascuna risorsa.

Assegnare la priorità alle varie minacce sulla base delle valutazioni del rischio e utilizzare queste priorità per sviluppare una policy comprensiva di regole, procedure e tool di protezione oltre che per documentare le misure disciplinari e di altro genere da intraprendere in caso di violazioni.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore