Sicurezza: un vademecum per non piangere

Sicurezza

L’Ocse stila le linee guida che forniscono spunti d’implementazione per i
piani di sicurezza aziendale

La sensibilizzazione sui rischi e sulle protezioni disponibili, è la prima linea di difesa, la gestione della sicurezza deve essere basata sulla valutazione dei rischi ed essere dinamica e globale. Sono questi alcune delle linee guida stilate dall’ Ocse, l’Organizzazione per la cooperazione e lo sviluppo economico, che raduna 29 paesi che si proclamano a economia di mercato, dedicate alla sicurezza dei sistemi e delle reti di informazione. La finalità di questo vademecum è quella di indirizzare le aziende dei paesi rappresentati verso una cultura della sicurezza. Le linee guida rispondono a un contesto in continua evoluzione incitando allo sviluppo di una cultura della sicurezza e sottolineando la necessità di dedicare la massima attenzione alla sicurezza nella fase di sviluppo dei sistemi informativi e delle reti, adottando nuovi approcci e comportamenti nell’utilizzazione dei sistemi e delle reti d’informazione e nelle interazioni realizzate mediante tali sistemi. Ogni singola parte interessata ha un rilevante ruolo da svolgere per tutelare la sicurezza: secondo i loro rispettivi ruoli, devono essere sensibilizzate ai rischi legati alla sicurezza, nonché alle protezioni adeguate e devono assumere le loro responsabilità e prendere misure per migliorare la sicurezza dei sistemi e reti d’informazione. Naturalmente le linee guida indicate dall’Organizzazione sono destinate all’ambito internazionale e legate ai rapporti tra le organizzazioni e le aziende operanti all’interno dei singoli paesi membri. Nulla toglie che alcune di queste, se interpretate in chiave locale, possono essere adottate a livello aziendale.

Sensibilizzazione

In base alla prima delle linee guida indicate dall’Ocse, la sensibilizzazione sui rischi e sulle protezioni disponibili, è la prima linea di difesa per assicurare la sicurezza dei sistemi e delle reti d’informazione. I sistemi e le reti d’informazione possono essere sottoposti a rischi interni ed esterni. Le parti interessate non solo devono sapere che le falle in materia di sicurezza, possono gravemente incidere sull’integrità dei sistemi e delle reti che controllano ma devono essere anche consapevoli che a causa dell’interconnettività e dell’interdipendenza tra sistemi, possono potenzialmente danneggiare le altre parti. Le parti interessate devono riflettere alla configurazione del loro sistema, agli aggiornamenti disponibili per quest’ultimo, allo spazio occupato dal loro sistema nelle reti, alle buone pratiche che possono attuare per rafforzare la sicurezza, nonché ai bisogni delle altre parti interessate. Quanto indicato dall’Organizzazione in questa prima regola è facilmente adattabile anche all’ambito aziendale, per la sicurezza del quale si è sempre insistito sulla necessità di sensibilizzare ai rischi tutti i componenti della gerarchia societaria. I dipendenti devono essere sensibilizzati relativamente ai comportamenti a rischio, la dirigenza alle necessità di investire in sicurezza in quanto ormai requisito indispensabile per qualsiasi azienda, il personale tecnico sulla necessità di assicurarsi che i diversi componenti della struttura di sicurezza aziendale siano sempre aggiornati. Infine gli stessi partner commerciali con permesso di accedere alla rete aziendale devono essere sensibilizzati sul fatto che la loro struttura potrebbe essere utilizzata come testa di ponte per accedere ai sistemi verso i quali sono connessi.

Valutazione dei rischi

La valutazione dei rischi consente d’individuare le minacce e le vulnerabilità e deve essere sufficientemente estesa per coprire l’insieme dei principali fattori interni ed esterni quali la tecnologia, i fattori fisici e umani, le politiche e i servizi forniti da terzi che hanno implicazioni sulla sicurezza. La valutazione dei rischi consentirà di determinare il livello accettabile di rischio e, faciliterà l’istituzione di misure di controllo adeguate per gestire il rischio di pregiudizio per i sistemi e le reti d’informazione secondo la natura e il valore dell’informazione da proteggere.

Anche in questo caso, senza eccessive forzature, l’indicazione fornita dalle linee guida dell’Ocse è facilmente adattabile all’ambito locale. Una corretta implementazione delle misure di sicurezza parte infatti da un’adeguata valutazione di quanto effettivamente è necessario proteggere, e quali sono i rischi concreti che minacciano la nostra struttura aziendale. Eccedere nell’adozione di contromisure di sicurezza conduce infatti a costi elevati, a difficoltà di gestione e non necessariamente implica un proporzionato aumento della protezione. Viceversa, l’adozione di misure di sicurezza sottodimensionate può lasciare scoperte zone sensibili della nostra struttura informativa, prestando il fianco a possibili attacchi. Una corretta valutazione del valore di quanto vogliamo proteggere e il ricorso a misure di sicurezza proporzionate è quindi auspicabile in qualsiasi realtà aziendale

Gestione della sicurezza

La gestione della sicurezza deve essere basata sulla valutazione dei rischi ed essere dinamica e globale, per coprire tutti i livelli di attività delle parti interessate e tutti gli aspetti dei loro interventi. Essa deve altresì anticipare e includere le risposte alle minacce emergenti, la prevenzione, la rilevazione e la soluzione agli incidenti, la riattivazione dei sistemi, la manutenzione permanente, il controllo et l’audit. Le politiche di sicurezza dei sistemi e delle reti d’informazione, le pratiche, le azioni e le procedure in materia di sicurezza devono essere coordinate ed integrate per creare un coerente sistema di sicurezza.

Naturalmente la sicurezza è un processo in costante movimento, pronto ad adeguarsi alle mutate esigenze aziendali e/o all’emergere di nuove tipologie di minacce. I responsabili della sicurezza aziendale devono costantemente monitorare il comportamento dell’intera infrastruttura tenendola aggiornata verso le nuove minacce. Devono inoltre essere previsti opportuni piani di disaster recovery e di backup delle informazioni. Insomma, non è scorretto dire che l’infrastruttura di sicurezza aziendale deve essere tenuta ?accordata’, operando giorno per giorno i piccoli cambiamenti necessari.

Rivalutazione

Nuove o mutevoli vulnerabilità e minacce sono costantemente scoperte. Tutte le parti interessate devono permanentemente riesaminare, rivalutare e modificare tutti gli aspetti della sicurezza per affrontare tali rischi evolutivi. In base ai dati e alle osservazioni raccolte nel corso della fase di gestione della sicurezza è buona norma effettuare periodiche revisioni dll’intera struttura, valutando interventi di adattamento.

Conclusioni

E’ vero che le linee guida indicate dall’Ocse sono destinate all’ambito internazionale, ben più vasto e complesso di quello aziendale locale. E’ comunque altrettanto vero che nella sicurezza non si deve improvvisare nulla e a ben esaminare alcune delle linee guida dell’Organizzazione e reinterpretandole in chiave locale, si nota che le differenze sono quasi inesistenti. La sicurezza è un processo dinamico, mutevole e in costante aggiornamento. Dopo una fase iniziale di analisi dei rischi e la successiva implementazione della struttura di sicurezza è necessario una costante opera di controllo e aggiornamento Quando i cambiamenti interni e/o esterni lo richiedono è necessario effettuare una nuova analisi dell’intera struttura apportandovi i necessari cambiamenti. Il collante di tutto è sempre un’opportuna sensibilizzazione di tutte le figure coinvolte, a qualsiasi grado della gerarchia aziendale.

Autore: ITespresso
Clicca per leggere la biografia dell'autore  Clicca per nascondere la biografia dell'autore