Ben inteso, queste poche domande non possono essere esaustive ma vogliono essere utili e se vogliamo provocatorie, per chi normalmente pensa che bastino pochi elementi per mantenere in sicurezza, dati ed informazioni di una qualsiasi attività. Buona riflessione...
1. E' valutata la sicurezza dei dati e delle informazioni aziendali solo a livello IT o a 360 gradi? (Furto, incendio, attività di spionaggio, social engineering, etc.).
Va di moda oggi parlare di sicurezza ed il termine si associa con facilità ed inevitabilmente al comparto informatico. I dati e le informazioni dovrebbero essere visti come un qualcosa di liquido capaci di assumere qualsiasi forma. I dati vengono comunicati a voce, viaggiano su linee elettriche, via cavo, su fibra, insomma in una miriade di modalità.
La sicurezza di una attività inizia dalle serrature e porte di accesso e continua su tutto ciò che comunica e porta dati all'esterno, indifferentemente che siano supporti, tecnologie e persone. Ciò espone ad una miriade di possibilità di attacco per ledere e carpire informazioni utili, una mancanza di attenzione od una focalizzazione solo su alcuni particolari rende fortemente esposti.
2. E' utilizzato abitualmente solo software costantemente aggiornato alle ultime versioni e relativi aggiornamenti di sicurezza?
Utilizzare software non più supportato, che siano sistemi operativi piuttosto che programmi o applicazioni, ci espone in maniera forte a vulnerabilità ed attacchi.
3. Le chiavi degli autoveicoli aziendali in parcheggio sono custodite abitualmente in cassaforte?
La sicurezza di una attività è basata sui dettagli, con un facile accesso ai veicoli, in caso di tentativi di furto, è possibile portare via beni preziosi dell'attività, compresi macchinari, attrezzature, documenti, hardware e software. Tutto ciò che viene rubato può anche essere utilizzato per eventuali estorsioni.
4. Se oggi rubassero tutto l'Hardware aziendale, rimarrebero ancora a disposizione tutti i dati necessari per poter continuare a lavorare?
La resilienza e la continuità del business all'interno di una attività è fondamentale. Qualsiasi attività dovrebbe essere in grado di mantenere la propria capacità operativa a seguito di danni e problemi sui dati e le informazioni, ache se agli inizi ridotta.
5. Il personale aziendale è formato per fronteggiare attacchi di Social Engineering?
I punti deboli non sono solo i sistemi ma anche le persone, se non sono presenti corrette politiche di comportamento e prevenzione, si aprono "voragini" enormi in grado di esporre ad ingenti rischi.
6. Viene revisionato almeno ogni anno lo stato di salute dell'attività sotto il profilo della sicurezza dei dati e delle informazioni?
C'è sempre qualcosa che cambia, c'è sempre di conseguenza la necessità di adattarsi alle vulnerabilità interne ed esterne. Anche se in presenza di disponibilità economiche ridotte, una revisione periodica minima è d'obbligo.
7. Sulle scrivanie, nei momenti di pausa e a fine giornata lavorativa, rimangono fogli e documenti incustoditi?
I dati sono dati, sempre! E' buona norma non lasciarli mai incustoditi.
8. Si usano normalmente apparecchiature tritacarta per distruggere i supporti cartacei prima di buttarli?
I dati sono dati, sempre! Anche quando non servono più, è necessario quindi distruggerli in maniera corretta.
9. E' presa in esame anche la sicurezza telefonica?
Molti telefoni cordless non sono neanche criptati, basta un semplice scanner per ascoltare le telefonate aziendali.
10. Hanno accesso agli archivi e ai dati solo ed esclusivamente le persone preposte?
Se non è possibile definire con precisione, chi può accedere a che cosa, non esiste neanche il livello di sicurezza minimo.
11. Sono di norma bonificati tutti i supporti Hardware in vendita o in rottamazione?
Tutto l'hardware che non serve più e viene venduto, ceduto o rottamato, continua a contenere dati. Senza una cancellazione sicura o distruzione adeguata dei supporti espone a rischi di lettura e recupero dei dati da parte di persone non autorizzate.
12. Se viene collegata una chiavetta USB in grado di simulare una tastiera od un mouse ad uno dei sistemi operativi, viene segnalato il tentativo di frode?
I sistemi di sicurezza non iniziano e non si esauriscono con un semplice antivirus. Sono necessarie più protezioni per dare livelli di sicurezza accettabili.
13. Sono presenti computer e relativi monitor rivolti verso finestre a vetri trasparenti e senza tende?
Se una azienda lavora a progetti importanti, basta un buon binocolo o un buon telescopio per scoprire molte più informazioni di quanto abbiate idea. La concorrenza può essere sempre in agguato...
14. All'interno dei sistemi informatici, vengono trattati solo dati pertinenti all'ente o il personale immette e tratta senza autorizzazione dati propri? (Foto private, film, musica, utilizzo di email private, documenti, software pirata, etc.).
Se i dipendenti di un ente, senza autorizzazione, immettono e trattano dati personali sui sistemi informatici aziendali, rischiano di esporre i sistemi a rischi di sicurezza, a volte anche gravi. Il trattamento delle informazioni deve essere sempre coerente.
15. Vengono rivelati con non curanza: dati, informazioni, politiche, obiettivi aziendali, con persone non pertinenti o vige abitualmente un atteggiamento di massima riservatezza?
La riservatezza è sempre d'oro! Informare le persone sbagliate può esporre a volte anche a grandi rischi.
Andrea Guzzo
