UNA CHECKLIST ENISA PER PICCOLE E MEDIE IMPRESE

Dic 7, 2020 | Data Protection, Diritto Commerciale, Nuove Tecnologie

Una checklist per la sicurezza informatica.

 

L’Agenzia Europea per la sicurezza informatica e l’NCSA, l’Alleanza per la sicurezza nazionale americana (organizzazione U.S.A. che promuove sicurezza informatica, educazione e consapevolezza privacy), forniscono alle piccole e medie imprese una utile checklist per affrontare i rischi che l’odierno business mondiale, altamente tecnologicizzato e iperconnesso, comporta.

 

Quattro le “aree di sfida” maggiormente significative:

  1. insufficiente consapevolezza dello spazio digitale in cui avvengono le interazioni che si realizzano attraverso le reti,
  2. carenze di sicurezza degli apparati di connessione,
  3. costi elevati di adeguate soluzioni,
  4. crescita dei fenomeni di attacchi “malevoli”, come il phishing.

 

L’Agenzia, al fine dare maggiore sicurezza agli imprenditori, rendere le informazioni più sicure e formare i dipendenti, individua sette aree di possibile intervento “minimale”.

  • Creare un approccio mentale basato su quattro principi fondamentali:
    • Password robuste,
    • Antivirus,
    • Aggiornamenti automatici,
    • Backup.

 

  • Istruire e formare i dipendenti e i collaboratori su procedure di “igiene informatica” di base:
    • Non lasciare incustoditi e non “bloccati” ad usi di terzi gli strumenti quando non utilizzati,
    • Non collegare device esterni ai propri apparecchi, come chiavette USB o dischi esterni,
    • Conservare accuratamente le password aziendali
    • Non aprire email “urgenti” da sconosciuti,
    • Verificare sempre i link prima di collegarvisi,
    • eseguire backup periodici,
    • installare programmi antispam, anti-spyware e anti-virus e tenerli aggiornati,
    • utilizzare, per i collegamenti web, il proprio hot-spot e non collegarsi a reti wi-fi pubbliche.

 

  • Predisporre e rinforzare se del caso una “policy IT”, una procedura che, esaminati gli asset aziendali in termini di strumenti e collegamenti, interni ed esterni per avere il pieno controllo degli strumenti e dei sistemi utilizzati, stabilisca una serie di regole da osservare, con la possibile e auspicabile supervisione di un soggetto in grado di verificarne l’effettiva osservanza. Questa possibile tipologia di policy, o procedura, dovrebbe includere delle domande cui ciascun dipendente o collaboratore dovrebbe essere in grado di rispondere, come ad esempio:
    • posso accedere ai sistemi informatici e informativi aziendali da casa?
    • posso accedere alle email di lavoro con il mio cellulare? Se sì, con quali requisiti o precauzioni?
    • posso utilizzare software o programmi che non sono stati autorizzati dal dipartimento o dal tecnico IT sul mio computer?
    • posso caricare sul cloud pubblico documenti aziendali? Se sì, devo invitare i colleghi a collaborare o devo condividere tali documenti mediante invio di un apposito link?
    • posso utilizzare un wi-fi pubblico in un albergo, in stazione, in aeroporto? Posso accedere alle mie email di lavoro tramite un free wi-fi?
    • posso usare un programma di gestione delle password?

 

  • Prevedere regolari procedure di backup e relativi aggiornamenti. E’ importante predisporre un programma di periodico e automatico aggiornamento dei backup, sia per i server, sia per le postazioni locali, sia per gli smartphone.

 

  • Organizzare e predisporre accessi da remoto sicuri. Nel caso in cui non si lavori direttamente accedendo a risorse in cloud ma mediante propri server locali, con un proprio sistema ICT, assicurarsi che l’accesso a tali risorse avvenga in modo sicuro. Questo può essere fatto mediante connessioni sicure come le reti VPN, comunicazioni crittografate, rinforzando password e credenziali di accesso, predisponendo sistemi di autenticazione a più fattori e, circostanza importante, fornendo a collaboratori e dipendenti formazione, consulenza e aiuto.

 

  • Creare e utilizzare spazi di incontro (web meeting) sicuri. Consentire il contatto e il collegamento tra lavoratori mediante chat, audio e video sistemi, anche di condivisione degli schermi, in modo sicuro, ricordando e chiedendo loro di applicare regole come:
    • utilizzare sempre password di protezione per tutti gli incontri e le riunioni,
    • mantenere segreti e non divulgare pubblicamente né password né link alle riunioni,
    • assicurarsi, durante le video call, che lo sfondo e il background delle riprese non rivelino informazioni personali o altri dati di lavoro.

 

  • Predisporre un piano per individuare e reagire ad eventuali incidenti: prepararsi all’eventualità di un “cyber” incidente o, anche di un “data breach” è non solo una necessità normativa ma anche una pratica di buon senso. Eventuali esercitazioni non potranno che aumentare capacità, consapevolezza e prontezza di reazione da parte di tutti.

 

Il documento, in lingua inglese: Transatlantic Cybersecurity Checklist Nov_2020.