TOTAL SECURITY

Nella sicurezza informatica e ambientale sono coinvolti elementi tecnici, organizzativi, giuridici e umani. Per valutare la sicurezza solitamente è necessario individuare le minacce, le vulnerabilità e i rischi associati ai beni informatici, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni diretti o indiretti di impatto superiore a una determinata soglia di tollerabilità (es. economico, politico-sociale, di reputazione, ecc…) a un’organizzazione. Oltre alle tre fondamentali proprietà (disponibilità, riservatezza, integrità) possono essere considerate anche: autenticità, non ripudiabilità, responsabilità, affidabilità.

Dal momento che l’informazione è un bene aziendale, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione è interessata a garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. 

Parallelamente alla sicurezza informatica, vengono avviate attività dedicate alla sicurezza ambientale quali bonifica degli ambienti come uffici e luoghi comuni e dispositivi elettronici per verificare l’eventuale presenza di dispositivi di registrazione e/o disturbo.

RISK MANAGEMENT

Cinque sono i passi così descritti in un progetto di risk management:

  • Stabilire il contesto rischi
  • Identificarli
  • Analizzarli
  • Valutarli
  • Controllarli

Spesso il passo “controllare i rischi” viene diviso in una fase di preparazione ed approvazione del Piano di azione del rischio (Risk Action Plan) ed in una fase di esecuzione, controllo e modifica del piano.

In parallelo col processo centrale, sono richieste doti di comunicazione e di consultazione. Monitorare e revisionare è parte intrinseca del processo in modo da assicurare che venga eseguito tempestivamente; l’identificazione, l’analisi, la valutazione ed il controllo sono sempre aggiornati.

La gestione del rischio è quindi un processo ricorsivo, soggetto ad aggiornamenti, e non si esaurisce nell’identificazione iniziale del rischio.

FORMAZIONE

Non è più pensabile delegare la sicurezza informatica al solo reparto IT, o al fai-da-te, ma è indispensabile stimolare un approccio di consapevolezza pervasivo all’interno delle aziende e delle organizzazioni, che promuova una cultura della sicurezza informatica a tutti i livelli.

Obiettivo è aumentare il livello di consapevolezza delle persone, attraverso decine di esempi di attacchi informatici presi dal quotidiano, imparando a riconoscerli e ad evitarli.

Creare una cultura sulla sicurezza informatica, insegnando poche semplici abitudini nell’uso quotidiano della tecnologia, a beneficio di tutti i collaboratori, tutta l’organizzazione aziendale e alle singole persone nell’utilizzo privato.