Cybersecurity: ecco check-list per la sicurezza informatica delle nostre aziende, Non si smette mai di aggiornarsi e scoprire novità in questo settore così affascinante e delicato.
Nel giro degli ultimi sei mesi, colpa del Covid o più facilmente di architetture di Smart Working improvvisate e poco sicure, si sono intensificati gli attacchi informatici volti a cifrare completamente tutti i dati delle organizzazioni, anche nostre clienti, con relative richieste di riscatto.
Come abbiamo affermato più volte, il problema non è se accadrà, ma quando accadrà. Oggi rafforziamo questa nostra convinzione aggiungendo l’avverbio “presto”.
Scrivere una guida definitiva sulla cybersecurity è una impresa ardua che diventerebbe inutile dopo pochi minuti dalla stesura, quindi non ci provo.
Ma in un approccio olistico alla sicurezza informatica, quello che in 3CiME Technology suggeriamo di avere, ci sono diversi punti sui quali bisogna soffermarsi e chiedersi cosa abbiamo fatto e cosa vogliamo fare.
Prendeteli come un piccolo vademecum o promemoria, nello stile social che oggi va di moda, quindi succinto, e che necessita ovviamente degli opportuni approfondimenti.
Vado quindi ad elencare i temi per punti:
- Difesa dei client e dei server: anti-ransomware;
- Piano, servizio e soluzione di disaster recovery (vera!), ovvero con test di DR almeno annuale;
- Servizio di ethical hacking continuo, e non più la sola fotografia momentanea e parziale;
- Servizio SOC, Security Operating Center, erogato da un fornitore;
- Smart working in sicurezza;
- Backup, policies e retention;
- Tecnologie che aumentino la protezione dei client che, in cloud, ricoprono un’importanza ancora maggiore: PAM, IPAM, DNS filtering;
- Cifratura dei dati, soprattutto dei data base critici;
- Business Continuity: architettura server e storage in grado di garantirla;
- DLP Data Loss Prevention;
- Archiviazione storica dei dati;
- Archiviazione dei dati che sono in cloud verso un altro cloud o in un’altra forma di “disponibilità” del titolare;
- IP telephony in sicurezza, soprattutto per lo smart working, per evitare il vishing;
- Cancellazione definitiva dei dati – diritto all’oblio;
- Polizza assicurativa Cyber Risk.
Quello che tutti noi dovremmo fare è analizzare punto per punto cercando di darci una risposta.
Se dovessimo saltare anche solo uno dei 15 punti sappiamo che si sta lasciando un buco al nostro piano di cybersecurity e, quindi, un possibile punto di debolezza.
Avvisate di tutto questo i vostri CEO e CFO perché il problema non è se, ma quando!
Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology