La mancanza di pianificazione è la pianificazione del fallimento, dice un famoso proverbio!
E così è soprattutto quando si parla di sicurezza informatica: intervenire quando si verifica il problema è costoso, difficile ed a volte impossibile e non ti permette di rimediare facilmente ai danni di immagine.
Diversamente, avere un’azienda sicura, non solo ti consente di dormire sonni tranquilli, ma di “vendere” la tua sicurezza ai clienti, dimostrando loro che sei un interlocutore attento e lungimirante.
Partiamo dunque dai fondamentali.
1. La sicurezza è un processo, non un prodotto
Certamente per mettere in sicurezza le tue infrastrutture sono necessari anche dei prodotti, ma la sicurezza informatica (come la qualità produttiva) è un processo che coinvolge molti aspetti: la conoscenza e documentazione della tua infrastruttura, la definizione chiara di ruoli, responsabilità, tempi e procedure, la formazione delle persone, l’analisi degli scenari di rischio, il monitoraggio continuo degli eventi e la definizione di piani di recovery adeguati ai diversi scenari.
2. Firewall ed antivirus non bastano
L’antivirus “classico” è uno strumento in grado di rilevare, con un certo grado di successo che per nessun prodotto è il 100%, le minacce note. Tuttavia oggi la maggior parte dei malware sfruttano canali leciti di ingresso (ad esempio un sistema di aggiornamento di un software) per iniettare nella tua rete programmi apparentemente innocui che solo in un secondo momento scaricherranno il malware.
E’ pertanto necessario utilizzare strumenti di protezione che facciano “analisi comportamentale” dei software in esecuzione (EDR) e li classifichino in base alla probabilità che possano essere malevoli.
Un EDR normalmente non blocca nulla, ma invia un alert ad un operatore specializzato in sicurezza informatica che dovrà verificare se il comportamento del software sia effettivamente lecito o meno (il SOC, Security Operation Center).
E’ un po’ come l’antifurto: invia il segnale alla centrale operativa di vigilanza che poi interviene e verifica se si tratti di un’effettiva effrazione o di un falso allarme.
3. Pensa al peggio, agisci per il meglio
La prima regola è pensare al peggio. Cosa succede se un ransmware blocca tutta l’azienda ? E se entrano i ladri e rubano i server ? O se accade un incendio in sala macchine ?
Scenari che nessuno si augura mai di affrontare, ma che necessitano di una pianificazione preventiva: avere un piano di backup, di business continuity e di disaster recovery in cui la procedura sia chiara, documentata, periodicamente testata e definita nei tempi aiuta a non entrare nel panico quando eventi di questo tipo dovessero verificarsi.
4. Forma le persone in base ai ruoli
Per evitare incidenti sul lavoro cosa fai ? Formi le persone!
Per prevenire e gestire gli incendi cosa fai ? Formi le persone !
Per assemblare un prodotto senza difetti o erogare un servizio senza incovenienti cosa fai ? Formi le persone!
Perchè in materia di sicurezza informatica non formi le tue persone ?
La formazione su tematiche di sicurezza informatica non è un tema da tecnici addetti ai lavori, ma deve essere una filosofia di gestione visto che ogni catena è forte tanto quanto il suo anello più debole ed il fattore umano rappresenta uno dei rischi principali.
Ma su questo argomento la formazione d’aula frontale è spesso inutile perchè dopo pochi giorni le persone dimenticano quanto appreso e nel frattempo le minacce evolvono.
La formazione deve essere continua, in pillole, attinente ai compiti eseguiti dalla persona, concreta (un esempio vale più di mille parole), divertente e portare via pochi minuti alla settimana.
5. Lavora con un partner esperto nei processi non con un rivenditore di prodotti/servizi tecnici
Se pensi alla sicurezza fisica della tua azienda, non ti rivolgi ad un “serpico” esperto di armi ed arti marziali, ma ad una struttura che la gestisce come processo: installa i sistemi antintrusione e le telecamere, monitora il tutto h24, interviene sul luogo con una pattuglia in caso di anomalie, chiama la polizia in caso di emergenza.
Per la sicurezza informatica logicamente il processo è simile, anche se più complesso. Non è il tecnico che ti ha installato il firewall e te lo configura che garantirà la tua sicurezza!