La sicurezza informatica sta diventando un problema sempre più importante per le aziende.
Il Governo britannico ha appena pubblicato un rapporto (datato 23 marzo 2015) che evidenzia lo status quo nel Regno Unito: nel 2014 hanno subito attacchi informatici l’81% delle grandi imprese ed il 60% delle piccole imprese.

Attacchi Informatici

Queste rischiosità impattano su ciascun ente britannico, in media, tra le £ 600.000 e le £ 1,5 milioni.

Per tale motivo il Governo Britannico ha ritenuto opportuno suggerire alle imprese la stipula di una copertura assicurativa contro i rischi emergenti di attacchi informatici, contribuendo a creare una Londra ben ancorata al ruolo di centro globale per la gestione del rischio informatico.

Un altro buon motivo dunque per costituire una Ltd a Londra!

Solo a Londra infatti sono stati stipulati premi per ben 160 milioni di sterline a prevenzione di attacchi informatici (in particolare per i dati americani). Londra si candida dunque a diventare la città specializzata anche nella valutazione della rischiosità informatica e nella sua copertura assicurativa quale contraltare agli Stati Uniti, attraverso la storica Lloyd.

Alle aziende sono state anche fornite linee guida (schema) per la sicurezza informatica di base di una società allo scopo di individuare chiaramente i tipi di controlli che devono implementare le aziende per mitigare il rischio di minacce informatiche ed al contempo fornire a terzi (clienti, investitori, assicuratori, ecc.) una prova di aver adottato misure precauzionali di base.

Tale dichiarazione deve essere poi sottoscritta dal Chief Executive Officer ed attestata da un ente certificatore indipendente, e porta all’ottenimento del “Cyber Essentials badge” che sta a dimostrare la volontà dell’azienda di aderire alle norme governative in tema di sicurezza informatica.

E’ importante che l’”Information Risk Management” venga opportunamente preso in considerazione dal Consiglio di Amministrazione.

Infografica Londra sicurezza

(contains public sector information licensed under the Open Government Licence v3.0.)

Come riportato nell’infografica del CESG (autorità tecnica Britannica per la sicurezza) al fine di garantire una sicurezza aziendale di base occorre valutare i rischi che incombono sule risorse informative societarie agendo in modo analogo a quando si valutano gli altri rischi all’interno dell’azienda (es. legale, tributario, finanziario o operativo).

Le politiche ed i processi aziendali devono essere disegnati per gestione la configurazione e l’utilizzo dei sistemi ICT proteggendo in particolare le vulnerabilità note. La connessione a reti non affidabili (es. internet) potendo ad esempio potenzialmente costituire una fonte d’attacco informatico dovrebbe essere particolarmente monitorata, così come la configurazione dei dispositivi di rete adeguata, o il filtraggio del traffico limitato, o l’Host Intrusion Detection Systems (NIDS / HIDS) ed il Prevention Systems (PIN / HIDS), a quanto consentito dalle proprie impostazioni aziendali.

Le autorizzazioni delle varie utenze dovrebbero essere chiare e monitorate così come definiti i ruoli ed i compiti dei vari amministratori (di sistema, di rete, ecc.).

La normativa sulla privacy in ogni caso mira ovviamente a proteggere in particolare i dati personali particolarmente sensibili o riservati.

Il personale dell’azienda dunque dovrebbe essere educato alle politiche di sicurezza per utilizzare in sicurezza i sistemi ICT aziendali formalmente impostati dalla società stessa, comprendendo anche i rischi informatici che deve affrontare, mentre chi ricopre un ruolo apicale nelle decisioni in termini di sicurezza (es. amministratore di sistema, internal audit, deputati alla vigilanza, ecc.) dovranno effettuare una formazione specialistica.

Nei processi di business (come posta elettronica, navigazione web, utilizzo di supporti rimovibili e dispositivi di proprietà personale) occorrono delle politiche di prevenzione dal malware ed antivirus genericamente applicate a tutti gli utenti. Le rischiosità andrebbero monitorate anche per gli utenti che lavorino a distanza (es. connessione sicura da treno tramite VPN e tramite l’uso di dispositivi crittografici.

La gestione delle rischiosità dovrebbe inoltre prevedere dei piani di regolari test di controllo per gli eventuali incidenti che potrebbero verificarsi (inclusi disaster recovery e business continuity) segnalando i reati subiti alle autorità britanniche.

Infine le aziende che inoltre vogliono vedersi garantito un livello maggiormente alto di sicurezza potranno richiedere invece una certificazione di sicurezza (plus) che fotografi ad un determinato istante le pratiche di sicurezza informatica implementate dalla società, aggiungendo sostanzialmente delle misure che tengano conto di come gestire le rischiosità (risk management approach).

Tali certificazioni dovranno essere verificate almeno una volta l’anno da terze parti indipendenti.

Summary
Da Londra : come coprire le società dai rischi di attacchi informatici
Article Name
Da Londra : come coprire le società dai rischi di attacchi informatici
Description
Attacchi informatici un vero problema per le aziende. In Uk nel 2014 hanno subito attacchi informatici l’81% delle grandi imprese ed il 60% delle PMI.
Author