BLOG.ERREVI.COM

Nello svolgere la nostra attività di consulenza, noi di Errevi System ci sentiamo spesso fare questa domanda: “Come faccio a garantire la sicurezza informatica della mia azienda”?

Garantire la sicurezza informatica significa garantire l’integrità, la riservatezza e la disponibilità dei dati. Ne abbiamo già parlato ampiamente in nostri precedenti articoli che ti invitiamo a leggere, come ad esempio “Data Protection: 3 consigli per evitare la perdita dei dati”. Si tratta di strategie che devono rientrare in un più ampio piano aziendale di Data Protection & Availability.

Scopri come attuare una strategia completa di sicurezza informatica:
scarica la guida alla Cyber Security

In questo articolo vogliamo però approfondire una parte della tematica, concentrandoci sulla prevenzione dagli attacchi informatici.  

Anche in ambito Cyber Security entrano in gioco tantissime variabili ed è importante che la strategia non sia un insieme di azioni puntuali e isolate, ma piuttosto un processo ben orchestrato e in continua evoluzione.

Questo significa che la tua strategia di difesa dagli attacchi informatici non deve basarsi solo sulle tecnologie, ma deve includere i processi aziendali e le persone che li mettono in atto e contemplare formazione per i dipendenti in modo da creare una cultura aziendale adeguata.

Inoltre è importante avere la consapevolezza che, per quanto ci si possa tutelare, un incidente/attacco/disastro naturale è sempre possibile e quindi oltre ad avere un piano di prevenzione, dovrai preparare un piano di reazione che all’occorrenza ti faccia esser pronto.

Per aiutarti a immaginare il percorso da seguire per arrivare a una corretta strategia di sicurezza, vogliamo raccontarti l’esperienza di una nostra azienda cliente che, in modo lungimirante, ha acquisito consapevolezza sulla tematica e ha lavorato insieme a noi per definire e mettere in campo un approccio strutturato alla Cyber Security basato su tecnologie, processi e persone.

LA SFIDA: UN CICLO DI PRODUZIONE CHE NON PUÒ ESSERE INTERROTTO

Il nostro cliente è una realtà che opera nel settore della produzione zootecnica, un ambito caratterizzato da cicli produttivi che non possono assolutamente fermarsi, pena la perdita dell’intero lotto e la ripartenza dal principio del flusso di produzione.

L’azienda ha iniziato un processo di rinnovamento e innovazione del sistema produttivo e ha quindi coinvolto il dipartimento IT per intersecare adeguatamente le esigenze della produzione con gli aspetti legati alla Cyber Security.

Step #1 – Security Assessment
Per prima cosa noi di Errevi System abbiamo effettuato un primo Security Assessment, che ha coinvolto principalmente il reparto IT, finalizzato ad ottenere una valutazione chiara e oggettiva dello stato dell’infrastruttura informatica e delle sue modalità di gestione.

Mediante la raccolta di informazioni tecniche, interviste al personale e attività di Vulnerability Assessment, abbiamo quindi potuto produrre un report dettagliato della situazione.

Contestualmente abbiamo effettuato, in collaborazione con il cliente, un Asset Inventory di tutti i sistemi connessi alla rete.

L’analisi è stata quindi estesa agli altri reparti aziendali e ciò ci ha permesso di valutare anche gli aspetti legati alla governance e le esigenze specifiche del business aziendale.

Grazie a questo primo step, il cliente ha ottenuto una panoramica completa della sua security posture in quel momento.

Step #2 – Definizione e messa in campo di un piano adeguato
Grazie all’analisi dei risultati del Security Assessment, è stato possibile stilare un piano di azioni volto al raggiungimento di un livello di sicurezza ottimale.

Obiettivo del piano è stato quello di adeguare l’azienda alle best practice in termini di sicurezza, garantendo la conformità alle normative specifiche del settore in cui essa opera, minimizzando l’impatto sul business aziendale e coniugando vincoli di budget con una grande attenzione alla user experience.

Abbiamo prestato molta attenzione a preservare la miglior user experience perché sappiamo quale impatto possa avere, sulla quotidianità lavorativa delle persone, “blindare” un’azienda da un punto di vista informatico.

Il piano ha considerato in modo sinergico tecnologie, processi aziendali e persone.

A livello tecnologico, non riteniamo significativo in questa sede fornirti un dettaglio di tutte le scelte effettuate, perché le esigenze sono diverse a seconda della realtà aziendale.

Ci limitiamo pertanto a specificare che le soluzioni introdotte sono state adottate non solo per il data center, ma anche per i sistemi di produzione e che si è inoltre messo in atto un progetto di segregazione della rete. Abbiamo inoltre sanato le vulnerabilità più critiche emerse a livello di rete interna e di sistemi esposti all’esterno.

Desideriamo piuttosto porre l’accento sul fatto che l’ufficio IT è stato coinvolto in tutte le decisioni riguardanti i processi di business e questo ha apportato un contributo tecnologico molto significativo in termini di automatizzazione e di sicurezza.

Inoltre, si è rivelata fondamentale la stretta collaborazione con l’ufficio Risorse Umane. Infatti, perché un piano di Cyber Security funzioni, è fondamentale una formazione specifica per tutti gli utenti. Solo così è possibile creare una cultura aziendale sulla tematica, che si tradurrà poi in un beneficio per tutti anche nell’ambito privato.

Step #3 – La continua evoluzione
La sicurezza è un processo in continuo divenire e il percorso non può mai dirsi concluso: così è anche per il nostro cliente.

L’analisi delle sue vulnerabilità viene quindi effettuata con cadenza periodica e il piano di azione viene di volta in volta conseguentemente adeguato.

Al contempo anche la formazione avviene in modo continuativo e le competenze degli utenti vengono verificate periodicamente, grazie all’utilizzo di una piattaforma di formazione dedicata con la quale l’azienda coinvolge tutto lo staff in programmi formativi personalizzati, che differiscono in funzione del ruolo del dipendente e che includono dei test di attacco in grado di mettere alla prova il personale e sensibilizzarlo.