Rischio informatico
Rischio significa possibilità di subire un danno. È evidente che vi possono essere danni di diversa natura e di diversa entità.
Rischio informatico
Il rischio informatico, o cyber risk, è definito come rischio di
- perdite economiche/finanziarie
- interruzioni nell’operatività normale
- danno reputazionale
legato al verificarsi di eventi
- di natura accidentale
- di natura dolosa
che riguardino un sistema informatico e ne provochino un malfunzionamento.
Il rischio informatico è sempre in agguato. L’ideale sarebbe disporre del pieno controllo di ogni processo (il cosiddetto controllo totale), in maniera da poter reagire rapidamente e con efficacia. Purtroppo questo scenario è sempre meno realistico, a causa
- dell’interconnessione di buona parte dei dispositivi che usiamo quotidianamente, i quali sono collegati alla stessa rete informatica (Internet)
- della grande condivisione di librerie e componenti software da parte degli sviluppatori, che sempre più raramente scrivono da zero tutto il codice per un progetto, cosicché una singola vulnerabilità si ripercuote su moltissimi software contemporaneamente.
Fra le soluzioni per limitare i danni legati al rischio informatico, negli ultimi anni sul mercato sono state rese disponibili numerose polizze assicurative che coprono il cyber risk. Se un tempo queste polizze erano dette “elettroniche” e riguardavano principalmente i danni legati a sbalzi elettrici, oggi offrono una copertura molto più ampia e riguardano furti di dati, interruzioni nei servizi, spese per il ripristino e così via.
Cyber risk in azienda
Le imprese iniziano ad essere sensibili al tema del rischio informatico, anche se troppo spesso ciò accade solamente dopo aver perso i dati, o dopo aver subìto danni di altro genere.
Una procedura aziendale per la sicurezza delle informazioni è un documento che va aggiornato regolarmente e dove ad esempio
- si informano le proprie persone sui rischi cyber,
- si definisce come comportarsi per ridurre questi rischi nell’operatività quotidiana,
- si definiscono i compiti di ciascuno e a chi ci si deve rivolgere in caso di incidente.
La procedura aziendale per la sicurezza delle informazioni può ad esempio fare riferimento a:
- l’Asset List: un elenco degli asset (dei beni) informatici/tecnologici (ossia di pc, smartphone e altri dispositivi) è una lista del “parco macchine” utile a tenere sotto controllo le risorse aziendali che vengono affidate ai collaboratori e pertanto diventano personali, che spesso sono veicolo di accesso non autorizzato al sistema informativo aziendale;
- l’Application List: un elenco del software e delle licenze software con riferimento alle macchine (pc) e ai dispositivi (ad es. smartphone) aziendali sui quali sono installati, inclusi quelli affidati ai collaboratori
- le Policy: regole autorizzative (chi può fare cosa sul sistema informativo aziendale); si parla a tal proposito di
- Provisioning (modificare le policy per dare accesso ad una risorsa) e
- Deprovisioning (modificare policy per togliere accesso ad una risorsa);
- la procedura di Change Management (che illustra come agire sulle policy in caso
- di assunzione, di cambio mansione, di licenziamento di dipendenti e collaboratori, ossia di utenti del sistema
- di cambiamenti di altro genere relativi al sistema (aggiornamenti, cambi di software e così via);
- il DRP (Disaster Recovery Plan): un documento che specifica come comportarsi in caso di Disaster (ovvero di incidente che riguarda il sistema informativo aziendale) e di come arrivare rapidamente al Recovery (ossia al ripristino della situazione originale di operatività
- il monitoraggio dei log: ossia modalità e frequenza di analisi dei metadati con cui il sistema traccia ogni evento che si verifica
- i sistemi di protezione aziendale quali
- firewall (una definizione di firewall si può trovare nel nostro articolo che riporta i primi cenni di sicurezza informatica),
- IDS (Intrusion Detection System), che si occupa di rilevare eventuali intrusioni nel sistema
- IPS (Intrusion Prevention System), che si occupa di prevenire eventuali intrusioni, monitorando costantemente il sistema
Come iniziare
Per cominciare un percorso che porti rapidamente l’azienda a gestire e mitigare il cyber risk, contattaci: stileremo assieme
- un’analisi del rischio
- un remediation plan (ovvero un insieme di punti operativi per raggiungere lo scopo prefissato)
Immagine di Mikhail Nilov da Pexels