Gli attacchi informatici stanno diventando sempre più comuni e le aziende sono costrette a investire in sistemi di cyber-sicurezza; dunque è necessario essere preparati con una cyber-policy ben sviluppata. Da dove partire?
Ecco le basi:
- CAPIRE LE ESIGENZE DELL’AZIENDA
Prima di iniziare a sviluppare una cyber-policy, bisogna effettuare un assessment per la tua azienda in termini di sicurezza informatica. Molte volte le aziende utilizzano prodotti di terze parti, anche se non è la best practice. La policy va sviluppato in coordinamento tra IT e top management. Una policy condivisa e sviluppata congiuntamente aumenta le possibilità che venga accolta e implementata dall’intera società.
- INFRASTRUTTURA
Una buona policy di sicurezza informatica deve includere i sistemi di difesa già in uso in azienda: quali programmi sono utilizzati per la sicurezza e come verranno aggiornati per prevenire le vulnerabilità, come viene eseguito il backup dei dati, quali servizi online sono usati. Così si definisce lo scenario generale in cui opera l’azienda.
- RESPONSABILITÀ
La cyber-policy deve includere misure di responsabilità (“accountability”) in un piano di emergenza per gli attacchi informatici. Devi delineare le persone giuste nel team che affronteranno e risolveranno le emergenze e chi comunicherà con i clienti, i media, gli stakeholder, i fornitori. Questo deve includere i backup per ogni posizione nel caso in cui la persona responsabile non possa essere operativa. Inoltre, i clienti, i fornitori e gli stakeholder devono sapere chi contattare per chiedere aiuto dopo un cyber attacco. Infine, il team di gestione dovrebbe pianificare revisioni periodiche delle misure di gestione e mitigazione del rischio e, più in generale, una revisione periodica della cyber-policy.
- DISPOSIZIONI OPERATIVE
Una volta definita l’infrastruttura esistente e chi è responsabile della cyber-policy, è il momento di includere le disposizioni effettive. E’ un documento fondamentale, da formulare in modo chiaro e sintetico per non lasciare spazio ad interpretazioni errate:
- Dispositivi
Ai dipendenti viene chiesto di proteggere i dispositivi personali e aziendali in modo che non introducano rischi per la sicurezza dei dati. E’ fondamentale aggiornare la password su tutti i dispositivi, installare software antivirus, installare gli aggiornamenti non appena sono disponibili ed evitare di prestare i loro dispositivi ad altri. Allo stesso modo è consigliabile che i dispositivi aziendali funzionino su rete protetta specialmente quando scambiano dati confidenziali e segreti.
- Dati confidenziali
I dipendenti sono obbligati a proteggere i dati riservati e segreti – ma è necessario definire cosa vuol dire “dati riservati e segreti”, in modo da far sapere chiaramente a quale tipo di dati si riferisce la cyber policy.
Bisogna istruire i dipendenti a non aprire allegati o link quando il contenuto non è chiaramente spiegato, specialmente se non conoscono il mittente. Dovrebbero essere immediatamente diffidenti nei confronti dei titoli “clickbait” che attirano clic in modo fraudolento, degli errori di ortografia e di assurde offerte premio. Ma va spiegato loro cosa dovrebbero fare se ricevono un’email di cui non sono sicuri.
FORMAZIONE: LA VERA RISORSA VINCENTE
E’ ingenuo credere che basti una cyber policy per proteggere effettivamente un’azienda da una minaccia così multiforme e pericolosa. La vera risorsa contro gli hacker è la formazione: istruire i dipendenti, condurre una formazione su cosa fare in caso di violazione e fissare regolarmente incontri e confronti su questi temi. La cyber-sicurezza è una prassi e va sostenuta dalle aziende in modo coordinato e continuo.
Per conoscere in dettaglio la nostra consulenza strategica e i nostri servizi innovativi sulla cyber-security potete iniziare subito con due risorse fondamentali:
- Scoprire la nostra storia di innovazione e assistenza su misura del Cliente consultando la nostra presentazione: link di download
- Conoscere i nostri servizi specializzati sul Risk Consulting, con tutte le informazioni nella nostra apposita brochure: link di download
Siamo sempre a vostra disposizione per una valutazione preventiva del rischio della vostra azienda: basta contattarci.
Vi invitiamo a seguire anche il nostro profilo Twitter per conoscere le innovazioni e i trend di sviluppo per il mercato delle assicurazioni.
Grazie per l’attenzione!
