In un panorama che ha visto l’evoluzione delle normative in ambito GDPR, per i System Integrator il processo di
convergenza tra sicurezza logica e fisica causata dal progressivo annullamento della distinzione tra mondo digitale e fisico e la diffusione delle tecnologie IoT, ha messo ulteriormente in evidenza i
rischi legati alla
connettività e alle minacce derivanti da una mancanza di regolamentazione. Le sole difese digitali non sono infatti sufficienti a tutelare completamente i dati in possesso dalle aziende, in quanto incidenti o attacchi avvengono spesso a causa di vulnerabilità presenti nel mondo fisico o nel modo in cui le informazioni vengono trattate e trasmesse.
Per le aziende, a prescindere dall’obbligatorietà di essere compliant al GDPR, le
informazioni costituiscono una
risorsa strategica per le attività di business e quindi risultano un patrimonio aziendale da difendere e valorizzare. Da qui deriva la necessità di porre grande attenzione alla gestione e all’uso delle informazioni, andando a tutelare gli interessi del Cliente e dell’impresa all’interno di un rapporto caratterizzato da trasparenza e fiducia.
Ma come è possibile gestire in maniera adeguata le informazioni in circolazione, tutelando gli interessi di tutte le parti? Il modo migliore è quello di implementare un
sistema di sicurezza delle informazioni di standard elevato, distinguendo e gestendo in maniera appropriata le informazioni classificate ad Uso Pubblico, Uso Interno e Riservate.
Innanzitutto, un’
informazione è un dato che ha acquisito un significato stabilito dall’utente. Non devono essere considerate informazioni solamente i dati in senso stretto: tutto ciò che è identificabile come
conoscenza di un soggetto o di un’azienda (come relazioni, documenti cartacei, processi, sistemi, ecc..) deve essere protetto e tutelato. La
sicurezza delle informazioni non dipende esclusivamente dagli
strumenti tecnici e dalla protezione dei
sistemi informatici, ma deve estendersi andando a coinvolgere
tecnologie, persone, ruoli e procedure aziendali. Oltre ad essere considerato una standard normativo definito nella
ISO 27001, il sistema di gestione della sicurezza delle informazioni è prima di tutto un orientamento aziendale, che pone al centro di processi e procedure un adeguato trattamento e conservazione dei dati in circolazione.
Per comprendere l’importanza di questo punto, è bene partire dall’
analisi dei rischi elencando i pericoli in cui è possibile incorrere in un sistema non protetto. Dato il processo di informatizzazione consolidato nelle aziende, i dati vengono custoditi e scambiati all’interno di database su server, talvolta anche in-cloud e attraverso device informatici come chiavette usb, hard-disk esterni, NAS, Smartphone, Tablet ecc. Trattandosi di strumenti informatici, questi potrebbero essere vittima di attacchi informatici da parte di hackers, nonché minacciati da diversi tipi di malware (Worm, Trojan, Ransomware, Spyware, ecc.…) o da altre tecniche malevoli come phishing, spoofing, sniffing, social engineering ecc. Inoltre, i suddetti sistemi potrebbero subire un guasto tecnico dovuto a rotture o incendi, nonché essere perduti dal proprietario esponendo i dati all’interno a molteplici rischi. Le informazioni contenute potrebbero quindi essere perse e distrutte, lette da persone non autorizzate o da entità concorrenti, nonché vendute sul dark web in cambio di denaro.
Adottando un sistema di sicurezza delle informazioni, le aziende avranno il dovere di implementare un’adeguata
infrastruttura IT integrata a precise procedure, stabilendo i
termini, le modalità e le utenze che potranno entrare in contatto con determinati dati, rispettando i tre principi cardine della sicurezza delle informazioni. In questo modo, sarà possibile realizzare un sistema in grado di permettere alle aziende di reagire prontamente in caso di attacco o incidente, limitando le perdite e i conseguenti danni e riprendendo la propria attività rapidamente.
I principi sulla quale si baseranno le procedure sono 3: