«Controllo e armonizzazione»

L’era dell’informatica ha reso più complesso prevedere ogni difesa

All’ordine del giorno delle imprese la sicurezza è sempre in primo piano. Per fronteggiare i rischi e garantire le attività quotidiane, assicurandone la continuità, così come per soddisfare gli obblighi posti dalle normative. Se in passato le aziende concentravano la loro attenzione sulla protezione dei beni materiali, oggi sotto la lente ci sono soprattutto le informazioni, i processi operativi e l'intera infrastruttura su cui poggiano. Dice Mariangela Fagnani, security & privacy leader di Ibm Italia: «Alla ribalta è più che mai il tema della protezione delle attività di business e la gestione dei rischi correlati: solo così l’approccio, articolato su sicurezza logica, fisica e normativa, è coerente con le esigenze dell’azienda».
Identificare le minacce rappresenta il primo passo di un percorso già intrapreso dalle grandi aziende e sul quale anche le realtà di medie e piccole dimensioni si stanno incamminando: «Sono consapevoli che quanto più ricorrono alle tecnologie, ai sistemi e alla rete per interagire con fornitori e clienti e per migliorare la propria efficienza, tanto più la sicurezza costituisce un aspetto imprescindibile, come lo è la disponibilità dell’infrastruttura informativa». Le buone pratiche prevedono che l’azienda definisca in primo luogo gli obiettivi della protezione, nel quadro di una politica di sicurezza complessiva, determinando gli elementi prioritari: non tutte le informazioni e gli asset rivestono la medesima importanza per l’azienda, che è bene discrimini in funzione della criticità delle diverse minacce provenienti dall’esterno (in primis virus, spamming, tentativi d'intrusione) e pure dall’interno. Inoltre, l’azienda deve attribuire chiare responsabilità al personale che opera sui sistemi informativi, come pure agli altri dipendenti. «Del resto - osserva la Fagnani - proteggere le risorse e gli strumenti d’uso quotidiano significa preservare il patrimonio dell'azienda e, con esso, anche il ruolo e il lavoro di ciascuno. Peraltro, identificare e riconoscere le minacce più pericolose è utile pure per la stipula di un’eventuale polizza assicurativa a copertura dei rischi di compromissione dell’attività d’impresa». L’inventario degli asset deve pertanto accompagnarsi a un’analisi dell’effettivo grado di sicurezza. Ciò per cui le imprese possono affidarsi a società di consulenza e di system integration, capaci di fornire competenze e strumenti conformi alle linee di indirizzo e al modello organizzativo adottato. «Accanto ai rischi di natura informatica vanno considerati anche quelli fisici; dalla protezione del perimetro degli edifici alla videosorveglianza, si tratta di adottare le misure più adatte a fronteggiare i diversi tipi di minaccia e a ridurne l'impatto una volta che si dovessero concretizzare». Inoltre, una buona politica di sicurezza non può prescindere dalla gestione delle emergenze (incendi, disastri ambientali, attacchi terroristici), predispondendo appositi piani a garanzia della continuità operativa.
Ultimo fronte da considerare, gli obblighi normativi: vi rientrano gli adempimenti al dlgs 196/03, il codice in materia di protezione dei dati personali, cui si legano anche il Documento programmatico sulla sicurezza e le misure minime, il rispetto delle direttive della Banca d’Italia in tema di analisi d'impatto sull’attività di business, e, in ambito settoriale, la conformità alla norma Hipaa per i dati sanitari.