Qual è la differenza tra uno scaffale con plichi impilati uno accanto all’altro a mo’ di archivio e le cartelle sul desktop di un pc aziendale? Occupano uno spazio diverso, certo, ma se guardiamo le due situazioni dal punto di vista delle informazioni, nessuna. Entrambe le soluzioni contengono dei dati dell’azienda, che per vari motivi potrebbero andar persi o, ancor peggio, rubati.
Che siano fisici o digitali, i dati sono un tesoro per le aziende e occuparsi della loro protezione è una sfida continua, a causa dell’imprevedibilità e del contesto aziendale che è in continua evoluzione.
Perciò, in questo articolo approfondiamo cosa significa occuparsi della sicurezza delle informazioni, conosciuta anche come information security (o infosec), quali sono le minacce più frequenti e le azioni fondamentali per proteggere i dati.
Per imparare a gestire criticità e aspettarsi l’inaspettato.
Che cos’è la sicurezza delle informazioni?
I processi per proteggere i dati sensibili fisici e digitali, garantendo la loro l’integrità nel tempo e dagli eventi di qualsiasi natura. Un’azienda, per esempio, può pensare di proteggere i dati dei propri dipendenti, dei clienti e altre informazioni riservate con controlli periodici dei propri sistemi informatici e digitali, insieme agli archivi o schedari cartacei.
Di information security, ne dà una definizione il NET, il National Institute of Standards and Technology (L’istituto nazionale di standard e tecnologia) degli Stati Uniti:
“La protezione delle informazioni e dei sistemi informativi da accessi, usi, divulgazioni, interruzioni, modifiche o distruzioni non autorizzate, al fine di garantire riservatezza, integrità e disponibilità”.
Possiamo dire, in una frase, che la sicurezza delle informazioni è l’insieme delle azioni per proteggere le informazioni aziendali da minacce interne ed esterne.
Ed è proprio alle minacce che dedichiamo il prossimo paragrafo.
Le minacce della sicurezza delle informazioni nella tua azienda
Spesso sconosciute, le minacce alla information security creano danni, costando parecchio alle organizzazioni per costi e reputazione. Forse ti sorprenderà sapere che le minacce più probabili e frequenti sono insidiate nell’azienda, perché – come spiegheremo – gli elementi interni delle aziende sono più numerosi di quelli esterni.
Elementi interni: disinformazione, superficialità e dipendenti
Pensieri limitanti come “sono un’azienda piccola, non mi attaccheranno mai”, “vuoi che accada proprio a me?” o “non ho budget per fare formazione e per migliorare il sistema di sicurezza” sono le minacce all’interno dell’organizzazione che possono influire sulla protezione delle informazioni sensibili.
La disinformazione è un pericolo per la sicurezza, perché se non si conosce chi ha accesso ai dispositivi, quali dipendenti accedono ai sistemi diventa difficile monitorare e intervenire in caso di violazione dei dati.
Dato che li abbiamo nominati, i dipendenti sono elementi da valutare, specialmente se si sentono arrabbiati, frustrati, bramosi di vendetta o se hanno un fine poco nobile. Perché è proprio in questi casi che potrebbero rubare informazioni e creare danni con molta facilità. Altre volte, un dipendente potrebbe provocare un disastro in modo del tutto accidentale, per motivi organizzativi e di dinamiche interne. Pensa alle aziende con il lavoro da remoto, con dipendenti sparsi per l’Italia o nel mondo, che hanno un’organizzazione fluida – o liquida, per riprendere la metafora del sociologo Bauman di una società che si riorganizza continuamente. Una buona idea per prevenire disastri, è dare a tutti gli utenti dei ruoli ben definiti, minimi e indispensabili, per gli accessi ai sistemi interni.
Per quanto possa sembrare assurdo, anche un’eccessiva attenzione può essere una minaccia: se ci si concentra su un aspetto soltanto si può correre il rischio di trascurare altri aspetti che potrebbero portare problemi. Un esempio può essere il concentrarsi troppo sull’aggiornamento continuo dei software e trascurare le minacce che possono provenire dai canali social dell’organizzazione.
Elementi esterni: naturali e informatici
Le minacce che possono danneggiare i dati di un’organizzazione vanno dalle calamità naturali come alluvioni e terremoti (purtroppo sempre più frequenti) fino agli attacchi informatici.
Tra questi ultimi, ricordiamo:
-
- gli attacchi di phishing. che avvengono tramite mail, con messaggi che fanno spesso leva sull’ansia della perdita di denaro
- i ransomware, cioè il blocco di dati che rimangono criptati fino al pagamento di un riscatto
- il Worm o Trojan Horse che, proprio come il cavallo di Troia del famoso mito classico, entra silenziosamente da un sistema all’altro con una semplice connessione a Internet
La soluzione per evitare minacce esterne e interne? Come sempre, i leader devono darsi la possibilità di imparare quali sono le minacce e come ridurle. Poi, in un secondo momento, insegnare e impegnarsi per trasferire le conoscenze ai propri collaboratori.
Persone, processi e tecnologie: come proteggere i dati sensibili
Quando si pensa alla protezione dei dati si pensa spesso a sistemi tecnologici o software super all’avanguardia. In realtà, alla base della protezione e della sicurezza delle informazioni c’è di più: le persone, i processi e solo alla fine la tecnologia.
L’ordine in cui abbiamo elencato gli elementi non è casuale, anzi: bisogna partire proprio dalle scelte, dai comportamenti e della cultura aziendale sul tema per evitare, o quantomeno, limitare i danni e trasformare i rischi in opportunità di successo. Perché sono proprio le persone che fanno parte di un processo, usano la tecnologia e ogni giorno fanno migliaia di scelte. E fare delle scelte consapevoli significa proteggere la sicurezza delle informazioni.
Abbiamo poi detto processi e tecnologia. Bisogna naturalmente creare dei processi da seguire in caso di rischi o di crisi e rafforzare la cultura delle persone con il supporto della tecnologia.
I 3 pilastri della protezione dei dati: riservatezza, integrità e disponibilità (CIA)
Esiste un modello per proteggere le informazioni dei dati sensibili che si basa su riservatezza, integrità e disponibilità ed è ampiamente accettato da standard internazionali (norma ISO 27001).
Ma cosa significano i 3 pilastri nel dettaglio?
-
- Riservatezza: solo il personale autorizzato può accedere ai dati sensibili dell’azienda e che in alcun modo possono emergere le informazioni
- Integrità: le informazioni da proteggere o da condividere con il personale autorizzato devono essere corrette e accurate. Non bisogna quindi andare ad interferire con i dati
- Disponibilità: i dati devono essere accessibili quando necessario
La differenza tra sicurezza delle informazioni e sicurezza informatica
Spesso sono confuse o usate persino come sinonimi, ma la sicurezza informatica è un ambito di competenza diverso e complementare alla sicurezza delle informazioni, perché – come ben sappiamo – molte delle nostre attività e le informazioni viaggiano anche online.
Pensiamo per esempio al database in cui ricevere i curriculum quando si cercano collaboratori o ai documenti sui pc aziendali con i dati dei dipendenti per il loro pagamento e i loro contratti. Se ogni elemento venisse distrutto o hackerato, quei dati dove andrebbero a finire?
Per completezza, la sicurezza delle informazioni o information security si occupa della protezione dei dati sensibili, che si trovino nel mondo fisico o del web.
Privacy e Sicurezza delle informazioni: non sono la stessa cosa!
Se sicurezza delle informazioni non è sicurezza informatica, non lo è nemmeno privacy e sicurezza delle informazioni. Questo perché la privacy si occupa di regolare l’uso dei dati sensibili, come il nome, indirizzo di casa, contatti sia online che offline. Magari avrai sentito parlare di GDPR ed è proprio questa la normativa che in Italia e in Europa regola come sono usati e gestiti i dati dei cittadini e delle cittadine.
Invece, la sicurezza delle informazioni protegge i dati da minacce esterne e interne all’azienda, di qualsiasi entità e origine, da quella informatica e digitale fino a calamità naturali e azioni umane.
Conclusioni
Il ruolo che hanno le persone nelle organizzazioni è determinante per la sicurezza delle informazioni più di qualsiasi tecnologia, perché sono i processi, le regole e l’approccio a prevenire e mettere al sicuro i dati sensibili e l’intera organizzazione.
Al centro della sicurezza delle informazioni devono esserci dunque consapevolezza e conoscenza, per fare scelte ponderate e tutelare il proprio valore economico e reputazionale.