Eccoci all’ultimo post di questa serie dedicato alla protezione dati su cloud (qui trovate il primo articolo, e il secondo articolo)
Affronteremo le “buone pratiche” per evitare di incappare nei problemi descritti nei post precedenti; personalmente mi auguro che molto di quanto verrà scritto in questo post risulti noioso e già risaputo, ma purtroppo, giornalmente nel mio lavoro, mi accorgo che non è così.
Ritengo quindi doveroso da parte mia ripetere ancora una volta l’elenco delle attenzioni che devono essere poste quotidianamente, nell’uso degli strumenti informatici, ancora di più se appartenenti al settore “mobile”.
Ecco alcuni comportamenti da evitare, o da attuare, per limitare il rischio di data breach e per evitare che le credenziali di accesso vengano sottratte.
Li classificheremo in classi adatte per utenti PRINCIPIANTI, AVANZATI, ESPERTI. Il fatto che alcuni accorgimenti siano da “esperti” non vuol dire che non debbano essere implementati, soprattutto nelle aziende, che devono essere le prime a tutelare le informazioni, sia in ottica di protezione del dato personale, sia del proprio business e della reputazione.
Queste attività di protezione dati su cloud sono alla portata di tutti e DEVONO essere conosciute da tutti per avere il minimo indispensabile alla sopravvivenza nel mondo digitale.
Gli utenti che utilizzano quotidianamente gli strumenti connessi e legati al mondo digitale “pubblico” (ovvero con alto scambio di informazioni, personali, riservate o comunque “di interesse”) dovrebbero avere anche un’attenzione più specifica alle criticità degli strumenti specifici, ma in linea generale ci sono alcune buone pratiche da attuare.
Le attività da Esperto sono normalmente effettuate da “tecnici informatici” e sono indispensabili per le attività di tipo professionale.Servono a proteggere la “proprietà aziendale” e quindi dovrebbero diventare pratiche stabilite dagli organi direttivi e manageriali, oltre ad essere richieste per poter accedere a criteri di selezione, certificazione e adempiere agli obblighi di legge (es: Reg.UE 2016/679 – GDPR).
Sulla base della nostra esperienza suggeriamo di effettuare regolarmente attività di Vulnerability Assessment, di Network Scan, di Incident Management e Disaster Recovery (per verificare che i dati siano anche ripristinabili), vanno messe a budget e i risultati andrebbero “registrati” per poter dimostrare che l’azienda sta eseguendo tutte le buone pratiche per la protezione dati su cloud; ovviamente se queste attività segnalano anomalie, criticità o vulnerabilità, vanno mitigate e risolte nel più breve tempo possibile per non lasciare scoperta la protezione.
Se ci si appoggia a programmatori esterni, o si sviluppano applicazioni proprietarie provvedere periodicamente anche ad attività di Code review delle applicazioni e stilare una policy di Secure Software development (eventualmente prevista contrattualmente con il fornitore).
Per le attività più strutturate e articolate è anche suggerito dotarsi di strumenti SIEM (security information and event management) che sono console di controllo generale del sistema, da dare in dotazione ad un team di esperti (chiamato di solito Security Operation Center) e pianificare attività di Risk Management per la gestione anche economica delle ricadute sull’azienda; infine è caldamente consigliato effettuare operazioni di “simulazione”, per verificare che le procedure adottate siano sempre aggiornate e applicate (es: penetration test, ma anche audit sul personale).
Infine per le Aziende è possibile anche accedere a polizze assicurative (come trattato in questo articolo) per ridurre i costi e far fronte a quello che si chiama “rischio residuo”.
I maggiori sistemi di file sharing garantiscono un livello di sicurezza elevato e sono sufficientemente affidabili da scongiurare un data breach, ma sono comunque soggetti alle criticità dovute alla grande diffusione ed integrazione con terze parti e uso da parte di utenti “non preparati”.
Per capirci: l’evoluzione esponenziale dei sistemi digitali ed interconnessi ha permesso di realizzare nuove soluzioni e servizi, ma l’utenza non si è evoluta altrettanto velocemente ed utilizza quindi anche inconsapevolmente degli strumenti con grandi potenzialità ma che possono diventare estremamente sensibili e delicati, soprattutto se “lasciati aperti” inconsapevolmente.
Il vero rischio di fatto è sempre di più il fattore umano.
Su cui però possiamo intervenire… personalmente!
Nessun Commento