Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

ESPERTO RISPONDE

Tutela del patrimonio aziendale: come fare a garantire la sicurezza e la conformità normativa?

20 Nov 2018

Gaia Rizzato

Trainee Information & Cyber Security presso P4I – Partners4Innovation

Marco Rizzi

Information & Cyber Security Advisor presso P4I – Partners4Innovation


DOMANDA

Cosa può fare un’azienda per gestire efficacemente la propria sicurezza e la propria conformità normativa?

RISPOSTA

Indispensabile è certamente l’incentivo, da parte dei vertici aziendali, delle iniziative sulla sicurezza. Non si tratta di un problema “dell’IT” ma di tutela del patrimonio aziendale.

Una buona guida può essere lo standard ISO/IEC 27001, anche per le aziende che non hanno interesse ad ottenere la relativa certificazione per il proprio SGSI.

Il primo passo è identificare e valutare i rischi principali, implementando due documenti fondamentali:

  • la policy di sicurezza, che stabilisce i principi fondamentali nella gestione della sicurezza in azienda, dichiara il commitment dell’azienda verso la protezione del proprio patrimonio informativo e identifica le figure chiave che hanno in carico la gestione della cybersecurity, dando quindi loro l’autorevolezza per stabilire regole nell’uso e nella gestione del sistema informativo;
  • il regolamento utente chiarisce quali sono gli usi corretti e legittimi del sistema informativo e quali sono i comportamenti che gli utenti (personale ma anche consulenti, fornitori ecc.) devono tenere nell’utilizzo del sistema informativo aziendale e delle risorse.

A questi si possono affiancare altre policy e procedure più o meno strutturate e complesse a seconda delle caratteristiche dell’organizzazione, l’importante è che siano documenti chiari ed efficaci.

Ci sono inoltre alcune attività che devono essere strutturate, ad esempio attraverso procedure, in modo da assicurarne l’efficacia. In primis, la gestione degli incidenti, che non può essere improvvisata sul momento ma deve essere invece chiaramente pianificata. La scelta di strumenti e tecnologie deriva quindi dalla valutazione di come supportare efficacemente queste attività e questi controlli.

Infine, da considerare la formazione e la sensibilizzazione del personale: la capacità degli utenti di comportarsi in modo sicuro e la formazione del personale tecnico sulle buone pratiche di sicurezza nella gestione del sistema informativo sono infatti essenziali.

Mandate i vostri quesiti ai nostri esperti

Quesiti legal: espertolegal@cybersecurity360.it

Quesiti tecnologici: espertotech@cybersecurity360.it

@RIPRODUZIONE RISERVATA

Articolo 1 di 5