Che cosa è il rischio informatico?

Si definisce rischio informatico qualsiasi rischio associato all’utilizzo della tecnologia informatica, il quale possa avere potenzialmente un impatto negativo sul business aziendale.

In altre parole, riguarda la vulnerabilità del nostro sistema informatico ad eventi interni o esterni in guado di causare l’alterazione, il furto o l’indisponibilità di dati e di funzioni.

La gestione del rischio informatico

Data la natura incerta e l’evoluzione continua della tecnologia, la gestione del rischio IT rappresenta una sfida strategica in qualsiasi azienda. Si possono individuare quattro fasi che devono essere attuate in maniera ciclica:

  1. Analisi del rischio;
  2. Implementazione di procedure;
  3. Monitoraggio, revisione e verifica delle stesse;
  4. Correzione delle procedure applicate.

Dieci regole fondamentali per la gestione del rischio informatico

Il Risk Management è una materia complessa, che non può essere affrontata in un semplice articolo. Possiamo comunque fornire dieci spunti di riflessione che non possono mancare nella vostra strategia di analisi, individuazione e gestione del rischio informatico.

  1. Ogni processo informatico comporta dei rischi. Per una valutazione dei pro e contro, rispetto ad ogni agente di rischio individuato, è necessario tenere conto dell’impatto di:
      • Costi di ripristino;
      • Costi di down-time;
      • Danni di immagine;
      • Ritardi nei processi.
  2. Il piano di Disaster Recovery. Per le piccole e medie aziende si traduce in avere sempre a disposizione una o più unità di backup, aggiornate con regolarità e il cui funzionamento sia stato verificato. Chi vuole investire risorse in backup che non funziona?
  3. La gestione automatica degli aggiornamenti. Gli aggiornamenti dei sistemi non sono una scocciatura, servono a risolvere ben specifiche problematiche di sicurezza e funzionalità.
  4. Una protezione base contro malware ed attacchi. L’antivirus non è sufficiente per contrastare moderni attacchi informatici. Bisogna anche dotarsi di firewall evoluti, antivirus per il traffico web e la posta elettronica in grado di bloccare gli attacchi prima che raggiungano i PC aziendali.
  5. No alle troppe uova nel paniere. Troppi dati, applicazioni e funzioni affidate allo stesso sistema rappresentano un azzardo. Meglio frazionare il rischio,
  6. Se mancano le risorse affidarsi alle soluzioni Cloud. È molto più sicuro usare servizi online di posta elettronica e archiviazione documentale che improvvisate soluzioni “locali”. Posta elettronica e rete sono porte aperte per intrusioni esterne nel nostro sistema informatico, i dati memorizzati localmente sono un onere da gestire. Se mancano le risorse per implementare anche le salvaguardie più elementari è meglio affidarsi completamente a servizi esterni e utilizzare un semplice antivirus su ogni macchina.
  7. La configurazione e la manutenzione degli apparati non è secondaria alla loro presenza. In molti credono che basti comprare qualche appliance o servizio per risolvere ogni problema. Affidarsi a veri esperti per la configurazione e non a tecnici improvvisati.
  8. Il personale deve essere vincolato da una policy chiara e precisa per l’utilizzo della rete informatica. Nessuno escluso, dal manager alla segretaria.
  9. Non subire la “sicurezza di carta”. Compliance, leggi e standard ISO sono pensati per essere qualcosa di buono e positivo, è l’atteggiamento col quale vengono spesso implementati che li tramuta in qualcosa di costoso, noioso ed inutile. Qualsiasi standard internazionale di sicurezza va compreso ed applicato in maniera intelligente alla propria realtà.
  10. Avere un piano. La sicurezza informatica è prima di tutto un fatto culturale. Una figura manageriale si deve prendere l’onere di pensare e gestire la sicurezza ad alto livello nella sua azienda. E di spiegare a tutti gli altri il perché e che ruolo hanno nella riuscita del piano.

L’IT-Risk Management per tutti

Oggigiorno le grandi aziende sono dotate di figure professionali esclusivamente adibite alla gestione del rischio informatico. Molto spesso, però, ciò comporta costi eccessivi per le piccole e medie imprese. Proprio per questo le soluzioni di consulenza ISGroup e le verifiche puntuali della sicurezza effettuate tramite EasyAudit rappresentano un’alternativa vincente per le PMI.

Related posts