Da quando il mondo dell’informatica ha stravolto le nostre abitudini con innovazioni tecnologiche di grande impatto, il tema della sicurezza ha accompagnato passo passo ogni nuova risorsa digitale. Trattasi di una tematica troppo delicata e complessa per abbassare la guardia sulla massiccia quantità di dati e informazioni che viaggiano online. Dati che vanno tutelati con ogni lecito mezzo per allontanare quanto più possibile i rischi che tali informazioni finiscano in mano a qualche criminale informatico o che vadano perse per fatti accidentali. In ogni caso, a prescindere dalla natura del rischio, ai dati e alle informazioni strategiche di un’organizzazione di lavoro va garantita la massima sicurezza possibile.
In questa logica da alcuni anni sono diretti gli sforzi di veri e propri professionisti in materia di sicurezza informatica e gli investimenti di diversi Paesi e di molti grandi leader aziendali del settore. Purtroppo però, allo stesso tempo, crescono gli hacker e cyber criminali disposti a tutto pur di rubare preziose informazioni e di mettere a serio rischio la funzionalità di intere infrastrutture. Criminali informatici da contrastare con efficacia e la cui losca attività va frenata sul nascere con risorse umane e finanziarie per proteggere adeguatamente i dati. I controlli del Center for Internet Security (CIS) sono una lista di misure di difesa di grande efficacia, un buon punto di partenza da conoscere da parte di ciascuna organizzazione di lavoro per ottimizzare la sicurezza informatica. Vediamo nei paragrafi successivi di cosa si tratta e la loro importanza ai fini della protezione dei dati dai numerosi attacchi informatici. Di seguito conosciamo una serie di utili controlli incentrati sulla capacità di prevenire ed eventualmente curare circostanze pericolose.
Si tratta di pratiche estremamente importanti per le organizzazioni di lavoro di qualunque grandezza esse siano. Con l’adozione di questi controlli, le organizzazioni possono correttamente ed efficacemente prevenire gran parte degli attacchi informatici. Vere linee guide per mettere in atto i controlli opportuni per una seria e doverosa difesa contro le continue minacce informatiche. Minacce, che non è difficile immaginare, quanto possano alterare il regolare funzionamento delle infrastrutture. Attacchi informatici che, una volta andati a segno, potrebbero provocare per un’azienda danni ingenti e non solo dal punto di vista economico. Pensate, per esempio, a una mancata consegna al cliente in tempi utili di una fornitura importante. In questo caso, ci rimette il cliente finale ma anche l’azienda produttrice in termini finanziari e in fatto di credibilità aziendale.
Ecco la necessità prioritaria di questi controlli dettati dal Center for Internet Security (CIS). A confermare l’importanza di questa serie di comportamenti, ci sono autorevoli studi di settore che hanno mostrato come sia possibile con l’adozione, anche solo di parte di questi controlli, prevenire una buona percentuale di attacchi informatici. Ovviamente, adottare tutti i controlli e non solo una parte di essi, comporta un sensibile aumento del livello di sicurezza. Una serie di controlli da fare ed eventualmente, decisioni che spettano alle singole organizzazioni di lavoro, implementare con il personale qualificato, i mezzi e gli strumenti a disposizione. Dare risalto a un tema sempre verde come quello della sicurezza informatica oggi è importante al pari, se non di più, all’interesse da destinare ad altri aspetti fondamentali di un’azienda. Questo soprattutto alla luce di una costante evoluzione del campo tecnologico, dell’incremento parallelo degli attacchi informatici e dei rischi accidentali che possono comportare la preziosa perdita di dati. Ora passiamo di seguito a conoscere a grandi linee i 20 controlli critici da attenzionare secondo il Center for Internet Security (CIS).
Quindi stiamo trattando una serie di controlli utili per frenare alcuni rischi e mettere così al riparo dati e informazioni. Vediamo insieme quali sono i gruppi di controlli da implementare:
Questi sono solo i primi 6 controlli di base indicati dal Center for Internet Security (CIS), ma è facile intuire come già con la sola applicazione delle prime misure sia possibile aumentare il livello di sicurezza. Affermato tale concetto, andiamo avanti per conoscere altri 10 controlli fondamentali per la sicurezza informatica.
Siamo così arrivati al controllo 16, che significa mettere in atto già una serie di misure di base e fondamentali per la sicurezza informatica. La lista però non si esaurisce affatto perché continua con gli ultimi 4 controlli efficaci e determinanti, che di seguito andiamo a trattare per una visione completa.
Linee guida quindi del tutto utili a ogni utente, ma soprattutto alle grandi infrastrutture. L’impiego dell’insieme di questi controlli e una buona cultura di base tra tutti i lavoratori permette a un’organizzazione di lavoro di operare con maggiore tranquillità e sufficientemente al riparo dagli attacchi informatici. Ignorare tali concetti invece sarebbe un boomerang, lasciare allo scoperto dati e informazioni strategiche potrebbe voler dire compromettere giorni e giorni di intenso lavoro. Anche perché, come già visto, al pari delle novità tecnologiche avanzano gli attacchi informatici, portanti avanti con subdole strategie da hacker disposti a tutto pur di centrare l’obiettivo. Tuttavia, nonostante ingenti investimenti fatti in termini di sicurezza informatica per alzare i livelli di protezione dei sistemi, ci sono ancora realtà poco preparate a prevenire gli attacchi e a risanare situazioni pericolose.
Procedere con una serie di comportamenti puramente tecnici è assolutamente consigliabile, di pari passo però serve una cultura generale che spinga i lavoratori a comprendere l’importanza della tematica. Tutelare un’infrastruttura dagli attacchi informatici con la serie di controlli analizzati con questa guida va benissimo, ma tutto potrebbe risultare inutile al cospetto di lavoratori che lasciano i computer incustoditi con le sessioni di lavoro aperte, le password sulla scrivania o di fronte a lavoratori all’oscuro dei rischi delle minacce inviate dai cyber criminali attraverso la posta elettronica. La messa in campo delle strategie tecniche di ultima generazione e, di personale sufficientemente preparato e aggiornato sul tema della sicurezza, è la sinergia giusta per allontanare i rischi di eventuali attacchi informatici e all’occorrenza per saper ripristinare le situazioni di partenza.
Center for Internet Security (CIS) (sito ufficiale)
Info sull'autore