Il perimetro di cybersicurezza delle PMI e la metafora del castello

Il perimetro di cybersicurezza delle PMI e la metafora del castello

 In Cybersecurity, PMI & IT, Posizione 1
0

L’impianto di sicurezza informatica per un’azienda si può rappresentare come il sistema di fortificazioni di un castello medievale che, attraverso elementi difensivi concentrici, garantisce la protezione delle infrastrutture IT e, soprattutto, dei dati aziendali. Il patrimonio informativo dell’azienda, custodito in archivi sempre meno cartacei e sempre più informatici, rappresenta un tesoro fondamentale per la sopravvivenza, la prosperità e la continuità stessa dell’azienda.

 

Fossato con ponte levatoio, portone blindato e parola d’ordine

La prima linea di protezione del castello, è rappresentata dal firewalling: l’insieme di protezioni offerte dai moderni apparati firewall che garantiscono, oltre alla separazione della rete interna da internet, anche funzionalità centralizzate di antivirus, filtro anti-spam, filtro sui contenuti (es. black list di siti non navigabili) ed intrusion detection and prevenction.

 

La cinta muraria esterna

La prima cinta di mura è identificabile con la corretta e puntuale gestione degli assetti IT aziendali quali server, NAS (network attached storage) pdl (postazioni di lavoro informatiche), smartphone, apparati di rete, sistemi di virtualizzazione, software applicativi (es. gestionali, CRM) ecc. Tutti i prodotti dovrebbero essere censiti, dotati di regolare licenza e sempre aggiornati alle versioni più recenti dei firmware, dei SO (sistemi operativi) e di tutto il software applicativo in genere. Inoltre sarebbe utile dotare tutti gli apparati in grado di connettersi alla rete aziendale (pc, notebook, smartphone, ecc.) di uno specifico endpoint antivirus.

 

Le mura turrite

La seconda cinta muraria è composta dall’insieme delle procedure operative e tecnologiche in grado di regolamentare e proteggere sia l’accesso ai dati, sia l’utilizzo di dispositivi e reti aziendali. Questa muraglia è rinforzata da torri fortificate che assicurano maggiore tenuta (resilienza):

  • privacy policies, procedure, regolamenti interni e piani di aggiornamento e di testing delle misure di sicurezza;
  • access management -> gestione dei privilegi di accesso ai sistemi informativi e ai dati in essi contenuti per i singoli utenti;
  • password management -> definizione di regole per la gestione delle password di accesso ai sistemi, della loro scadenza e della complessità minima richiesta;
  • cifratura di dati e di interi archivi;
  • sistemi di monitoraggio e registrazione degli accessi.

 

La ci