Rischi informatici

Immagine di una scarpa che sta per calpestare una buccia di bananaIl piano di sicurezza

L''informatica presenta molti rischi. Purtroppo non è possibile eliminarli tutti: occorre concentrare i propri sforzi sui rischi maggiori facendo un piano di sicurezza. Il piano di sicurezza altro non è che un ragionamento per capire come difendersi efficacemente dai pericoli senza sprecare tempo e denaro. Per fare il piano di sicurezza basta rispondere in modo chiaro e completo ad alcune domande.

1) Cosa è importante per l'azienda?

Il primo passo per proteggere qualcosa dai pericoli è decidere che cosa proteggere. Applicare un alto livello di protezione sull'intera azienda è molto costoso, quindi vanno stabilite delle priorità. Inoltre aziende diverse vanno protette in modo diverso: ciascuna vorrà proteggere maggiormente alcune cose (per esempio impianti, comunicazioni, soldi o reputazione) a scapito di altre. Questa fase va svolta dal titolare o dai suoi diretti collaboratori.

2) Come lo fa?

Una volta capito quali cose sono importanti per una azienda, occorre capire quanto quelle cose dipendono dall'informatica. Per informatica si intendono i dati e i computer, ma anche i fornitori e il personale tecnico. Queste cose andranno elencate con cura, associando a ciascuna l'importanza che hanno per l'azienda e chi ne sono i responsabili. Questa fase va svolta dal responsabile informatico.

3) Da cosa è minacciata?

Il campo di lavoro e il modo di lavorare di una azienda la espongono a certe minacce piuttosto che ad altre. Per esempio una banca è minacciata soprattutto da tentativi di furto; una fabbrica da incidenti sul lavoro; uno studio di progettazione dallo spionaggio; e così via. Le minacce vanno elencate indicando anche quanto sono probabili. Questa fase e le successive andrebbero svolte da un professionista, o almeno con l'aiuto di strumenti preparati da un professionista (per esempio il foglio di calcolo Vera).

4) Quali sono i rischi?

Una volta raccolte tutte le informazioni precedenti si decide che risorse informatiche proteggere e in che misura. Più qualcosa è importante e più è soggetto a minacce, più va protetto investendo in sicurezza. Meno qualcosa è importante o meno è minacciato, meno basterà investire in sicurezza.

5) Come proteggersi?

Ciascun tipo di rischio si può ridurre grazie a difese ben precise. Per esempio, il rischio di infezioni da virus si può ridurre (fra l'altro) grazie ad antivirus e formazione del personale; il rischio di spionaggio grazie alla crittografia e al controllo degli accessi; e così via. Fortunatamente qualcuno ha già preparato gli elenchi di difese per ciascun rischio. In questa fase si fa l'elenco delle difese necessarie e si controlla quali sono già presenti.

6) Cosa faccio in pratica?

Le difese elencate nel punto precedente vanno infine applicate con l'aiuto del proprio tecnico informatico (nel caso di difese tecniche) e dalla dirigenza (nel caso di regolamenti). Sarebbe anche consigliabile che qualcun altro verificasse che le difese funzionino. A questo punto il piano di sicurezza è stato messo in campo: l'azienda è sufficientemente protetta dai maggiori rischi. Quando verrà attaccata, è molto probabile che respinga gli attacchi, o almeno che riduca i danni in modo accettabile.

7) Ho finito?

Sia l'azienda che l'informatica cambiano. Almeno una volta all'anno e in caso di grossi cambiamenti in azienda occorre verificare che il piano di sicurezza sia ancora valido.