ʺOgni impresa deve integrare gli standard di sicurezza informaticaʺ

I dati di un’azienda valgono oro. Ogni PMI deve organizzare una linea di condotta severa per preservare i propri dati confidenziali.

Lo scandalo a proposito degli ascolti illeciti dell'Agenzia Nazionale per la Sicurezza americana, la NSA, suscita agitazione ed un vasto dibattito sulla confidenzialità dei dati nel mondo intero. Le imprese non sono risparmiate, anzi: si trovano spesso sotto tiro, subendo attacchi ai propri sistemi numerici. Il punto sulla questione con Bernhard Plattner, professore specializzato in sicurezza informatica all'ETH di Zurigo.

Di quali mezzi dispongono le PMI svizzere per gestire la sicurezza dei loro sistemi informatici?

Bernhard Plattner: Numerose piccole imprese non sono abbastanza esperte in materia e devono utilizzare delle risorse esterne per organizzarsi in maniera ottimale. Possono ad esempio rivolgersi a consulenti specializzati e farsi consigliare. L'opzione dell'outsourcing necessita però di avere una fiducia estrema nella società incaricata della gestione del sistema informatico. Quando il sistema di sicurezza dei dati è operativo, le società devono effettuare dei test per assicurarsi che ciò che è stato realizzato sia sufficiente. Le difese della PMI vengono così controllate. Questa ultima procedura implica però un certo costo per un'impresa.

Qual è il suo primo consiglio per rinforzare la sicurezza informatica di una PMI?

Plattner: Bisogna veramente controllare bene che le pratiche convenzionali nel campo - gli standard - siano ben realizzate. Ad esempio, dei firewall devono essere installati per proteggere la società da un accesso non autorizzato in provenienza dall'esterno. Inseguito bisogna pensare a preoccuparsi dei malware (per ʺmalicious hardwareʺ, dei software mal intenzionati che attaccano i dati). In questo campo esistono dei componenti informatici da installare che sono destinati a controllare il traffico dei dati che entrano ed escono dalla PMI e che possono identificare la presenza di un malware. L'istallazione di un software antivirus permette anche di filtrare i programmi nemici. Infine, il filtro spam deve essere attivo in modo continuato, dato che permette di bloccare una buona parte delle e-mail non desiderate.

Cosa cercano maggiormente di proteggere le PMI?

Plattner: La propria confidenzialità. L'impresa deve assolutamente impedire ai dati sensibili e propri alla sua attività ed ai suoi prodotti di sfuggire al suo controllo. Esistono sistemi (data loss protection) che aiutano a proteggersi dai ladri di informazioni.

Quali domande deve porsi un dirigente di PMI in termini di sicurezza informatica?

Plattner: Il CEO deve avere un'idea chiara di ciò che è critico per la continuità nell' andamento degli affari. Se non l'ha definito con precisione, è necessario che si prenda il tempo di fare questa riflessione. Inseguito deve determinare con attenzione qual è l'informazione essenziale che desidera proteggere con priorità. Può trattarsi di dati sui prodotti o sui collaboratori. Un attacco nemico ha ad esempio il potenziale di impedire il funzionamento di un servizio: se un sito di commercio online viene messo fuori servizio, non potrà vendere niente. Questa situazione causerà delle perdite finanziarie.

Cosa raccomanda in materia di salvaguardia dei dati?

Plattner: L'impresa deve disporre di una strategia di backup. Tutte le informazioni essenziali devono essere conservate su due siti, una volta localmente ed una volta al di fuori della società. Il dipendente non soltanto salva il proprio lavoro sulla sua postazione informatica, ma le informazioni del suo computer sono ugualmente salvate su di un server in maniera regolare.

Formalmente, come si abborda il tema della sicurezza in seno ad una PMI?

Plattner: Bisogna editare una politica della sicurezza che menzioni ciò  che è autorizzato e ciò che non lo è nell'ambito del lavoro. È inoltre necessario definire gli accessi dei diversi collaboratori. Nella pratica, le regole dettate sono chiaramente comunicate agli utenti, che comprendono così come la sicurezza informatica viene gestita in seno alla loro impresa. Si tratta di realizzare un lavoro di educazione e di sensibilizzazione presso i dipendenti.

Scegliere una buona password è un altro esercizio difficile...

Plattner: In effetti. Siccome la sua funzione è molto importante, deve essere scelta con grande attenzione. E certamente è necessario creare una password diversa per ogni account utente. Riutilizzarne una uguale per diversi sistemi è un errore perché se uno di questi è compromesso, tutti gli altri lo sono immediatamente. Molte password sono facili da scoprire perché non sono molto evolute, spesso collegate con il nome del detentore o di elementi vicini alla sua vita. Il miglior modo di sceglierla è quello di utilizzare un programma che ne selezioni una casuale. Parallelamente esistono dei software per conservare le password dei dipendenti in maniera criptata.

Cosa raccomanda per inviare una e-mail?

Plattner: Il modo più sicuro resta di criptarle. Tecnicamente è possibile, ma in pratica è laborioso e molto complesso da realizzare. In effetti il destinatario non può decriptare l'e-mail senza essere in possesso delle istruzioni di come sia stata codificata e delle chiavi criptografiche necessarie.


Informazione

Biografia

Ritratto di Bernhard Plattner, professore specializzato in sicurezza informatica all'ETH di Zurigo.

Bernhard Plattner lavora come professore in ʺcomputer engineeringʺ al Politecnico Federale di Zurigo (ETH Zürich). Vi dirige il gruppo sistemi di comunicazione. Durante la sua carriera ha partecipato a numerosi progetti nazionali ed internazionali di ricerca legati alle reti informatiche. Tra la sue aree di predilezione si è in particolare interessato alla sicurezza dell’informazione e delle reti di comunicazione mobile. Bernhard Plattner ha diretto la facoltà di elettricità all’ETH Zürich dal 1996 al 1998 ed è stato vice rettore del medesimo istituto dal 2005 al 2007. È membro dell’ISSS (Information Security Society Switzerland).

Ultima modifica 07.09.2015

Inizio pagina

https://www.kmu.admin.ch/content/kmu/it/home/attualita/interviste/2013/impresa-integrare-standard-sicurezza-informatica.html