Menu

Data Security: 6 aspetti da considerare nel 2020

I Consigli di Amministrazione sono chiamati ad assumere un ruolo attivo nella gestione della cyber security assicurandosi che le proprie aziende dispongano di un adeguato piano di sicurezza informatica e garantendo la compliance al regolamento europeo in materia di privacy. Quali procedure possono essere messe in atto per muoversi nella giusta direzione?

FARE FORMAZIONE

Comprendere quali sono i potenziali rischi è fondamentale per qualunque tipo di decisione si debba prendere a livello di board, indipendentemente dall’oggetto della decisione. Affidate al vostro CIO o, se presente, al CSO la formazione dei board member circa le misure aziendali in materia di sicurezza informatica. Questo è essenziale per i board member che non possiedono un background tecnologico, ma è positivo anche per gli altri in modo che siano aggiornati sulle più recenti tipologie di minacce. La formazione in materia di cyber security dovrebbe essere parte integrante del processo di onboarding di ogni nuovo amministratore e includere le best practices per i board member, come ad esempio non usare le email personali per le comunicazioni del CDA, .

RIVALUTARE LE ATTUALI SOLUZIONI SOFTWARE PER LA SICUREZZA

Nel gergo IT con il termine “tech stack” ci si riferisce all’insieme di tool adottati dal dipartimento IT in materia di cyber security. Chiedete al vostro team di riesaminare il tech stack della vostra azienda e il budget allocato per la cyber security, in modo da essere sicuri di avere gli strumenti più all’avanguardia per proteggere i vostri dati sensibili. DiliTrust Exec, per esempio, adotta molte misure di sicurezza per proteggere i dati – sia memorizzati che in fase di trasmissione – inclusa la certificazione ISO/IEC 27001:2013, che assicura che vengano seguite le best pratices per la sicurezza dei dati.

Nel caso di dipartimenti IT più piccoli, potrebbero non esserci sufficienti risorse per implementare le adeguate misure di sicurezza informatica. In questi casi spetta al management rendere disponibili le risorse necessarie e redigere un piano strategico di cyber security, piuttosto che implementare velocemente una soluzione solo per averne una.

VERIFICARE LA SOVRANITà DIGITALE DEI DATI

La sovranità dei dati si riferisce alla prassi di conservare la maggior parte dei dati della propria azienda nel paese in cui è basata l’azienda. Questo è importante in quanto tecnicamente, una volta che i dati oltrepassano un confine, sono soggetti alla legislazione del paese in cui sono conservati.

Realisticamente, non è possibile avere una sovranità dei dati completa al 100%. Le email ad esempio possono essere indirizzate verso città fuori dal proprio paese e non si può fare altrimenti. Tuttavia, si possono adottare soluzione come DiliTrust Exec: le informazioni sensibili dell’azienda vengono condivise esclusivamente all’interno della piattaforma, e non attraverso le email.

STABILIRE DEI KPI

La soluzione software adottata dal dipartimento IT dovrebbe prevedere un sistema di reporting sul grado di rischio informatico e su come vengono gestite le minacce. Elaborate insieme al vostro team IT un report di alto livello da condividere regolarmente con il CDA e assicuratevi che ogni board member sappia come interpretarlo.: livello di preparazione, tentativi di intrusione e rating di sicurezza sono alcuni esempi di KPI da includere nel report

ISTITUIRE UNA COMMISSIONE PER LA CYBERSECURITY

Considerate la possibilità di istituire una commissione per la cyber security che riporti direttamente al CDA. La commissione dovrebbe essere composta da amministratori, membri del management e di altri team che possano tenere aggiornato il board circa i rischi informatici e la situazione corrente dell’azienda.

ABBANDONDARE LA MENTALITà DEL ‘Può SUCCEDERE’

I numeri sulla sicurezza Ict contenuti nella più recente edizione del Rapporto Clusit 2019 – redatto dall’Associazione italiana per la sicurezza informatica – mostrano un trend di crescita degli attacchi, della loro gravità e dei danni conseguenti mai registrato in precedenza: ogni azienda è potenzialmente un target.