L’infrastruttura informatica si è evoluta da sistemi centralizzati con linee di comunicazione dedicate a sistemi distribuiti con reti condivise ed endpoint intelligenti, creando nuove vulnerabilità attraverso l’esposizione a Internet.
Molte organizzazioni affrontano la sicurezza in modo insufficiente, limitandosi a installare un antivirus, riflettendo una più ampia “mancanza di cultura della sicurezza”. La sicurezza informatica è una cosa astratta e nella realtà non esiste al 100%, tuttavia l’implementazione di sistemi di protezione rimane essenziale per minimizzare il rischio.
I tre obiettivi fondamentali della sicurezza:
- Disponibilità delle informazioni: accessibilità quando necessario
- Integrità delle informazioni: protezione da alterazioni non autorizzate
- Riservatezza delle informazioni: accesso limitato agli utenti autorizzati
Per fronteggiare la non disponibilità si raccomandano sistemi di backup, ridondanza hardware, firewall, gruppi di continuità (UPS) e controlli di accesso fisico.
Per quanto riguarda l’integrità, occorre prestare attenzione alla perdita di coerenza dei dati nei database relazionali.
Per la riservatezza, l’articolo sottolinea l’importanza di password complesse (minimo 8-10 caratteri, alfanumeriche con caratteri speciali), mai scritte su carta né condivise con il personale di manutenzione.
Terminologia della gestione del rischio:
- Asset: ciò che richiede protezione
- Obiettivi di sicurezza
- Minacce (threats)
- Vulnerabilità del sistema
- Valutazione dell’impatto
Raccomandazioni pratiche di sicurezza:
- Aggiornamento continuo dell’antivirus
- Backup periodici
- Aggiornamento del sistema operativo con le patch di sicurezza
- Gestione oculata del software
- Attenzione agli allegati email
- Impostazioni di sicurezza del browser
Il phishing è citato come esempio concreto di rischio: email fraudolente che dirigono gli utenti verso siti web falsi per rubare le credenziali.