Nello scrivere questo articolo sulla sicurezza dei dati aziendali, vorrei partire da una certezza: i dati aziendali sono insicuri.
I dati nascono in chiaro e per definizione sono intelligibili. Inoltre, tutti sappiamo che oggi senza dati non si lavora. Le aziende e le pubbliche organizzazioni rischiano di chiudere.
Quindi, come assicuriamo la messa in sicurezza dei dati aziendali?
La difesa dei dati e la loro messa in sicurezza non possono basarsi su una sola azione, ma devono abbracciare un cumulo di iniziative: sono tante, e sempre più, come ho cercato di spiegare più volte. Il fatto che siano molteplici non ci impedisce però di ricondurle a due filoni “padri”:
- Alzare l’asticella della sicurezza
- Avere un piano B
Questi due rami tengono conto di una una logica sportiva: il doping è sempre più avanti rispetto all’antidoping. Ci sono hacker che stanno inventando qualcosa per metterci in difficoltà domani e rubarci dei dati; l’intelligenza artificiale gioca per ora a favore dei pirati, perché permette loro la generazione di minacce in modo facile ed intuitivo.
Il piano A: alziamo la sicurezza dei dati informatici aziendali
Se riprendiamo i filoni padre, ecco che dobbiamo lavorare sui due piani. Per alzare l’asticella della sicurezza dei dati aziendali, dobbiamo sempre partire da un’analisi dell’attuale situazione. C’è chi ha iniziato da tempo e chi è ancora al palo.
Le azioni sono molteplici e si possono riassumere per priorità odierne, dando per scontato di avere fatto poco fino ad ora: considero che il cliente sia in Business Continuity, abbia i backup a posto, e così via.
Quindi bisogna:
- Acquisire un servizio SOC Security Operations Service che monitori i nostri sistemi, siano essi on-premise (a casa nostra) o in cloud
- Installare e configurare un PAM per “mettere in cassaforte” le password degli amministratori di sistema
- Richiedere un servizio di Penetration Test continuativo totale sull’ambiente, limitato all’Active Directory, specifico su applicazioni (questo servizio una tantum serve a poco, perché la prossima notte avranno già inventato nuove minacce)
- Smart working in sicurezza – no client VPN!
- DDI Dns, Dhcp e IPAM gestiti centralmente
- Servizio WAF sulle applicazioni esposte
- Servizio di cifratura dei dati “critici”
- Protezione dei dati nei “container”
Piano B: la protezione imprescindibile dei dati aziendali
Il piano B invece comporta alcune azioni imprescindibili per la sicurezza dei dati aziendali, che sono parte del buon senso dell’attività imprenditoriale:
- Disaster Recovery: piano di Dr e relative prove annuali
- Archiviazione dei dati: non ha senso continuare a tenere in produzione dati freddi e non utilizzati. Meglio semplificare e togliere dal corso del lavoro tutto ciò che non è di uso corrente
- Copia off-site dei dati di backup secondo la regola 3-2-1-1-0, che significa:
- 3 copie di backup
- 2 media diversi (esempio disco SATA e disco S3)
- 1 copia off-site
- 1 copia immutabile
- 0 errori
Ecco che così possiamo avvicinarci alla sicurezza dei nostri dati, sapendo che fra 6 mesi sarà da rivedere il tutto.
Ho già scritto e mi ripeto per gli imprenditori: dobbiamo ricordarci che di fronte al doping che corre, anche il nostro antidoping si deve muovere.
Come ho scritto nella nuova versione del mio libro disponibile on line – edizione 2023-2024, dobbiamo pensare che, se Internet ha razionalizzato e incrementato il nostro business, lo ha anche complicato ed ha generato dei costi che dobbiamo, senza sconti, sostenere.
I dati sono il nostro patrimonio.
Giuseppe Mazzoli
Amministratore Unico di 3CiME Technology
