Nota: Se stai leggendo questo messaggio è perchè non vedi i nostri file css, oppure perchè non hai un browser "standards-compliant browser". Leggi l'aiuto.

TechTarget Italy & 01net Network SearchCIO.it SearchNetworking.it SearchSecurity.it 01net 01netCIO 01netPMI 01netTRADE 01netNETS iTechStudio Digifocus Applicando CIO Club ProntoImprese IlSoftware
TechTarget Italia SearchCIO.it SearchNetworking.it
Cerca
in
Sette consigli per migliorare la protezione dei dati aziendali
Strategia It per la sicurezza
Sette consigli per migliorare la protezione dei dati aziendali
Il furto delle informazioni, sensibili o strategiche, è ormai una realtà con cui si deve convivere e che quindi bisogna saper fronteggiare. Vi proponiamo perciò un breve prontuario utile a mettere in atto un’efficace policy di protezione. Con l’approvazione di tutto il personale.
Mark Egan*
08 Maggio 2009

La protezione dei dati aziendali richiede un programma globale che comprenda persone, processi e tecnologia. Troppo spesso l'accento è posto solo sulla tecnologia quando tutti i dipendenti di un'impresa devono svolgere un proprio ruolo, come seguire precise linee guida per la definizione delle password, affinché il programma sia efficace.

Qui di seguito vi proponiamo alcuni esempi di best practice volte a favorire e semplificare l'adesione a una policy di protezione dei dati:

  • Attuare un programma di classificazione dei dati che si focalizzi sulle informazioni inerenti i clienti, gli aspetti finanziari e la proprietà intellettuale e che preveda che siano designati con precisione i “custodi” di tali informazioni. Le categorie per il data protection dovrebbero includere un uso interno riservato e uno pubblico ed è importante vengano predisposti opportuni controlli volti a proteggere tali dati. Per esempio, le informazioni pubbliche dovrebbero essere riviste in modo di garantire che le informazioni sensibili, come le pianificazioni sui prodotti futuri, non possano essere disponibili al di fuori della società.
  • Sviluppare un'architettura dati aziendale e gestite il flusso di informazioni critiche all'interno di tutta l'organizzazione. I dati relativi alle carte di credito sono un esempio di informazioni che dovrete gestire e che vi obbligheranno ad assicurare che siano attivi i controlli per la protezione dei dati. Gli standard di sicurezza Payment Card Industry (PCI) sono davvero ben documentati ed evidenziano chiaramente ciò che un'organizzazione deve fare per garantire la protezione di questo tipo di informazioni.
  • Crittografare le informazioni critiche, come appunto i numeri di carta di credito, all'interno di tutto il vostro ambiente. Se gestite i dati inerenti le carte di credito, avete bisogno di codificare le informazioni, al fine di conformarvi con gli standard di sicurezza PCI.
  • Attuare policy per la protezione dei dati aziendali, come password, crittografia, l'autenticazione a due fattori e il telerilevamento per la cancellazione a distanza dei dati sui terminali.
  • Usare con accortezza le nuove tecnologie, incluso il cloud computing o la virtualizzazione, in quanto impiegano meccanismi per la protezione di sicurezza, come l'autenticazione e la protezione dei dati, che non sono ancora pienamente maturi Quando dovete accedere a questi sistemi raccomandiamo di utilizzare un'autentificazione a due fattori e di avere sempre criptate quelle informazioni riservate che potrebbero condurre all'identificazione di una persona. Un discorso analogo dovrebbe valere anche nel caso decideste di avventurarvi nel cloud.
  • Proteggere i terminali come i personal digital assistant, i computer portatili, gli smartphone e anche le chiavette di memoria che sono usati per memorizzare informazioni critiche. Mettere in atto programmi di protezione dei dati aziendali specifici per la perdita o l'eventuale furto di tali dispositivi, perché oggi sempre più spesso sono usati per memorizzare informazioni su clienti, futuri prodotti e anche di natura finanziaria. Le dimensioni molto contenute facilitano la perdita o il furto, perciò conviene essere proattivi e criptare i dati. Inoltre, se possibile, imporre l'uso di password e sfruttare la possibilità di disabilitare questi dispositivi a distanza.
  • Integrare nel ciclo di sviluppo del software alcuni processi di controllo, come l'analisi dell'architettura di sicurezza, ed effettuare attente revisioni del codice al fine di individuare i più comuni errori di codifica, come per esempio quelli che possono portare al buffer overflow. È molto più semplice affrontare le questioni di sicurezza del software durante il processo di sviluppo e un'analisi architetturale consente di eliminare molti problemi prima del deployment. L'uso di programmi di controllo del codice, che funzionano in modo simile a quelli per il controllo ortografico, è molto utile per individuare comuni problemi di codifica, come il citato buffer overflow. Infine, sono disponibili tool di analisi del codice per verificare l'effettivo funzionamento del software prima che sia effettuato il deployment.

Le minacce alla sicurezza sono ormai una realtà con cui ci si deve scontrare quotidianamente e i programmi olistici sono essenziali per proteggere i dati critici di un'organizzazione.

È importante sviluppare una roadmap dei miglioramenti che gradualmente potete apportare alla vostra policy di protezione dei dati aziendali con regolari aggiornamenti volti a fronteggiare le nuove minacce alla sicurezza.

*Managing partner di StrataFusion Group. E' stato prima CIO di Symantec.

Il Sole 24 ORE S.p.A.

Sede Legale in Milano, Via Monte Rosa, 91 - Sede Operativa: Via Carlo Pisacane, 1 - Pero (MI)

Partita Iva - Codice Fiscale 00777910159 - Dati societari