5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale

Valutazione del rischio: 5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale

La “superficie di attacco” oggi è molto ampia, si pensi alla sola connettività a internet e alla rete degli uffici delle aziende, che apre le porta all’esterno facilitandoci nel lavoro ma rendendoci anche soggetti ad attacchi di vario tipo.

Nel caso di attacchi DoS per esempio le risorse online dell’azienda vengono rese non disponibili e bloccate a e le attività aziendali si interrompono, creando un forte danno economico. Oppure i furti dei  furto di documenti o di informazioni riservate dell’azienda tramite malware…

Per maggiori informazioni sui tupi di attacchi

Procediamo quindi nella autoanalisi per capire il livello di sicurezza della tua organizzazione:

5 quesiti per fare l’autoanalisi del livello di sicurezza aziendale


1. Stiamo utilizzando “cloud non autorizzati”

Dropbox, Google Drive, MediaFire, Egnyte. … ottimi strumenti per i privati, ma una minaccia per le aziende. Anche se la tua società non li supporta, è probabile che il team responsabile della sicurezza abbia riscontrato l’uso di uno o più di questi cloud privati all’interno di un’organizzazione. La sincronizzazione degli account e la condivisione di file privati non è supportata e quindi non protette dall’infrastruttura IT.

Questi atteggiamenti generano il diffuso fenomeno delle “shadow IT“, le zone d’ombra che sfuggono al controllo dell’amministrazione e che quindi possono esporre a rischi interi asset aziendali. Il 40% delle organizzazioni che ha avuto esperienze con cloud non autorizzati ha riscontrato l’esposizione di dati riservati. [Studio a cura di Symantec: Avoiding the Hidden Costs of the Cloud]

Si rivela quindi necessario valutare l’implementazione di servizi cloud sicuri e professionali dismettendo l’uso dei cloud non autorizzati.Scegliendo una soluzione di livello aziendale come Microsoft OneDrive for Business, i dipendenti possono salvare e condividere documenti e collaborare ai contenuti senza compromettere la sicurezza dei dati.

2. Le “minacce interne”

Ok, abbiamo disposto l’utilizzo di un sistema cloud professionale, efficiente e sicuro posto ad evitare “cloud non autorizzati”. Ma come gestiamo l’utilizzo dello stesso e dunque come questo viene usato dalle persone, quindi dai nostri collaboratori?

Le minacce interne sono generalmente ritenute le più complesse da cui difendersi. Se consideriamo poi, l’uso sempre maggiore di collaboratori occasionali, freelance e dipendenti temporanei in un’organizzazione, la capacità di difendersi da potenziali minacce interne è praticamente impossibile. È possibile però, perlomeno monitorare il lavoro dei nostri collaboratori evitando disfunzioni compromettenti la sicurezza.

Con le soluzioni integrate in Office 365 e quindi in SharePoint Online, Exchange Online e Microsoft Office, è possibile impostare le autorizzazioni di accesso ai file dei diversi autori. Gli amministratori ricevono notifiche ogni volta che vengono scambiate informazioni riservate e possono scegliere se revocare dati e accesso a determinati dipendenti. Così come possono esaminare i dati degli incidenti e generare report per individuare con precisione i casi in cui può essersi verificata una perdita delle informazioni.

Inoltre, le soluzioni di prevenzione della perdita dei dati sempre integrate in questi ultimi, consentono agli amministratori IT di prevenire problemi legati a minacce interne. Tutto questo è possibile senza estendere i budget per la conformità: con Office 365 la compliance è inclusa nel pacchetto!

3. Attivare una “task force” per la sicurezza informatica

Può sembrare assurdo: secondo il Financial Executives Research Foundation: The CFO’s Role in Cybersecurity – L’84% delle organizzazioni non ha in piedi una task force per la sicurezza informatica!

Questo perché non si è abituati a prevenire, ma a curare. Ai professionisti della sicurezza informatica viene insegnato a ragionare sul quando (e non se) può verificarsi una violazione. La pianificazione di una violazione significa creare una task force in tutta l’organizzazione che stabilisca le persone coinvolte nella comunicazione dell’attacco ai clienti (responsabile marketing), i responsabili della protezione di una rete (responsabili della sicurezza e delle tecnologie) e chi dovrà gestire le implicazioni legali delle informazioni violate (responsabili dei reparti legale, del servizio clienti e HR). Benché la creazione di una task force per la sicurezza informatica all’interno di un’organizzazione sia considerata una procedura consigliata, nella maggior parte delle aziende tale task force non esiste del tutto.

4. Sicurezza della politica BYOD

Le politiche BYOD permettono ai dipendenti di accedere ai file della società dai propri dispositivi h24. Tali politiche negli ultimi cinque anni hanno visto una vera e propria esplosione, considerando l’aumento dello smart working. Tuttavia, secondo un report del 2014 a cura di Check Point, oltre metà dei dirigenti IT ha segnalato che gli incidenti di sicurezza causati dall’approccio BYOD, generando rischi e costi non indifferenti. È dunque necessario supportare le politiche BYOD in modo da trarne vantaggi, senza compromettere la sicurezza, né tanto meno violare il budget.

I servizi di Office 365 sono stati pensati proprio per dotare le imprese di strumenti capaci di supportare l’agilità del lavoro senza perdite in sicurezza e compliance, comprendendo funzionalità Single Sign-On e per la gestione self-service delle password. Inoltre, Strumenti di gestione della mobilità come Microsoft Enterprise Mobility Suite (EMS) possono mantenere i dipendenti connessi alle app di cui hanno bisogno, senza compromettere la sicurezza. Oggi, è necessario proteggere e gestire i dispositivi mobili e gli smartphone usati al di fuori della rete aziendale, insieme ai dati che contengono. Ciò è possibile proprio con EMS, in un unico pacchetto. Quest’ultimo, fra le altre cose, consente di cancellare da remoto i dati dai dispositivi smarriti.

Inoltre, la gestione di dispositivi mobili per Office 365 può contribuire alla protezione dei dispositivi aziendali da qualsiasi posizione. Il tuo team IT può gestire i criteri per i dispositivi mobili ed eseguire una cancellazione selettiva dei dati di Office 365 se un dipendente lascia l’organizzazione, evitando ai reparti HR, IT e della sicurezza perdite di tempo e difficoltà.

5.  Budget destinato alla sicurezza

Bisogna dirlo: ancora non si percepisce la sicurezza informatica come necessaria e fondamentale. Questo perché non si ha avvertenza della gravità dei rischi che si corrono come utente e come azienda soprattutto. Difatti, soltanto negli ultimi dieci anni questi discorsi hanno iniziato ad interessare utenti di ogni livello. La disavvertenza di questo problema, si traduce in scarsi investimenti relativi alla voce “sicurezza”. Inoltre, il più delle volte questa viene percepita come una spesa e non come un’investimento atto a prevenire disfunzioni, perdite di risorse, sprechi; capace di dare una nuova spinta alla produttività stessa di ogni livello, garantendo forza e stabilità dei vari asset.

Detto ciò, c’è quindi da domandarsi se i budget destinati alla voce “sicurezza” sono ragionevoli e commisurati al raggiungimento di tale scopo.  Che si tratti di individuare professionisti capaci di supportare la gestione dell’area sicurezza o potenziare il budget IT, è necessario scoprire ciò di cui ha bisogno il proprio team e introdurre le modifiche necessarie perché possa lavorare al meglio.

In questi casi, è possibile chiedere consulenza ai fornitori IT per meglio comprendere quali sono gli strumenti che meglio si adattano al proprio business. Infoservice, anche in qualità di partner Microsoft, offre prima di tutto questo. Una consulenza altamente specializzata a costo zero! Questo perché essa è prima di tutto tesa al raggiungimento di obiettivi comuni come l’implementazione di strumenti e servizi informatici, atti a sostenere e semplificare il lavoro quotidiano, affrontando insieme la Digital Trasformation.

Regolamento GDPR: Nuova legge UE sulla privacy

GDPR: cosa di intende per Regolamento GDPR?

Nascita e definizione della legge

In pochi sanno che il GDPR General Data Protection – Regolamento GDPR UE 2016/679, la nuova legge in materia di protezione dei dati personali, è già attiva. Il regolamento, infatti, è stato già adottato il 27 Aprile 2016. Verrà applicato a partire dal 25 Maggio 2018. È questo un cambiamento importante, che interesserà profondamente aziende di ogni tipo e di ogni dimensione. Ogni organizzazione, all’interno del proprio ambito di riferimento, si trova a ricevere, scambiare, gestire e trattenere dati personali.

Cambiamenti generali e obiettivi del Regolamento GDPR

La nuova GDPR si impone alle aziende e sostituisce ormai la vecchia direttiva sulla protezione dei dati (Direttiva 995/46/EC) del 1995. Essa consta di 90 articoli. Essi specificano le nuove richieste per la gestione dei dati personali di cittadini UE e il rafforzo della relativa struttura organizzativa. Uno degli obiettivi della Commissione Europea è quello di semplificare ed unificare il contesto formativo in materia di trattamento dei dati personali, unificando i regolamenti entro l’UE e dall’UE.

Il GDPR affronta anche il tema dell’esportazione dei dati personali al fuori dell’UE. Inoltre, con il Regolamento GDPR l’Europa intende restituire ai cittadini il controllo dei propri dati personali. Dunque, in generale esso fornisce una nuova e ampia definizione dei dati personali. Imponendo processi specifici, tipi di comunicazione e caratteristiche tecnologiche che le aziende dovranno attuare per conformarsi.

Il GDPR include numerosi requisiti relativi a raccolta, archiviazione e uso delle informazioni personali, tra cui le modalità per:

  • Identificare e proteggere i dati personali nei sistemi
  • Soddisfare nuovi requisiti di trasparenza
  • Rilevare e segnalare violazioni dei dati personali
  • Formare personale e dipendenti che si occupano di privacy

Regolamento GDPR e aziende: come bisognerà regolarsi?

Le aziende che elaborano dati personali provenienti da oltre 5000 cittadini UE avranno una serie più ampia di requisiti da rispettare. Ad esempio la nomina obbligatoria di un responsabile della protezione dei dati (DPO).

In particolare, la sicurezza dei dati raccolti deve essere garantita dal titolare del trattamento e dal responsabile del trattamento. Entrambi sono chiamati a mettere in atto misure tecniche e organizzative idonee per garantire un livello di sicurezza adeguato al rischio. L’ambito d’intervento principale sarà quindi proprio quello informatico. I processi informatici utilizzati dovranno garantire un livello di protezione molto alto e dovranno essi stessi essere conformi alla legge.

Dopo la piena adozione ogni azienda dovrà quindi sollecitarsi ad adottare le misure più adeguate al raggiungimento degli obiettivi di conformità. A meno che non vorrà incorrere in pesanti sanzioni e procedimenti penali, anche questi rivisti dal nuovo regolamento, con conseguenti perdite in termini economici e di reputazione.

L’ammodernamento della legislazione in tema di privacy e quindi l’adempimento del GDPR non sarà di facile adozione ma sarà necessario.

Considerando i molti aspetti coinvolti dalla nuova legge europea, sarà utile iniziare a preparare il proprio ambiente e rivedere le procedure di gestione dei dati e della privacy. Senza rischiare di trovarsi impreparati alla sua entrata in vigore. Evitando inutili, affannose ed onerose corse contro il tempo.

Verso la conformità: passaggi fondamentali

Le aziende potranno iniziare ad utilizzare (o ad utilizzare meglio) i giusti strumenti e servizi informatici, ottimizzandone processi ed implementazioni. Per orientarsi nel percorso verso la conformità sarà utile concentrarsi su 4 passaggi fondamentali:

  1. Rilevamento (delle minacce; dell’uso accidentale/intenzionale improprio dei dati raccolti)
  2. Protezione a più livelli dei dati
  3. Gestione dei dati scambiati/raccolti/trattenuti
  4. Segnalazione 

Vi forniremo via via indicazioni utili in grado di accompagnarvi in questo processo di apprendimento. Infine, vogliamo segnalarvi, già da ora, che i prodotti e i servizi Cloud Microsoft (come Office 365 e relativi), così come WatchGuard dispongono già di pacchetti capaci di assicurare la conformità al GDPR. Questi sono concepiti proprio nell’ottica della responsabilità condivisa, in materia di protezione dei dati personali, con i partner e con i clienti.

Legge sullo Smart Working in Italia

Finalmente la legge sullo Smart Working in Italia


Legge sullo Smart Working in Italia

Le esigenze personali e professionali negli ultimi anni sono profondamente cambiate. La legge sullo Smart Working in Italia introduce tale norma così.” Occorre quindi non già fissare questi cambiamenti immaginando di codificarli in nuove norme, destinate ad essere sempre incapaci di comprendere una realtà dalle molte sfaccettature e in rapido divenire. Inoltre individuare strumenti duttili, utili ad accompagnare l’impiego delle tecnologie, in modo che esprimano tutti i vantaggi potenziali per i lavoratori e per le imprese. Si avvera, in questo modo, il superamento della rigida distinzione.”

La legge “promuove il lavoro agile quale modalità di esecuzione del rapporto di lavoro subordinato stabilita mediante accordo tra le parti”. Lo stipendio e il trattamento normativo del lavoratore agile fanno riferimento al contratto collettivo. Saranno gestite inoltre in maniera del tutto simile agli altri contratti.

Finalmente il lavoro autonomo e il lavoro agile godono di norme che lo promuovono e lo sostengono con la Legge sullo Smart Working in Italia!

Maggiori informazioni su Decreto Legge

Gestire al meglio lo Smart Working per aumentare la produttività nella tua organizzazione

Lo smart Working, il lavoro 4.0, oggi è una realtà che pratichiamo in maniera del tutto naturale. Anche noi di Infoservice ci affacciamo a questo nuovo modo di lavorare e collaborare. Sulla scia delle grandi aziende come Ferrovie dello Stato, Microsoft, Fastweb Già adesso sono più di 250mila, nel solo lavoro subordinato, i lavoratori che godono di discrezionalità nella definizione delle modalità di lavoro in termini di luogo, orario e strumenti utilizzati, e rappresentano circa il 7% del totale di impiegati, quadri e dirigenti.

La situazione è ormai chiara: “Dati alla mano, lo Smart Working aumenta la produttività dei dipendenti dal 15 al 20%, riduce drasticamente l’assenteismo e migliora il clima aziendale” (Gregorio Fogliani, presidente di Qui! Group).

Evidente che non possiamo pensare di tirarci indietro e come aziende dobbiamo apprendere le tecnologie a sostegno di questa realtà in rapido divenire, accompagnare l’impiego delle risorse. Lo smart working è un nuovo modo per organizzare il lavoro ed ogni organizzazione può studiare delle diverse modalità di attuazione. Flessibilità orari, libertà di lavorare da casa o da altri luoghi e soprattutto uso intelligente della tecnologia…

Nel farlo noi, lo proponiamo alle altre aziende nell’ottica di fare rete fra imprese fornendo sempre il meglio ai nostri partner e clienti! Per aumentare la produttività e la flessibilità della tua organizzazione, oggi ti offriamo uno strumento altrettanto flessibile nella sua acquisizione: Office365!

Non vediamo l’ora di condividere con voi una delle più importanti e attuali opportunità per aumentare e sostenere la produttività aziendale. Non aspettare ancora, contattaci subito!