La protezione dei dati aziendali richiede un programma globale che comprenda persone, processi e tecnologia. Troppo spesso l’accento è posto solo sulla tecnologia quando tutti i dipendenti di un’impresa devono svolgere un proprio ruolo, come seguire precise linee guida per la definizione delle password, affinché il programma sia efficace.
Qui di seguito vi proponiamo alcuni esempi di best practice volte a favorire e semplificare l’adesione a una policy di protezione dei dati:
- Attuare un programma di classificazione dei dati che si focalizzi sulle informazioni inerenti i clienti, gli aspetti finanziari e la proprietà intellettuale e che preveda che siano designati con precisione i “custodi” di tali informazioni. Le categorie per il data protection dovrebbero includere un uso interno riservato e uno pubblico ed è importante vengano predisposti opportuni controlli volti a proteggere tali dati. Per esempio, le informazioni pubbliche dovrebbero essere riviste in modo di garantire che le informazioni sensibili, come le pianificazioni sui prodotti futuri, non possano essere disponibili al di fuori della società.
- Sviluppare un’architettura dati aziendale e gestite il flusso di informazioni critiche all’interno di tutta l’organizzazione. I dati relativi alle carte di credito sono un esempio di informazioni che dovrete gestire e che vi obbligheranno ad assicurare che siano attivi i controlli per la protezione dei dati. Gli standard di sicurezza Payment Card Industry (PCI) sono davvero ben documentati ed evidenziano chiaramente ciò che un’organizzazione deve fare per garantire la protezione di questo tipo di informazioni.
- Crittografare le informazioni critiche, come appunto i numeri di carta di credito, all’interno di tutto il vostro ambiente. Se gestite i dati inerenti le carte di credito, avete bisogno di codificare le informazioni, al fine di conformarvi con gli standard di sicurezza PCI.
- Attuare policy per la protezione dei dati aziendali, come password, crittografia, l’autenticazione a due fattori e il telerilevamento per la cancellazione a distanza dei dati sui terminali.
- Proteggere i terminali come notebook, tablet, smartphone. Mettere in atto programmi di protezione dei dati aziendali specifici per la perdita o l’eventuale furto di tali dispositivi, perché oggi sempre più spesso sono usati per memorizzare informazioni su clienti, futuri prodotti e anche di natura finanziaria. Le dimensioni molto contenute facilitano la perdita o il furto, perciò conviene essere proattivi e criptare i dati. Inoltre, se possibile, imporre l’uso di password e sfruttare la possibilità di disabilitare questi dispositivi a distanza.
- Integrare nel ciclo di sviluppo del software alcuni processi di controllo, come l’analisi dell’architettura di sicurezza, ed effettuare attente revisioni del codice al fine di individuare i più comuni errori di codifica, come per esempio quelli che possono portare al buffer overflow. È molto più semplice affrontare le questioni di sicurezza del software durante il processo di sviluppo e un’analisi architetturale consente di eliminare molti problemi prima del deployment. L’uso di programmi di controllo del codice, che funzionano in modo simile a quelli per il controllo ortografico, è molto utile per individuare comuni problemi di codifica, come il citato buffer overflow. Infine, sono disponibili tool di analisi del codice per verificare l’effettivo funzionamento del software prima che sia effettuato il deployment.
Le minacce alla sicurezza sono ormai una realtà con cui ci si deve scontrare quotidianamente e i programmi olistici sono essenziali per proteggere i dati critici di un’organizzazione.
È importante sviluppare una roadmap dei miglioramenti che gradualmente potete apportare alla vostra policy di protezione dei dati aziendali con regolari aggiornamenti volti a fronteggiare le nuove minacce alla sicurezza.