Sicurezza informatica: quanto vale il tuo Studio?

La sicurezza informatica è un requisito fondamentale del tuo Studio. Senza di essa non sei in grado di offrire ai tuoi clienti un servizio ottimale. Il tuo lavoro può essere in pericolo. Ma puoi tutelarti al meglio lavorando sulla conoscenza e sulla prevenzione dei rischi. In questo post ti spiego come.

sicurezza informatica

Prima di iniziare, vorrei fare una premessa. Occuparsi di sicurezza informatica significa proteggere i dispositivi e i dati informatici. Vuol dire proteggere il sistema informatico da furti, compromissioni e cancellazioni come tutela del patrimonio digitale.

Non sarò io a trattare questi argomenti. A ognuno il suo mestiere. È per questo che ti presento il nostro esperto, Daniele Benetti di Ithesia Sistemi. Daniele ci spiegherà in questo post il suo approccio e le metodologie usate per eseguire un checkup sulla sicurezza informatica.


Daniele Benetti: il checkup della sicurezza informatica nelle aziende


Daniele BenettiDaniele Benetti si occupa di sicurezza informatica e delle reti. Laureato in ‘Sicurezza dei sistemi e delle reti informatiche’, è il responsabile tecnico presso Ithesia Sistemi, nostra partner per i progetti di infrastruttura e IT-Security. Ithesia collabora con Datasette per garantire ai clienti i migliori standard di sicurezza informatica.

Le aziende lo sanno bene: quando non riescono a svolgere il proprio lavoro, il mancato ricavo si trasforma in una perdita. L’applicazione dei principi di sicurezza informatica sui dispositivi aziendali previene il rischio di un blocco operativo e assicura la continuità del proprio lavoro.

Per questo è consigliabile programmare un checkup della sicurezza informatica. Disporre di un controllo periodico sul livello della protezione dei dati aziendali è un investimento che ti tutela dai rischi.

Qui di seguito i punti che sono oggetto di verifiche. Nello specifico, in questo post troverai consigli e buone pratiche per:

Utilizzare i computer in sicurezza

La sicurezza informatica si realizza con tecnologie, con regole e con prevenzione. L’indisponibilità dei dispositivi informatici e dei dati in essi contenuti, spesso si riconduce a una perdita di risorse e di denaro.

sicurezza informatica atc-service1

Per utilizzare i computer in totale sicurezza i passi da seguire sono:

  • accedere al sistema operativo con credenziali di accesso distinte per ogni utente: laccesso ai dati deve essere sempre regolamentato. Gli utilizzatori devono essere autorizzati all’accesso e identificati in modo univoco. Ogni operatore deve accedere ai dati con il nome utente e una componente segreta, la password,  conosciuta solo dall’operatore;
  • adottare password complesse: la password potrebbe essere individuata, se troppo semplice. Utilizzare il proprio nome, la propria data di nascita, una semplice parola del dizionario sono una vera manna per chi tenta di accedere al sistema. Con delle tecniche basate su dizionari o di brute force (tentativi di risalire alla password tentando tutte le combinazioni possibili), è molto semplice e veloce compromettere il sistema. Per rendere queste tecniche inefficaci, utilizza password lunghe e complesse, composte da numeri, lettere maiuscole e minuscole;
  • salvare i dati aziendali sul server di rete: il server di rete è il punto di gestione dei dati di una rete informatica. E’ il computer più importante ed è quello che è più oggetto di cure appropriate allo scopo di preservarne il funzionamento e i dati in esso contenuti. Salvo rari casi ed esigenze, tutti i dati dovrebbero essere memorizzati solo sul server. I dati così salvati vengono archiviati e condivisi con logiche di sicurezza definite dall’amministratore di sistema.

Prevenire gli attacchi informatici

sicurezza informatica atc-service2

La protezione dagli attacchi informatici si ottiene lavorando su più livelli:

  • avere software antivirus su tutti i pc e i server: gli antivirus sono strumenti indispensabili per la sicurezza informatica. La perdita di dati e l’indisponibilità dei dispositivi informatici sono causate, in prevalenza, da virus, spyware, e programmi malevoli. Tutti i dispositivi informatici di una rete, se possibile, dovrebbero essere dotati una soluzione antivirus;
  • antivirus attivo e aggiornato su tutti i pc e server: esistono varie tipologie di software antivirus, sia gratuite che a pagamento. Le soluzioni a pagamento sono più complete rispetto alle versioni gratuite. Ma attenzione. Se si smette di pagare l’abbonamento il software non si aggiorna più e diventa inefficace;
  • presenza firewall di rete: il firewall è un dispositivo in grado di rilevare e intercettare i dati malevoli, proteggendo a livello perimetrale tutti i dispositivi della rete informatica. È indispensabile per il controllo del traffico da e verso internet;
  • firewall di rete con gestione unificata delle minacce (UTM): anche il firewall, come l’antivirus, integra servizi di sicurezza aggiuntivi a pagamento. I servizi possono variare dall’Intrusion Prevention System (sistema di prevenzione delle intrusioni detto IPS), al controllo delle pagine Web visitate (URL filtering) fino al controllo antivirus.

Controllare il backup dei dati aziendali

backupdati sicurezza informatica

Il backup è la tecnologia e la procedura utilizzata per effettuare le copie di salvataggio dei dati informatici. La soluzione di backup presuppone tre fasi:

  1. l’individuazione dell’origine dei dati: di solito sono il server di rete, i personal computer e gli altri dispositivi informatici. Si predispone l’elenco di tutti i dispositivi dove sono memorizzati i tuoi dati;
  2. la scelta del dispositivo di salvataggio: si individua il supporto dove verranno salvate le copie di sicurezza del backup. I supporti possono essere:
    nastro magnetico: contenente di solito, un solo backup, che viene sovrascritto ad ogni esecuzione della procedura;
    disco fisso rimovibile (come USB): contenente più salvataggi limitati dalla capacità del dispositivo;
    NAS Network Attached Storage (come i dischi rimovibili): è la memoria di massa collegata alla rete in grado di contenere più salvataggi. E’ costituita da più dischi per preservare il contenuto del NAS stesso tramite la ridondanza e diminuire la probabilità di perdere i dati salvati nel caso si verifica un guasto ad uno dei dischi;
    cloud: storage accessibili tramite connessione Internet;
  3. la definizione della politica di backup: comprende la pianificazione e la verifica sulla corretta esecuzione del salvataggio dei dati. Se non c’è controllo non si può essere certi che il backup sia attivo, funzionante e soprattutto ripristinabile. E’ importante programmare l’attività di backup. Una politica diffusa è quella di eseguire la procedura tutti i giorni lavorativi, al di fuori dell’orario di lavoro (di notte e nei week-end), per ridurre il rischio di dover ripetere il lavoro svolto per più di una giornata.

È importante verificare che la procedura di backup abbia avuto esito positivo. Con l’utilizzo di software specifici per il backup si possono ricevere e-mail di notifica (sia in caso positivo che negativo). Si deve verificare che i dati, contenuti nel supporto su cui è salvata la copia di backup, corrispondano ai dati originali. Una verifica automatica si può attivare nella programmazione del software utilizzato per il backup.

Online Backup efficiente con la regola del 3 2 1

Per eseguire un backup ottimale, puoi seguire la regola 3-2-1. In base a questa impostazione, si consiglia di conservare tre copie dei dati su due differenti supporti di memorizzazione, con una copia conservata lontano dalla sede. Qui di seguito la procedura in tre punti.

  • 3 Copie dei dati: avere almeno 3 copie dei propri dati, una copia sono i dati presenti nei computer e le altre due sono copie di backup; avere tre copie dei dati offre il vantaggio che, in caso di corruzione di anche due di queste, si ha sempre una terza copia a disposizione;
  • 2 differenti supporti di memorizzazione: utilizzare due distinti supporti di memorizzazione per ognuna delle due copie di backup. Nel caso si tenti un ripristino da un supporto che si rivela corrotto, si ha sempre un secondo supporto a disposizione;
  • 1 copia conservata lontano dalla sede: una delle due copie di backup deve essere riposta lontano da dove si trovano i propri computer con i dati (backup offsite). Aziende che possiedono più sedi possono predisporre una sede secondaria come sito remoto per i propri backup; il backup nel cloud (Online Backup) è la soluzione ideale.

Il consiglio è di effettuare le copie di sicurezza dei propri dati nel cloud almeno ogni 24 ore, con una connessione internet protetta. Se preferisci, puoi approfondire l’argomento leggendo il post sul backup online.

Progettare la sicurezza informatica del server di rete

server di rete sicurezza informatica atc service

Il server di rete è un computer che, per il ruolo nevralgico che ricopre nella rete informatica, deve essere sempre disponibile. Per questo motivo deve rispondere a determinate caratteristiche:

  • ridondanza dei dischi: una delle precauzioni più importanti riguarda la ridondanza dei dischi fissi interni al server stesso: una politica di ridondanza, attuata attraverso la gestione dei RAID, permette di sopportare il guasto fisico di uno o più dischi fissi assicurando la continuità operativa del server stesso.
  • ridondanza alimentatori: come per i dischi, anche l’alimentatore del server (il trasformatore interno) dovrebbe essere ridondato, cioè il server dovrebbe essere equipaggiato con più di un alimentatore per ridurre il rischio di fermo operativo dovuto ad uno guasto elettrico.
  • sistemi operativi aggiornati e certificati: i sistemi operativi installati sui computer e sul server possono raggiungere un’obsolescenza tale da obbligarne l’aggiornamento. L’esempio non ultimo è la dismissione da parte di Microsoft dei sistemi operativi client Windows XP e server Windows 2003. I rischi nel continuare a usare un sistema operativo non più supportato sono elevati in quanto si potrebbero mettere in pericolo dati di intere aziende, esponendo la rete informatica a virus, spyware e malware creati dopo la fine del supporto e per i quali non esistono aggiornamenti di sicurezza. Rischi reali e di notevole portata per la stabilità e la sicurezza dei sistemi.

Proteggere la posta elettronica

posta elettronica sicurezza informatica

Per proteggere il tuo account di posta elettronica:

  • utilizza password uniche: assicurati di utilizzare password differenti da quella di accesso al computer e differenti per ogni casella di posta;
  • usa password complesse:costituite da almeno 8 caratteri alfanumerici contenente caratteri speciali, come @#$%^&;
  • effettua il backup della casella di posta elettronica:se scarichi la posta elettronica sul tuo computer, assicurati di effettuarne il salvataggio.

Per prevenire lo spam (messaggi pubblicitari) presta attenzione alle pagine promozionali (landing page). Prima di inserire la tua email personale controlla che la pagina sia affidabile. Assicurati che sia integrata all’interno del sito web del fornitore.

Si consiglia di utilizzare sempre il proprio dominio aziendale (esempio: nome.cognome@[ilmiodominio].it). Le caselle email registrate presso provider internazionali come Yahoo e Google (es: nome.cognome@gmail.com) non sfruttano tutte le opportunità di marketing del dominio proprietario. Comunicare il nome della propria azienda all’interno dell’account di posta elettronica è anche una questione di immagine.


Sicurezza informatica: le conclusioni

Quanto vale il tuo studio? Scopriamolo insieme. Il Checkup della sicurezza informatica del tuo Studio ti consente di conoscere il livello di protezione dei tuoi dati. Lavorare sulla conoscenza e sulla prevenzione dei rischi è la risposta migliore che possiamo offrirti come tuoi fornitori e partner.

In questo post, Daniele Benetti di Ithesia Sistemi ti ha spiegato in cosa consiste il test approfondito che eseguiamo per evidenziare i punti di forza della tua struttura, ma anche le debolezze. Daniele e il team di Datasette sono a tua disposizione per un confronto costruttivo su queste tematiche.

Scarica il Checkup del tuo Studio

sicurezza informatica Il Check up del tuo Studio analizza tutte le componenti che determinano la sicurezza informatica.
Crea le premesse per la definizione delle procedure di salvaguardia dei tuoi dati. Suggerisce i miglioramenti necessari per ottenere la protezione migliore della tua azienda.

 

 

Richiedi subito il tuo Checkup aziendale

Sei nostro Cliente? Il Checkup è gratuito. Contattaci attraverso i tuoi referenti abituali. Ci contatti per la prima volta? Compila il modulo qui sotto per richiedere una quotazione gratuita.

Il tuo nome (richiesto)

La tua email (richiesto)

Oggetto

Il tuo messaggio

Ho letto e accetto la Privacy Policy ed i Termini e Condizioni.

Accetto di ricevere materiale informativo in relazione al servizio offerto.
SiNo


Giuseppe Mussi

Consulente commerciale con esperienza nel settore degli Studi Professionali: Dottori Commercialisti, Consulenti del Lavoro, Associazioni di Categoria.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.