Nel punto 1 abbiamo creato una mappa di tutti gli elementi che compongono il Sistema Informativo. Con questa informazione possiamo attivare una procedura attraverso la qualeremo ad ogni assunzione (l'adeguatezza per tutto il personale) l'adeguatezza dei privilegi di accesso a dati e sistemi. Per ogni elemento del sistema adottiamo la strategia dei «Privilegi Minimi»: ogni figura aziendale deve avere accesso solo alle informazioni che gli sono necessarie e per il tempo necessario. Vale l'esempio del «mazzo di chiavi». A ciascuno vengono assegnate solo quelle indispensabili per accedere agli ambienti autorizzati. Se eccezionalmente ne occorre una in più per uso sporadico, al cessare dell'esigenza, essa viene prontamente restituita. 

Sempre in tema di esempi, se consegniamo il nostro cellulare a qualcuno, con l'intenzione di mostrargli un'unica immagine e costui inizia a sfogliare la galleria liberamente, stiamo sperimentando gli effetti di una campagna (lettura non autorizzata) a fronte di un privilegio eccessivo (il cellulare dato in mano). Se avessimo mostrato la foto tenendo lo smartphone saldamente nelle nostre mani (criterio di protezione) questa lettura non autorizzata non sarebbe avvenuta. In ambito aziendale la strategia dei privilegi minimi si realizza con un'attenta profilazione e revisione periodica degli utenti, dei dati condivisi e dell'accesso alle applicazioni. È indispensabile applicare una policy per la gestione delle risorse che saranno sempre individuali, con password complessate rinnovate di frequenti. Il furto più di grave rappresenta l'emergenza nel mondo della Sicurezza Informatica e il personale deve essere sensibilizzato ed allenato a non cadere in trappola. Questo insieme di accorgimenti aiuterà l'impresa a rispettare le normative sulla Privacy, a ridurre i rischi di perdita o compromettere i dati in caso di incidente.

COSA FARE?

• Mantenere alta l’attenzione sulla riservatezza e adeguatezza delle credenziali senza eccezioni e senza deroghe. Revisionare periodicamente la situazione, chiudendo accessi temporaneamente concessi;
• Fare attivare, laddove possibile, adeguati sistemi di autenticazione a più fattori (MFA) e fare in modo che la protezione sia proporzionale al rischio;
• Non considerare gli SMS, quando utilizzati come elemento di validazione secondaria, come sicuri ed affidabili in senso assoluto. Il «furto» del numero di telefono è possibile, con documenti ottenuti in modo fraudolento;
• I sistemi di Crittografia oggi sono in grado di garantire un’eccellente protezione dei dati riservati da letture non autorizzate anche in caso di esfiltrazione o incidenti involontari. Spesso la protezione crittografica è attivabile con pochi click su diversi dispositivi. Nel caso invece di dati condivisi critici, è bene rivolgersi a servizi professionali di consulenza;
• Valutare l’introduzione di un sistema di gestione unificata dell’identità degli utenti (Identity Management). Renderà meno complesso questo processo fondamentale;
• È indispensabile separare le reti dati laddove necessario, come ad esempio la rete di fabbrica da quella degli uffici segregando l’hardware a bordo macchina, spesso obsoleto e non aggiornabile, dal resto della rete.

Per approfondire leggi anche " PuntoZero - Un percorso di conclusione alla Sicurezza Informatica nelle imprese " :

clicca qui per consultare "IL VOCABOLARIO DELLA SICUREZZA"