articolo di Raj Sabhlok – president of Zoho Corp –
Con le dimissioni di Gregg Steinhafel da Presidente e CEO di Target, abbiamo assistito a qualcosa di più grande di un semplice atto di costrizione legato alla violazione di dati importanti.
Stiamo assistendo all’evoluzione delle violazioni dei dati e della sicurezza informatica in generale.
Per il CEO, essere vittima di un hacker, non è più solo fonte d’imbarazzo. Una violazione di questo genere porta a conseguenze legali che possono costargli il posto di lavoro!
Ecco alcuni suggerimenti per evitare spiacevoli conseguenze:
Sicurezza IT come responsabilità
Il CEO ha sempre avuto la massima responsabilità sull’organizzazione e crescita complessive della sua azienda. Storicamente, è focalizzato su settori come vendite, marketing, produzione, nuovi prodotti e clienti. Nella nuova era elettronica invece, è sempre più responsabile anche della sicurezza, essendo diventato questo un problema molto importante. Un cliente può smettere di comprare da un’azienda se non si sente sicuro.
Valutare i rischi
Il lavoro più importante è eseguire una valutazione del rischio approfondita per tutta l’azienda. Dal punto di vista dell’IT, è necessario sapere, dove c’è una vulnerabilità, sia all’interno sia all’esterno del firewall. Non si può avere il controllo totale sull’uso che gli utenti fanno di Internet Explorer, ma di sicuro si può porre rimedio rapidamente a un problema. Valutazione di rischi e vulnerabilità, test di penetrazione da aziende di terze parti, sono oggi importanti quanto l’acquisizione di nuovi clienti.
Al di la dell’hardware e del software, c’è un’altra potenziale minaccia all’interno del firewall aziendale che è necessario valutare: dipendenti scontenti e personale esterno all’azienda. Un alto numero di violazioni, sono perpetrate da parte di dipendenti o di persone esterne che hanno lavorato per l’azienda.
Già, è consigliabile raddoppiare i controlli e rinforzare le misure di sicurezza. Si potrebbe anche voler ridefinire i criteri di accesso ai dati. In particolare, si potrebbero ridefinire le politiche aziendali che chi ha accesso e a quali dati, aziendali o dei clienti. Forse questo è il momento buono per iniziare a fare questa distinzione: fornire solo a chi ne ha necessità l’accesso ai dati dei clienti. Applicare queste restrizioni di accesso su tutta la linea.
Monitorare tutto
Dopo aver condotto le vostre valutazioni su rischi e vulnerabilità, è il momento di rafforzare le aree deboli che avete individuato. Uno dei modi migliori per consolidare la sicurezza, è monitorare e registrare tutte le sessioni inerenti agli accessi ai dati dei clienti e non solo che sono gli obiettivi favoriti dagli hacker.
Ad esempio, funzionalità di registrazione avanzata, possono catturare intere sessioni di accesso a dati sensibili in un file di log o in un video. Il file può essere archiviato e, se necessario, utilizzato in caso di anomalia per verifiche di tipo legale, rivelando con esattezza tutte le operazioni che sono state compiute dal dipendente o da chiunque altro durante quella sessione.
Consentire il controllo a un numero limitato di persone.
Limitare l’accesso ai dati e il controllo lì dove ci sono delle potenziali vulnerabilità.
Rimanere vigili!
Nel mondo della sicurezza IT, gli hackers sono sempre alla ricerca di nuove vie per violare vecchi e nuovi sistemi. Il CEO (e non soltanto il CIO), a sua volta, deve essere vigile e reagire rapidamente alle potenziali minacce e violazioni.
