Sicurezza informatica: quanto vale il tuo Studio?

Le aziende lo sanno bene: quando non riescono a svolgere il proprio lavoro, il mancato ricavo si trasforma in una perdita.

L’applicazione dei principi di sicurezza informatica sui dispositivi aziendali previene il rischio di un blocco operativo e assicura la continuità del proprio lavoro.

Per questo è consigliabile programmare un checkup della sicurezza informatica. Disporre di un controllo periodico sul livello della protezione dei dati aziendali è un investimento che ti tutela dai rischi.

Utilizzare i computer in sicurezza

La sicurezza informatica si realizza con tecnologie, con regole e con prevenzione. L’indisponibilità dei dispositivi informatici e dei dati in essi contenuti, spesso si riconduce a una perdita di risorse e di denaro.

Per utilizzare i computer in totale sicurezza i passi da seguire sono:

accedere al sistema operativo con credenziali di accesso distinte per ogni utente: l’accesso ai dati deve essere sempre regolamentato. Gli utilizzatori devono essere autorizzati all’accesso e identificati in modo univoco. Ogni operatore deve accedere ai dati con il nome utente e una componente segreta, la password, conosciuta solo dall’operatore;
adottare password complesse: la password potrebbe essere individuata, se troppo semplice. Utilizzare il proprio nome, la propria data di nascita, una semplice parola del dizionario sono una vera manna per chi tenta di accedere al sistema. Con delle tecniche basate su dizionari o di brute force (tentativi di risalire alla password tentando tutte le combinazioni possibili), è molto semplice e veloce compromettere il sistema. Per rendere queste tecniche inefficaci, utilizza password lunghe e complesse, composte da numeri, lettere maiuscole e minuscole;
salvare i dati aziendali sul server di rete: il server di rete è il punto di gestione dei dati di una rete informatica. E’ il computer più importante ed è quello che è più oggetto di cure appropriate allo scopo di preservarne il funzionamento e i dati in esso contenuti. Salvo rari casi ed esigenze, tutti i dati dovrebbero essere memorizzati solo sul server. I dati così salvati vengono archiviati e condivisi con logiche di sicurezza definite dall’amministratore di sistema.

Prevenire gli attacchi informatici

La protezione dagli attacchi informatici si ottiene lavorando su più livelli:

avere software antivirus su tutti i pc e i server: gli antivirus sono strumenti indispensabili per la sicurezza informatica. La perdita di dati e l’indisponibilità dei dispositivi informatici sono causate, in prevalenza, da virus, spyware, e programmi malevoli. Tutti i dispositivi informatici di una rete, se possibile, dovrebbero essere dotati una soluzione antivirus;
antivirus attivo e aggiornato su tutti i pc e server: esistono varie tipologie di software antivirus, sia gratuite che a pagamento. Le soluzioni a pagamento sono più complete rispetto alle versioni gratuite. Ma attenzione. Se si smette di pagare l’abbonamento il software non si aggiorna più e diventa inefficace;
presenza firewall di rete: il firewall è un dispositivo in grado di rilevare e intercettare i dati malevoli, proteggendo a livello perimetrale tutti i dispositivi della rete informatica. È indispensabile per il controllo del traffico da e verso internet;
firewall di rete con gestione unificata delle minacce (UTM): anche il firewall, come l’antivirus, integra servizi di sicurezza aggiuntivi a pagamento. I servizi possono variare dall’Intrusion Prevention System (sistema di prevenzione delle intrusioni detto IPS), al controllo delle pagine Web visitate (URL filtering) fino al controllo antivirus.

Controllare il backup dei dati aziendali

l backup è la tecnologia e la procedura utilizzata per effettuare le copie di salvataggio dei dati informatici. La soluzione di backup presuppone tre fasi:

l’individuazione dell’origine dei dati: di solito sono il server di rete, i personal computer e gli altri dispositivi informatici. Si predispone l’elenco di tutti i dispositivi dove sono memorizzati i tuoi dati;
la scelta del dispositivo di salvataggio: si individua il supporto dove verranno salvate le copie di sicurezza del backup. I supporti possono essere:
– nastro magnetico: contenente di solito, un solo backup, che viene sovrascritto ad ogni esecuzione della procedura;
– disco fisso rimovibile (come USB): contenente più salvataggi limitati dalla capacità del dispositivo;
– NAS Network Attached Storage (come i dischi rimovibili): è la memoria di massa collegata alla rete in grado di contenere più salvataggi. E’ costituita da più dischi per preservare il contenuto del NAS stesso tramite la ridondanza e diminuire la probabilità di perdere i dati salvati nel caso si verifica un guasto ad uno dei dischi;
– cloud: storage accessibili tramite connessione Internet;
la definizione della politica di backup: comprende la pianificazione e la verifica sulla corretta esecuzione del salvataggio dei dati. Se non c’è controllo non si può essere certi che il backup sia attivo, funzionante e soprattutto ripristinabile. E’ importante programmare l’attività di backup. Una politica diffusa è quella di eseguire la procedura tutti i giorni lavorativi, al di fuori dell’orario di lavoro (di notte e nei week-end), per ridurre il rischio di dover ripetere il lavoro svolto per più di una giornata.

È importante verificare che la procedura di backup abbia avuto esito positivo. Con l’utilizzo di software specifici per il backup si possono ricevere e-mail di notifica (sia in caso positivo che negativo). Si deve verificare che i dati, contenuti nel supporto su cui è salvata la copia di backup, corrispondano ai dati originali. Una verifica automatica si può attivare nella programmazione del software utilizzato per il backup.

Online Backup efficiente con la regola del 3 2 1

Per eseguire un backup ottimale, puoi seguire la regola 3-2-1. In base a questa impostazione, si consiglia di conservare tre copie dei dati su due differenti supporti di memorizzazione, con una copia conservata lontano dalla sede. Qui di seguito la procedura in tre punti.

3 Copie dei dati: avere almeno 3 copie dei propri dati, una copia sono i dati presenti nei computer e le altre due sono copie di backup; avere tre copie dei dati offre il vantaggio che, in caso di corruzione di anche due di queste, si ha sempre una terza copia a disposizione;
2 differenti supporti di memorizzazione: utilizzare due distinti supporti di memorizzazione per ognuna delle due copie di backup. Nel caso si tenti un ripristino da un supporto che si rivela corrotto, si ha sempre un secondo supporto a disposizione;
1 copia conservata lontano dalla sede: una delle due copie di backup deve essere riposta lontano da dove si trovano i propri computer con i dati (backup offsite). Aziende che possiedono più sedi possono predisporre una sede secondaria come sito remoto per i propri backup; il backup nel cloud (Online Backup) è la soluzione ideale.

Il consiglio è di effettuare le copie di sicurezza dei propri dati nel cloud almeno ogni 24 ore, con una connessione internet protetta.

Progettare la sicurezza informatica del server di rete

Il server di rete è un computer che, per il ruolo nevralgico che ricopre nella rete informatica, deve essere sempre disponibile. Per questo motivo deve rispondere a determinate caratteristiche:

ridondanza dei dischi: una delle precauzioni più importanti riguarda la ridondanza dei dischi fissi interni al server stesso: una politica di ridondanza, attuata attraverso la gestione dei RAID, permette di sopportare il guasto fisico di uno o più dischi fissi assicurando la continuità operativa del server stesso.
ridondanza alimentatori: come per i dischi, anche l’alimentatore del server (il trasformatore interno) dovrebbe essere ridondato, cioè il server dovrebbe essere equipaggiato con più di un alimentatore per ridurre il rischio di fermo operativo dovuto ad uno guasto elettrico.
sistemi operativi aggiornati e certificati: i sistemi operativi installati sui computer e sul server possono raggiungere un’obsolescenza tale da obbligarne l’aggiornamento. L’esempio non ultimo è la dismissione da parte di Microsoft dei sistemi operativi client Windows XP e server Windows 2003. I rischi nel continuare a usare un sistema operativo non più supportato sono elevati in quanto si potrebbero mettere in pericolo dati di intere aziende, esponendo la rete informatica a virus, spyware e malware creati dopo la fine del supporto e per i quali non esistono aggiornamenti di sicurezza. Rischi reali e di notevole portata per la stabilità e la sicurezza dei sistemi.

Proteggere la posta elettronica

Per proteggere il tuo account di posta elettronica:

utilizza password uniche: assicurati di utilizzare password differenti da quella di accesso al computer e differenti per ogni casella di posta;
usa password complesse:costituite da almeno 8 caratteri alfanumerici contenente caratteri speciali, come @#$%^&;
effettua il backup della casella di posta elettronica:se scarichi la posta elettronica sul tuo computer, assicurati di effettuarne il salvataggio.

Per prevenire lo spam (messaggi pubblicitari) presta attenzione alle pagine promozionali (landing page). Prima di inserire la tua email personale controlla che la pagina sia affidabile. Assicurati che sia integrata all’interno del sito web del fornitore.

Si consiglia di utilizzare sempre il proprio dominio aziendale (esempio: nome.cognome@[ilmiodominio].it). Le caselle email registrate presso provider internazionali come Yahoo e Google (es: nome.cognome@gmail.com) non sfruttano tutte le opportunità di marketing del dominio proprietario. Comunicare il nome della propria azienda all’interno dell’account di posta elettronica è anche una questione di immagine.

Sicurezza informatica: le conclusioni

Quanto vale il tuo studio? Scopriamolo insieme. Il Checkup della sicurezza informatica del tuo Studio ti consente di conoscere il livello di protezione dei tuoi dati. Lavorare sulla conoscenza e sulla prevenzione dei rischi è la risposta migliore che possiamo offrirti come tuoi fornitori e partner.

In questo post, Daniele Benetti di Ithesia Sistemi ti ha spiegato in cosa consiste il test approfondito che eseguiamo per evidenziare i punti di forza della tua struttura, ma anche le debolezze. Daniele e il team di Datasette sono a tua disposizione per un confronto costruttivo su queste tematiche.

Hai bisogno di qualche informazione in più?

Facciamoci una chiacchierata

Cookie	Durata	Descrizione
_ga	2 anni	Il cookie _ga, installato da Google Analytics, calcola i dati di visitatori, sessioni e campagne e tiene anche traccia dell'utilizzo del sito per il report di analisi del sito. Il cookie memorizza le informazioni in modo anonimo e assegna un numero generato casualmente per riconoscere i visitatori unici.
_gid	1 giorno	Installato da Google Analytics, il cookie _gid memorizza informazioni su come i visitatori utilizzano un sito web, creando anche un report analitico delle prestazioni del sito web. Alcuni dei dati raccolti includono il numero di visitatori, la loro fonte e le pagine che visitano in modo anonimo.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Analytics".
cookielawinfo-checkbox-necessary	11 mesi	Impostato dal plugin GDPR Cookie Consent, questo cookie viene utilizzato per registrare il consenso dell'utente per i cookie nella categoria "Necessario".