Un audit sulla sicurezza informatica è stressante o un'opportunità per riflettere sull'attuale panorama delle minacce e migliorare proattivamente le misure di sicurezza? Dopotutto, non si tratta solo di superare un esame, ma di gettare solide basi per il successo futuro.
SSI Schäfer vanta una vasta esperienza in questo settore. Dopotutto, questi esperti di intralogistica lavorano con risorse preziose, che si tratti di gestire l'inventario fisico, gestire sistemi automatizzati o monitorare i dati relativi ai processi logistici. Per garantire la protezione di tutto, non si limitano a chiudere a chiave la porta d'ingresso, ma installano anche telecamere di sicurezza, limitano l'accesso alle aree sensibili e monitorano costantemente la presenza di potenziali minacce. Questo approccio multilivello alla sicurezza fisica è fondamentale anche per la sicurezza delle informazioni. SSI Schäfer si affida a controlli preventivi e di individuazione in tutti i suoi processi per identificare e difendersi dalle minacce degli hacker in una fase iniziale.
K. Kysela
Uno standard importante per strutturare questo approccio, affermano Sari Leino, Information Security Manager del Group Information Security Team da agosto 2022, e Karola Kysela, Information Security Manager presso SSI Schäfer da ottobre 2024, è ISO/IEC 27001, che fornisce un quadro chiaro per un sistema di gestione della sicurezza delle informazioni (ISMS).
Controllo degli accessi
Uno dei primi ambiti esaminati dai revisori è il controllo degli accessi: chi è autorizzato ad accedere ai sistemi critici? Due principi fondamentali sono particolarmente importanti in questo caso:
- I dipendenti hanno accesso solo alle informazioni di cui hanno bisogno per svolgere i propri compiti.
- - «Segregazione dei compiti»: le funzioni critiche sono separate, ad esempio una persona può modificare i dati dei fornitori ma non autorizzare i pagamenti.
Utilizzando l'autenticazione a più fattori (MFA), gli utenti utilizzano non solo una password, ma anche almeno un fattore aggiuntivo, come un token software sul proprio smartphone. L'MFA è diventata essenziale anche nella sfera privata. L'utilizzo di app aggiuntive o codici SMS con applicazioni di uso quotidiano come l'online banking, le app dei social media o i programmi di posta elettronica rende più difficile l'accesso agli account da parte di terzi non autorizzati.
S. Leino
Oltre al "controllo degli accessi digitale" esiste anche il controllo degli accessi fisici, familiare a tutti nell'ambito professionale. Carte d'accesso e chiavi consentono l'ingresso sicuro a stanze ed edifici. I visitatori vengono registrati in entrata e in uscita tramite appositi registri e l'accesso ai locali è consentito solo se accompagnati. La combinazione di tutte queste misure si traduce in un "multilivello" .
Un passo avanti
Un audit di sicurezza informatica valuta non solo lo stato attuale della sicurezza, ma anche il livello di preparazione per le minacce future. Per questo motivo, gli auditor pongono particolare enfasi sugli aggiornamenti software e sulla gestione delle patch. I criminali informatici sono costantemente alla ricerca di vulnerabilità nei sistemi obsoleti e una falla software non corretta può rappresentare l'anello debole di una difesa altrimenti solida. Secondo gli esperti, uno dei "segnali d'allarme" emersi durante gli audit non è una vulnerabilità del sistema, bensì la mancanza di consapevolezza da parte dei dipendenti. Attacchi di ingegneria sociale, email di phishing e password deboli rimangono tra le cause più comuni di violazioni della sicurezza.
Simulazioni di phishing periodiche e corsi di formazione sulla sicurezza consentono ai dipendenti di riconoscere tempestivamente le minacce e di reagire in modo efficace. SSI Schäfer ha implementato un programma di formazione online completo per rafforzare la consapevolezza della sicurezza informatica tra i propri dipendenti.
Non solo "crittografare"
La sicurezza dei dati è un altro aspetto fondamentale durante gli audit. Gli auditor prestano molta attenzione alle modalità di classificazione, archiviazione e trasmissione dei dati. I backup sono gestiti in modo sicuro? I dati sensibili dei clienti sono protetti da accessi non autorizzati? I dati sono crittografati? La norma ISO/IEC 27001 enfatizza un approccio olistico alla sicurezza dei dati, dai protocolli di crittografia all'archiviazione e all'eliminazione sicura delle informazioni sensibili. Una strategia completa di protezione dei dati deve garantire che, anche in caso di violazione della sicurezza, le informazioni critiche rimangano protette.
