Come valutare la protezione e allinearla alle esigenze dell'azienda
In molte aziende, i progetti di protezione IT non riflettono precisamente le priorità aziendali. Ecco come armonizzarli e monitorare il progresso della protezione.
In breve
| • | Nomina un dirigente aziendale per assicurarti che i piani di protezione riflettano la strategia dell'azienda. |
| • | Scegli metriche appropriate e comprensibili per tenere traccia della protezione IT. |
| • | Utilizza le funzionalità dei prodotti per infrastruttura di Microsoft per gestire e valutare centralmente la protezione IT. |
Le medie imprese possono pensare di essere meno vulnerabili alle minacce rispetto alle grandi imprese. Ma, in realtà, una violazione può avere effetti più gravi in proporzione in una media impresa che in una grande.
"La dimensione dell'organizzazione non ha niente a che vedere con la dimensione della minaccia" afferma Larry Ponemon, fondatore e presidente del Ponemon Institute, che conduce ricerche sulla protezione e la riservatezza IT.
Ponemon ricorda, ad esempio, che un'azienda di 100 addetti, che elabora i rendiconti dei clienti per le principali banche, ha esposto inavvertitamente più di 20 milioni di record di clienti. Fortunatamente i record non contenevano informazioni che erano tutelate dalla normativa sulla riservatezza in vigore. Questo tipo di violazione, tuttavia, allontana i clienti e può stroncare un'azienda.
Garantire che i processi aziendali vengano tradotti in processi IT
Anche la stessa tecnologia può aiutare un'azienda a monitorare l'efficacia della protezione IT. Molti sistemi IT includono componenti che consentono di gestire e monitorare meglio lo stato della protezione, ad esempio con la registrazione degli eventi e la gestione di patch. Il problema è che le aziende non li usano. L'impiego totale ed efficace di questa tecnologia di fatto distingue le organizzazioni che sono al vertice, secondo il report di Aberdeen Group sulla conformità sostenibile.
Ad esempio, la suite di applicazioni Microsoft System Center fornisce una piattaforma centrale da cui è possibile monitorare e gestire diversi prodotti Microsoft e di terze parti. Usati appropriatamente, questi strumenti possono accelerare le decisioni sui miglioramenti alla protezione o avvisare prima di una crisi potenziale.
Windows Vista presenta molte funzionalità di protezione, compresa una nuova tecnologia, Trusted Platform Module, che consentono di migliorare l'identificazione e la protezione dei dati a livello del PC. Se usate con PC che incorporano un chip TPM, il reparto IT può inserire una chiave esclusiva e privata nell'hardware di ogni computer. "In questo modo l'IT può esercitare un migliore controllo su quali PC possono collegarsi alla rete" afferma Steve Sprague, direttore generale di Wave Systems, un partner Microsoft NAP (Network Access Protection).
Se usato insieme a un'unità disco con crittografia totale di Seagate Technology, il chip TPM consente a un reparto IT di tenere un registro dettagliato di quando è stata attivata la crittografia, quando è stata disattivata e quali utenti hanno acceduto per modificare la crittografia.
La documentazione deve andare di pari passo con la conformità
"È proprio di questa documentazione dettagliata che hanno bisogno i responsabili aziendali per adempiere alla normativa attuale sulla protezione dei dati" prosegue Sprague. Se un'azienda perde un laptop contenente dati sensibili, le normative di alcuni paesi richiedono all'azienda di annunciare pubblicamente lo smarrimento a meno che non possa dimostrare che i dati nel laptop erano crittografati. Così come una compagnia aerea deve fornire la documentazione su tutta la manutenzione di un velivolo, l'IT deve essere in grado di produrre documentazione su come gestisce i dati nei PC. "Sarebbe meglio disporre di un processo appropriatamente provato e verificato per essere conformi alla normativa" ha aggiunto.
Un modo pratico per controllare a caso quel processo è "perdere" uno dei laptop aziendali. Recati al reparto delle risorse umane, ad esempio, prendi un laptop e informa il personale IT che l'hai perso. Chiedi all'IT di dimostrare che i dati in quel PC erano crittografati. Fallo ogni sei mesi circa finché le cose non sono a posto".