Controllo 1 –
Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.
Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono utilizzati non è una prassi che fornisce sicurezza all’impresa. Inoltre, potrebbe anche essere considerata una non conformità in termini di GDPR. I benefici di un inventario degli asset aziendali non sono solo in termini di sicurezza ma anche di efficienza. Nella figura qui sotto viene riportato un esempio di inventario, ricavato su un semplice foglio elettronico, che riporta le informazioni essenziali da monitorare. Lo stesso inventario può inoltre dare una risposta alla necessità di installare su tutti i dispositivi software anti-malware (vedi #controllo6) e tenerli aggiornati insieme a tutti gli altri Sistemi Operativi e applicativi (vedi #controllo15).
La tabella è solo un esempio è può essere arricchita con ogni informazione ritenuta importante da tenere in evidenza.
Questo stesso documento, inoltre, aiuta l’azienda nella valutazione dei rischi sugli asset e il titolare del trattamento a dimostrare la propria accountability, nella tenuta del registro del trattamento dei dati (v. art.30 e sgg. GDPR).
Compilare formalmente un elenco di tutti i dispositivi utilizzati con finalità aziendale e dei software installati, oltreché consentire un monitoraggio per tenere aggiornati i sistemi, é un’occasione per valutare l’opportunità di disinstallare qualche applicazione non più utilizzata o poco sicura. Evitando così incidenti di sicurezza che possono compromettere la tua sicurezza e quella dei tuoi dati.
Non puoi difendere
ciò che non sai di avere
Questa semplice frase dice molto sull’esigenza di non avere zone grigie all’interno della propria azienda. Per quanto semplice possa essere, tutte le imprese custodiscono del valore da proteggere. L’esperienza ci insegna che oltre ai dispositivi aziendali, come i computer desktop utilizzati per esempio per la fatturazione, anche gli smartphone utilizzati dal titolare e dai propri dipendenti, devono essere adeguatamente monitorati e protetti. Sempre più spesso infatti le vulnerabilità maggiori sono rappresentate dai dispositivi ad uso personale, dove oltre alle conversazioni private, spesso transitano, tramite la messaggistica istantanea (WhatsApp e simili), anche conversazioni aziendali, con informazioni che dovrebbero invece mantenere un certo riserbo e maggiore sicurezza.
Controlli correlati
#2- Inventario dispositivi e software
Controllo 2 - I servizi web (social network, cloud computing, posta elettronica, spazio web, etc...) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. Le truffe portate avanti con la social engineering possono essere molto creative e...
#3- Inventario dispositivi e software
Controllo 3 - Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati....
#4- Inventario dispositivi e software
Controllo 4 - È stato nominato un referente per la cybersecurity, che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. Anche se la nostra impresa non ha l’obbligo di nomina del responsabile...
#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
#15 – Prevenzione e mitigazione
Controllo 15: Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. L'ultimo controllo chiude il cerchio richiamando il #controllo1, sulla...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.