Controllo 3 –
Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati. Ce ne sono alcuni critici e altri meno importanti per il business. Alcuni conservano dati personali che devono sottostare al GDPR, altri magari sono dati in uso a stagisti o portati a casa per un utilizzo personale. Per aiutare nella catalogazione, ci può tornare utile il foglio elettronico utilizzato come inventario dei device e dei software, potremo aggiungere anche una colonna per il tipo di dati/informazioni che vengono archiviati. Ecco, dunque, che per quelli particolarmente critici, nascerà l’esigenza di una protezione maggiore, e quindi l’uso di pratiche e tecnologie messe a disposizione come i backup, il cloud, i firewall.
Per garantire, come abbiamo visto, la riservatezza, integrità e disponibilità.
Non è bene che tutti
sappiano tutto.
La categorizzazione e l’eventuale etichettatura delle informazioni, è una di quelle best practice che ti possono risolvere tanti grattacapo. Non sempre è la volontà ad “offendere” la causa di tanti incidenti informatici, molto spesso è la distrazione oppure il non sapere che quelle informazioni sono particolarmente importanti. Ecco perchè è bene che non tutti in azienda sappiano tutto, e tanto meno fuori. Tenere determinate informazioni riservate e ben archiviate, risolve anche il problema della responsabilità. Meglio non caricare di troppe responsabilità dipendenti, collaboratori e famigliari, anche perchè poi si deve essere chiamati a risponderne.
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#2- Inventario dispositivi e software
Controllo 2 - I servizi web (social network, cloud computing, posta elettronica, spazio web, etc...) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. Le truffe portate avanti con la social engineering possono essere molto creative e...
#4- Inventario dispositivi e software
Controllo 4 - È stato nominato un referente per la cybersecurity, che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici. Anche se la nostra impresa non ha l’obbligo di nomina del responsabile...
#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
#15 – Prevenzione e mitigazione
Controllo 15: Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. L'ultimo controllo chiude il cerchio richiamando il #controllo1, sulla...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.