Controllo 4 –
È stato nominato un referente per la cybersecurity, che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.
Anche se la nostra impresa non ha l’obbligo di nomina del responsabile della protezione dei dati o DPO, il consiglio è quello di dare una delega e nominare un responsabile privacy. Una figura che nelle piccole realtà sicuramente avrà anche altri compiti, ma che può, tramite una formazione ad hoc (vedi #controllo10), acquisire le competenze necessarie per tenere sotto controllo il tema della protezione dei dati. Con la stessa logica, la sicurezza informatica, ha bisogno di un referente che abbia le competenze necessarie per monitorare e coordinare le attività in caso di incidente. Anche in questo caso la formazione specifica o avere un riferimento esterno esperto in caso di necessità, sono fondamentali per poter intervenire rapidamente in caso di necessità. All’interno di aziende medio-grandi questo ruolo è spesso affidato ai Chief Information Security Officer (CISO) e Security Manager.
Definire delle regole e
dei punti di riferimento
Le micro e le piccole imprese non sono strutturate per avere un referente privacy dedicato o un referente per la cybersicurezza come il CISO. Queste deleghe, inevitabilmente, andrebbero a ricadere sempre sulle stesse persone, quando non direttamente sul titolare dell’impresa. Come fare allora? Il tema importante è sempre quello della consapevolezza (ecco perchè si rimanda al #controllo10). Un certo livello di consapevolezza aziendale, sia sul tema privacy che su quello cyber, deve essere presente. Altra cosa è avere delle procedure specifiche e sapere cosa fare nei momenti critici e soprattutto sapere chi chiamare per ripristinare i sistemi.
È dunque necessario creare un piano di gestione degli incidenti e individuare un professionista o un’azienda partner che possiamo coinvolgere nel momento del bisogno. È meglio cercarla subito se non l’hai ancora individuata, perchè adesso puoi concordare un costo e programmare gli interventi senza doverlo fare con l’acqua alla gola. Dopo, oltre allo stress e al caos dell’incidente, potresti pagare un prezzo “emergenza” troppo alto.
Controlli correlati
#1 – Inventario dispositivi e software
Controllo 1 - Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale. Non conoscere quali e quanti dispositivi aziendali ci sono in giro e da chi vengono...
#2- Inventario dispositivi e software
Controllo 2 - I servizi web (social network, cloud computing, posta elettronica, spazio web, etc...) offerti da terze parti a cui si è registrati sono quelli strettamente necessari. Le truffe portate avanti con la social engineering possono essere molto creative e...
#3- Inventario dispositivi e software
Controllo 3 - Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti. Non tutte le informazioni che manipoliamo quotidianamente in azienda hanno la stessa importanza, così i dispositivi informatici utilizzati....
#6 Protezione da malware
Controllo 6 - Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc...) regolarmente aggiornato. Non esiste una protezione totale (100% sicuri) alle infezioni e agli attacchi di malintenzionati, ma possiamo cercare di...
#10 – Formazione e consapevolezza
Controllo 10: Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, etc...). I vertici...
#15 – Prevenzione e mitigazione
Controllo 15: Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi. L'ultimo controllo chiude il cerchio richiamando il #controllo1, sulla...
Rimani aggiornato
Mentibus Training Academy
Mantieni la tua organizzazione aggiornata e conforme ai principali regolamenti e norme in materia di Cybersecurity e data protection.