Gestire il patrimonio informativo aziendale: le lezioni dall’Intelligence
Il patrimonio informativo è sicuramente la risorsa più importante per le aziende, ma quando si parla di sicurezza ancora oggi alla maggior parte degli imprenditori e dei manager vengono alla mente guardie giurate, lucchetti, registrazione degli ingressi e antifurto.
Le informazioni conservate nei computer e negli innumerevoli dispositivi elettronici ormai ubiqui in ogni organizzazione sono invece il bene più importante di tutti, anche per chi fabbrica tosaerba o pompe idrauliche. I rischi connessi sono molti, da quelli operativi (interruzione dell’attività) a quelli reputazionali, dalla diffusione di proprietà intellettuale ai concorrenti a quelli legali e di conformità.
Di fronte alla oggettiva complessità delle sicurezza informativa molto spesso in mancanza di competenze interne ci si rifugia nell’acquisto di prodotti – hardware o software che siano – che promettono di mettere in sicurezza l’azienda solo installandoli…
Purtroppo, nonostante le promesse, questo non succede mai: la sicurezza è un processo – come dice un ormai vecchio adagio ma mai abbastanza compreso. Un atteggiamento puramente difensivo e reattivo non paga, così come rifiutarsi di adeguare le procedure interne o di introdurne di nuove.
Una buona fonte di ispirazione per le aziende alle prese con la sicurezza delle informazioni sono sicuramente le organizzazioni che le raccolgono e proteggono come missione primaria: i servizi segreti.
Le agenzie di intelligence sanno bene che il rischio zero (o il 100% di sicurezza) non è raggiungibile nella pratica: esse adottano il punto di vista che l’obiettivo sia minimizzare l’impatto (i danni) causato da una compromissione, volontaria o meno, sulla riservatezza, l’integrità e la disponibilità dei dati.
Alcune lezioni da tenere a mente:
- Classificare le informazioni. Il primo passo per una corretta gestione è censire e assegnare un valore alle varie componenti del patrimonio informativo (i servizi di informazione italiani usano ad esempio la scala: riservato-riservatissimo-segreto-segretissimo).
- Correlare le informazioni – classificate, in modo da avere sotto controllo le priorità – con l’organigramma e le singole risorse umane (direzione compresa): chi deve avere accesso a cosa?
- Realizzare accessi controllati secondo la logica del need to know: le strutture o le singole persone devono avere diritti di accesso o modifica alla informazioni che sono necessarie per svolgere il loro ruolo, e non a tutto indiscriminatamente.
- Controllare l’uso delle risorse del sistema informativo aziendale, elettroniche e non, con particolare attenzione all’uso di dispositivi non-aziendali per attività lavorative.
- Evitare di concedere il monopolio su settori di informazione a una singola persona, senza avere un “piano B”, ad esempio ruoli commerciali che non condividono le informazioni sui rapporti con i clienti.
- Accettare di rinunciare ad una fettina di comodità: no alle informazioni accessibili a tutti in qualsiasi momento senza controllo.
- L’esempio arriva dall’alto! Senza un coinvolgimento diretto della direzione aziendale le buone abitudini non attecchiranno. Anche i capi dovranno seguire le procedure di sicurezza e accettare piccole scomodità (vedi sopra).
- Prevenire le compromissioni e alzare le difese: verifichiamo sempre se l’organizzazione è sotto attacco, con mezzi tecnici e non. Non occorre stabilire una cultura paranoica del controspionaggio, ma periodiche verifiche interne e misure tecniche come appositi honeypot installati per attirare attacchi esterni possono elevare il grado di consapevolezza delle minacce esistenti.
- Porre scrupolosa attenzione alla conformità con le leggi applicabili (privacy, antiriciclaggio, 231 ad esempio). La compliance può essere uno strumento utile, non solo un costo.
- Trasportare durante i viaggi solo le informazioni strettamente necessarie, proteggendole da occhi indiscreti. Usare un portatile pulito, con crittografia attivata è una buona prassi.
- Creare procedure codificate per la raccolta di evidenze digitali in caso di incidente, in modo da avere a disposizione in ogni caso prove a nostro favore da sfruttare anche legalmente contro gli attaccanti.
- Porre in essere campagne di sensibilizzazione per tutti i membri dell’organizzazione ai corretti comportamenti nella gestione delle informazioni.
I consigli qui sopra sono ovviamente solo il primo passo per costruire un’organizzazione resiliente agli attacchi al patrimonio informativo, ma sono almeno un buon inizio.
Dalle agenzie di intelligence possiamo ricavare utili lezioni non solo per la difesa (defensive intelligence o security) ma anche – e forse soprattutto – per l’attività di raccolta ed analisi delle informazioni utili alle strategie aziendali. Si tratta della cosiddetta positive intelligence, un processo che dovrebbe essere incorporato nelle attività dell’alta direzione.
Valutare le fonti, analizzare gli scenari e i concorrenti, i mutamenti tecnologici e finanziari sono tutti elementi dell ‘”Intelligence economica”, fondamentale anche per le piccole imprese. L’IE sarà oggetto di altri post in futuro.
