Introduzione alla sicurezza informatica aziendale

L’interesse per la sicurezza nei sistemi informativi è cresciuto negli ultimi anni in funzione della loro diffusione, del ruolo sempre più importante che essi hanno nei contesti in cui operano, e della loro crescente complessità ed esposizione a possibili attacchi.

I nuovi modelli di business stanno spingendo le aziende di tutto il mondo a dotarsi di mezzi informatici sofisticati per rimanere competitivi nella corsa alla globalizzazione. Adottare questi modelli significa spesso autorizzare l'accesso al Sistema Informativo Aziendale ai propri clienti, fornitori, partner e collaboratori: e-mail, accesso ad Internet, sistemi CRM, e-commerce, possono diventare altrettante fonti di vulnerabilità se non vengono adeguatamente protetti. 

Lo sviluppo di internet ha segnato una discontinuità nella realtà gestionale ed organizzativa delle aziende tale per cui ci troviamo in una situazione di “economia interconnessa” in cui tutte le aziende e le organizzazioni sono in uno stadio più o meno avanzato di informatizzazione globale, caratterizzato dalle informazioni e dal processo di gestione delle stesse a mezzo di sistemi informatici come asset e processo critico, vitale per il business aziendale e per quelli connessi.

In questa situazione infatti un danno provocato ai sistemi non influenza solo il sistema tecnologico in se ma provoca una riduzione di efficienza, costi incontrollabili, perdite estese a tutta l’azienda ed ai soggetti collegati.

“Le transazioni commerciali in rete comportano dei rischi. Senza le dovute precauzioni la semplice connessione a Internet potrebbe compromettere una delle principali ricchezze delle aziende: il patrimonio informativo.
Le violazioni della sicurezza della rete possono provocare danni rilevanti. Questo è il motivo per cui alcune aziende ritardano lo sfruttamento dei vantaggi di Internet. Nel panorama dell'attuale economia questo ritardo significa mettere un freno all'espansione dell'azienda, riducendo di conseguenza anche la sua capacità competitiva. Oggi Internet è per qualsiasi impresa lo strumento pìù importante per ottenere vantaggi competitivi, raggiungere nuovi mercati, creare nuove fonti di reddito e ottimizzare il processo produttivo”.

Per questo motivo è indispensabile valutare i rischi legati all'infrastruttura e di conseguenza definire una politica per la sicurezza del Sistema Informativo a livello aziendale.

Un danno può derivare da incidenti tecnici, da attacchi intenzionali, da effetto contagio, da azioni delittuose o da semplici malfunzionamenti dovuti a scarsa informazione o addestramento del personale.

In particolare, l’avvento dell’economia interconnessa ha visto nascere nuove motivazioni e processi di attacco, (virus, hacking, attacchi tendenti alla sovra saturazione delle risorse) con una base di partenza sempre più vasta e possibilità tecnologiche sempre più sofisticate ed attori sempre più competenti, ambiziosi e tenaci.

L’interconnessione di networks pubblici e privati e la condivisione di informazioni e risorse informatiche aumenta la difficoltà di tenere sotto controllo gli accessi. Il trend di ricorrere a risorse informatiche, pur aumentando l’efficienza aziendale, ha indebolito l’efficacia dei tradizionali controlli specializzati. Per la sicurezza informatica ad esempio, almeno per quanto riguarda le minacce di tipo “deliberato”, le risorse sono in mano agli attaccanti e, in ogni caso, non si possono controllare, si può solamente ridurre il rischio di successo dell’attacco valutando la bontà della soluzione adottata in un contesto ipotetico ma realistico. Questo costituisce uno dei problemi più rilevanti nella security.

Molti sistemi informativi non prevedono, in sede di progettazione, una soglia minima di sicurezza e, quindi, il livello di sicurezza raggiungibile con le sole misure tecniche è quanto mai limitato; la loro efficacia è resa plausibile solo se supportata da appropriati criteri gestionali e procedurali, disposti per identificare e pianificare, con attenzione e dettaglio, quali provvedimenti di “tenuta sotto controllo” debbano essere adottati.

La Sicurezza nella Tecnologia dell'Informazione rappresenta un processo complesso che riguarda aspetti economici, organizzativi, tecnici e giuridici, oltre che sociali. 

Sul piano strategico occorre sottolineare come accanto, alla disponibilità ed alla integrità delle informazioni, spesso fondamentali per assicurare continuità alla produzione, anche la riservatezza è divenuta critica con la progressiva adozione di strumenti informatici nella pianificazione e nel supporto alle decisioni (cioè nella gestione di informazioni di interesse strategico).

Dall'efficacia del processo dipendono la riservatezza delle informazioni delle Imprese, della Pubblica Amministrazione e dei Cittadini, ma anche la loro integrità, di massima importanza se si pensa alla promessa di efficienza insita nella validità giuridica riconosciuta al documento elettronico ed in particolare nel 2019 per l'obbligo della fatturazione elettronica .