Un sistema informatico è la spina dorsale di un'azienda. Negare l'accesso o interrompere questo sistema può avere gravi conseguenze sia per l'azienda che per i suoi clienti. Una violazione della sicurezza che compromette le informazioni dei clienti, ad esempio, potrebbe costare milioni di dollari, dai costi di notifica alle sanzioni per il mancato rispetto delle normative.

Per prevenire queste interruzioni, le aziende devono creare solide politiche di sicurezza informatica. Per fare ciò, devono avere una profonda conoscenza di due categorie particolari: sicurezza dei dati e sicurezza della rete.

  • La sicurezza dei dati riguarda la protezione delle risorse informative da un attacco elettronico.
  • La sicurezza della rete si occupa della protezione dei sistemi informatici o della rete di un'azienda dalle intrusioni.


Una volta che le aziende hanno una profonda comprensione di questi concetti, il passaggio successivo per la creazione di policy di sicurezza consiste nel valutare la gravità dei possibili attacchi. Un'analisi del rischio è essenziale nello sviluppo di piani di continuità operativa. In effetti, la gestione del rischio può essere l'aspetto più importante nella gestione di qualsiasi impresa, pubblica o privata. Alcuni modi comuni per valutare il rischio sono la "criticità" (o impatto) e la "probabilità" (probabilità o possibilità) di un evento.


Un esperto in sicurezza di rete dovrebbe effettuare questa valutazione e determinare il tipo di controlli da mettere in atto. Al giorno d'oggi, le valutazioni del rischio possono essere eseguite da una persona o da un computer. La valutazione del rischio utilizzerà i risultati di un'analisi dei rischi per identificare i pericoli che potrebbero influire su un sistema e in che modo l'errore umano potrebbe causare il verificarsi di tali pericoli.

  • Tutti i modelli di valutazione del rischio iniziano con l'identificazione delle vulnerabilità e dei problemi di sicurezza, ma ci sono due modi chiave per farlo.
    Valutazione qualitativa del rischio. Con una valutazione qualitativa del rischio, i decisori esplorano la loro comprensione dei rischi che incidono sulle loro operazioni. Questo approccio utilizza affermazioni soggettive per valutare vari fattori che potrebbero influenzare i risultati e le attività di un'azienda. La valutazione di questi fattori richiede che la direzione prenda decisioni informate sui modi in cui possono mitigare tali rischi.
  • Valutazione quantitativa del rischio. Ciò comporta l'utilizzo di tecniche matematiche per assegnare valori numerici a fattori identificati, come l'assegnazione di un numero che rappresenta la probabilità di guasto.


Le valutazioni del rischio che utilizzano tecniche sia quantitative che qualitative sono considerate ideali perché possono valutare i rischi utilizzando descrittori rilevanti e valori effettivi.

Tipi di politiche di sicurezza

Dopo una valutazione del rischio, le aziende possono iniziare a creare politiche di sicurezza informatica. Le aziende devono stabilire molte politiche diverse e ognuna svolge un ruolo importante nella protezione delle aziende dagli hacker e da altri tipi di violazione dei dati. Ecco alcuni di quelli comuni.

  • Politica sulle password. Una politica delle password è un insieme di regole che i dipendenti devono seguire per proteggere l'azienda dalle violazioni dei dati. Può essere semplice come definire cosa dovrebbero fare i dipendenti in caso di smarrimento della password, ma criteri più approfonditi includono istruzioni specifiche sull'impostazione di password complesse e sulla loro modifica regolare.
  • Politica di protezione antivirus. È necessaria una politica di protezione antivirus per proteggere la rete aziendale da virus e altri tipi di malware.
  • Politica di sicurezza della rete wireless. Una rete wireless sicura richiede che i dipendenti scarichino un dispositivo wireless crittografato. Specifica inoltre che la rete deve disporre di una password ed essere regolarmente controllata per rilevare eventuali intrusioni.
  • Politica del firewall. Una policy firewall è essenziale per garantire che utenti non autorizzati non possano accedere ai dati aziendali. Una buona politica del firewall indicherà come un'azienda può impedire alle persone di utilizzare qualsiasi software per eseguire il tunneling nella sua rete. Specifica inoltre i tipi di traffico autorizzati a transitarvi.

Oltre ad avere politiche solide, le aziende devono disporre di solidi piani di implementazione per, ad esempio, adottare firewall che vietano l'accesso a un particolare sito o applicazione. Dovrebbero anche utilizzare le password sulle loro reti online e sui dispositivi wireless. Infine, le aziende dovrebbero educare i propri dipendenti sui rischi e sui modi corretti per eseguire le politiche di sicurezza.
Tutti questi passaggi, tra gli altri, sono necessari affinché le politiche siano efficaci.

Vantaggi delle politiche di sicurezza

Sebbene non esista una sicurezza di rete completamente sicura, avere una politica del firewall assicurerà che gli hacker abbiano difficoltà a entrare nella rete. Le politiche di sicurezza aiutano anche i dipendenti a comprendere i loro ruoli nella sicurezza aziendale e come dovrebbero comportarsi durante la protezione dei dati aziendali. Ciò semplifica la risposta agli attacchi, soprattutto con un team di sicurezza IT ben preparato.

Una politica di rete di sicurezza può essere molto efficace per proteggere le aziende da violazioni dei dati e altri tipi di crimini informatici. Garantirà inoltre che i dipendenti siano informati sui loro ruoli nella creazione di reti sicure, il che renderà più facile per le aziende rispondere agli attacchi.

Le politiche di sicurezza non hanno lo scopo di spaventare le persone facendole credere che non ci sia sicurezza. Piuttosto, dovrebbero essere usati come strumenti per proteggere le reti da hacker e malware esterni. Avere politiche di sicurezza consolidate in atto può aiutare a mantenere le aziende al sicuro online poiché si verificano violazioni dei dati di alto profilo in tutto il mondo.