Normativa
FRANCIA: IL GOVERNO PUBBLICA UNA “GUIDA PRATICA” PER LA SICUREZZA INFORMATICA DELLE IMPRESE
« Comment piloter la cybersécurité de son entreprise ou association : 10 points d’attention » COMUNICATO / WEBPAGE DI RIFERIMENTO e GUIDA PRATICA - 06 marzo 2024
REPUBLIQUE FRANÇAISE / FRANCE-NUM
https://www.francenum.gouv.fr/
CYBERMALVEILLANCE.gouv.fr
https://www.cybermalveillance.gouv.fr/
REPUBLIQUE FRANÇAISE /FranceNum (Gouvernement) - Link al COMUNICATO / webpage di riferimento
REPUBLIQUE FRANÇAISE /FranceNum (Gouvernement) - Link alla GUIDA PRATICA »
Il Governo francese ha recentemente pubblicato un documento che sottolinea come i crescenti rischi di attacco informatico (a cui soprattutto le microimprese, le PMI e le associazioni risultano esposte) rendano urgente e necessario, da parte del management, attuare efficaci strategie di sicurezza informatica. Come è noto, le conseguenze degli attacchi informatici sono spesso significative a livello tecnico, finanziario, reputazionale, legale e possono incidere anche sulla stessa sopravvivenza delle strutture imprenditoriali di piccole dimensioni.
Pertanto, la guida pratica (“Fiche pratique”) pubblicata dal Governo intende fornire ai manager un supporto metodologico “pratico”, organizzato in 10 “punti di attenzione”, i cui contenuti sono i seguenti:
I. - Inventario del “capitale digitale”
È opportuno redigere un inventario - quanto più esauriente possibile - di tutti gli “attivi digitali” disponibili (reti interne, siti web, messaggistica, social network, applicazioni e servizi esternalizzati) e dei loro responsabili (supporto informatico interno o esterno).
II. – Consapevolezza del rischio
Per ogni sistema censito, valutare le possibili conseguenze critiche nel caso in cui esso venisse violato o distrutto, oppure nell’eventualità in cui i dati in esso contenuti fossero rubati dai criminali informatici.
III. – Valutazione del livello di protezione
Chiedere al supporto IT aziendale una valutazione della pertinenza delle misure di sicurezza tecniche, organizzative e/o contrattuali applicate rispetto ai problemi (policy relative a password, backup, aggiornamenti o anche filtraggio degli accessi esterni).
IV. – Definire un piano d’azione
Viene sottolineato che l’80% degli attacchi informatici potrebbe essere evitato adottando misure semplici ed economiche, come una buona gestione di password, backup, aggiornamenti di sicurezza o diritti di accesso. È necessario dare priorità alle azioni da intraprendere in base al rapporto criticità/costo/efficacia.
V. – Disporre del necessario supporto
È necessario designare una persona responsabile dell'assistenza nella gestione del piano di sicurezza informatica dell’impresa.
VI. – Sensibilizzare i dipendenti
I dipendenti rappresentano un anello essenziale della sicurezza informatica dell’impresa, sia che si tratti di applicare “buone pratiche” di sicurezza o di rilevare e reagire a un tentativo di attacco.
VII. – “Prepararsi al peggio”
Non esiste una sicurezza informatica assoluta: il rischio di un attacco informatico “a segno” è sempre possibile. È pertanto opportuno preparare piani di emergenza per far fronte a una eventuale crisi e svolgere esercitazioni per garantirne l'efficacia.
VIII. – Coinvolgimento e partecipazione
Al fine di garantire che il piano d’azione per la sicurezza informatica sia convenientemente realizzato è necessario che il management venga coinvolto e guidato attraverso aggiornamenti regolari, stimolandolo a “dare l'esempio”, sostenendo comportamenti di compliance con le misure di sicurezza a protezione dell’impresa.
IX. – Controllo
È importante verificare che le misure decise per la sicurezza dell’impresa siano state effettivamente messe in atto. Per i sistemi caratterizzati da elevata criticità potrebbe essere necessario il supporto di un audit tecnico e organizzativo (presso fornitori di servizi specializzati in sicurezza informatica).
X. – Mantenere nel tempo un iter di sviluppo della sicurezza
All’interno delle imprese, i servizi digitali sono in continuo cambiamento, così come i mezzi per attaccarli. Per far fronte a tale evoluzione, si consiglia di integrare sempre ogni nuovo servizio digitale nel piano di sicurezza informatica dell’impresa, ancor prima di procedere all’implementazione del nuovo servizio.