I primi dieci aspetti che le piccole aziende devono conoscere per proteggere e garantire la sicurezza dei loro dati

di Donna R. Childs

La maggior parte del personale delle piccole imprese probabilmente riconosce che è essenziale proteggere i dati strategici e sottoporli a backup. Tuttavia, in molti casi, queste aziende non utilizzano best practice per la sicurezza e il backup dei dati. Di seguito vengono riportati i primi dieci aspetti che le piccole imprese devono conoscere per proteggere i dati aziendali e garantirne la sicurezza. Le voci dell’elenco sono ordinate a partire dalle best practice più comuni a quelle meno diffuse. Quante di queste best practice vengono rispettate nella vostra azienda?

Le piccole aziende devono conoscere quali dati occorre proteggere.

Le piccole aziende devono avere implementato procedure per la digitalizzazione e l’archiviazione delle informazioni importanti, che non è possibile conservare esclusivamente in formato cartaceo.

Le piccole aziende devono tenere in considerazione il ciclo di vita della gestione delle informazioni.

Le piccole aziende devono assicurarsi che i dati non più necessari vengano eliminati in modo sicuro.

Le piccole aziende devono comprendere i requisiti normativi e di conformità necessari per proteggere e garantire la sicurezza dei dati.

Si tratta di informazioni sui clienti, dati delle risorse umane, segreti commerciali, informazioni finanziarie e sull’attività? È necessario essere in grado di assegnare priorità alle informazioni, in modo da identificare i dati strategici da proteggere. Tali dati devono essere protetti contro una gamma di minacce, dal malware ai virus, alle strategie di phishing. Inoltre è necessario sottoporli a backup, per potere recuperarli facilmente in caso di perdite o danni ai file delle informazioni principali.

Sono inclusi documenti strategici quali, ad esempio, contratti di leasing per uffici o ricevute fiscali firmate. Tali documenti dovrebbero essere acquisiti mediante scansione e conservati in formato elettronico. Poiché contengono informazioni sensibili, devono inoltre essere protetti dalle minacce alla sicurezza.

È necessario stabilire quali informazioni proteggere e per quanto tempo. Per una piccola azienda, non è produttivo proteggere e sottoporre a backup informazioni obsolete. D’altra parte, il corretto smaltimento dei file elettronici non più aggiornati richiede una certa disciplina.

Se i dati aziendali non vengono rimossi correttamente dall’hardware, compresi i dispositivi mobili, l’azienda corre il rischio di violazioni della sicurezza ed errori operativi, quali la creazione di backup di informazioni obsolete.

Un ambulatorio medico, ad esempio, ha l’obbligo di rispettare requisiti legali specifici per la protezione dei dati dei pazienti. Tutte le piccole aziende devono attenersi a requisiti particolari per la durata di conservazione delle informazioni fiscali e salariali.

1

2

3

4

5

Le piccole aziende devono stabilire convenzioni per i nomi file, in modo da assicurare la corretta identificazione dei dati protetti.

Le piccole aziende devono assicurarsi che tutto lo staff conosca le procedure appropriate per proteggere le informazioni sull’attività.

Le piccole aziende dovrebbero avere implementato processi automatizzati per la protezione e il backup dei dati.

Le piccole aziende devono proteggere i dati mediante strutture di backup off-site sicure.

Le piccole aziende dovrebbero verificare i backup, per assicurarsi che proteggano le informazioni appropriate.

Secondo il Butler Group, le aziende dedicano il 10% della spesa salariale alla ricerca di file e informazioni. Si tratta di un importo considerevole, che le piccole aziende non possono giustificare.1

La sicurezza di un’azienda si misura in base al punto più vulnerabile. Le piccole aziende devono inoltre accertarsi che lo staff sappia come recuperare informazioni dai backup, se necessario; infatti il personale IT esperto potrebbe non essere sempre disponibile per guidare un’operazione di recupero dei dati.

Circa la metà di tutte le piccole aziende che sottopongono a backup i dati esegue tale procedura manualmente e pertanto corre il rischio di interrompere l’attività. Automatizzando il processo di backup ci si assicura di non dimenticarlo o trascurarlo quando il personale ha meno tempo disponibile a causa di un aumento delle richieste.

La maggior parte delle piccole aziende sottopone a backup i dati in loco: di conseguenza, in caso di un’interruzione dell’attività, ad esempio dovuta a incendi o inondazioni, si perde l’accesso simultaneamente alle informazioni principali e al relativo backup.

L’inizio del processo di ripristino dei dati è il momento meno opportuno per scoprire che alcuni file strategici per l’azienda non sono stati archiviati come pianificato.

6

7

8

9

10

Secondo un’indagine della National Federation of Independent Businesses, le piccole aziende standard subiscono, in media, un’interruzione dell’attività superiore a 24 ore una volta ogni tre anni. Questi eventi possono essere dovuti a virus che danneggiano le reti o i server oppure a calamità naturali che richiedono l’evacuazione degli uffici; si tratta di situazioni abbastanza comuni. Pertanto è opportuno che le piccole aziende si difendano dalle interruzioni certe implementando best practice per la protezione dei loro dati. Ciò garantisce la serenità e contribuisce ad aumentare l’efficienza operativa aziendale. Donna R. Childs è l’autrice di Prepare for the Worst, Plan for the Best: Disaster Preparedness and Recovery for Small Businesses (seconda edizione, John Wiley & Sons Inc., 2008). È titolare di una piccola azienda con progetti in Asia, Africa ed Europa. Il suo sito Web è www.preparedsmallbusiness.com.

1 Michael Azoff, Master Data Management, The Butler Group, 27 gennaio 2009.