Cyber security o sicurezza delle informazioni, la differenza che le aziende ignorano (spesso)

  • Postato da: Redazione

>>Credit: Puoi leggere l’articolo originale che è stato pubblicato da questo sito

In un’azienda che voglia proteggersi a 360 gradi, sicurezza delle informazioni e protezione dei sistemi devono andare di passo. In realtà, spesso le due cose vengono confuse, per questo è opportuno sottolineare come premessa di questa riflessione che proteggere i sistemi (e non le informazioni) e quindi “fare cyber security” significa avere solo cura del “contenitore”, correndo il rischio di dimenticare il contenuto.

Spieghiamo quindi perché mentre buona parte delle attività di cyber security possono essere esternalizzate (così come è possibile affidare a terzi le stesse infrastrutture che queste vanno a proteggere) occuparsi di sicurezza delle informazioni dovrebbe essere un tema centrale del management delle imprese: come tale, la visione e la strategia di protezione che devono essere realizzate dovrebbero essere parte integrante del modo di “fare impresa”, ovvero del DNA dell’organizzazione.

Cyber security, una definizione chiara

Come accade con molti termini tecnici, spesso l’uso del termine cyber security nel linguaggio comune non riflette il suo preciso significato, e le implicazioni che questo può avere nell’ambito delle iniziative concrete, nei prodotti e nelle soluzioni che vengono poi avviate per mitigare i rischi del cosiddetto “cyberspazio”, possono non essere banali.

Nel Cobit Framework, la “cybersecurity” è definita come “tutto ciò che protegge l’azienda e gli individui da attacchi intenzionali, violazioni o incidenti, e dalle loro conseguenze”. Ancora, per il NIST americano, la cybersecurity consiste nella “capacità di proteggere o difendere l’uso del cyberspazio dai cyber-attacchi”, ovvero intenzionali, che avvengono nel dominio logico e verso i sistemi informatici.

Viceversa, abbiamo da anni definito la sicurezza informatica come la capacità di proteggere i requisiti di integrità, disponibilità e riservatezza delle informazioni.

Cosa cambia quindi e perché è importante fare questo, noioso, distinguo?

Perché, evidentemente, occuparsi di sicurezza non riguarda solo tenere lontani i “cattivi esterni” che agiscono tramite la tecnologia contro i sistemi aziendali, quanto piuttosto proteggere le persone, i processi aziendali e le informazioni durante tutto il relativo ciclo di vita.

Cosa vuol dire proteggere le informazioni

L’informazione, infatti, circola nell’azienda secondo molteplici modalità, ognuna delle quali presenta rischi specifici anche non tecnologici: smarrire una chiavetta USB, subire il furto di un portatile o di un documento cartaceo, sono solo alcune delle minacce di cui la sicurezza delle informazioni si occupa e che sono fuori dal dominio della cybersecurity.

Autore: Redazione