Reti e device criptati e dotati di antivirus, server fisici messi in sicurezza, un CISO per orchestrare la security e anche un Centro Operativo dedicato. È un percorso strategico lungo 3 anni, quello che Net Insurance ha intrapreso con la collaborazione delle diverse strutture aziendali per mettere in sicurezza il dato. Un cammino che ha permesso alla compagnia di ottenere ad aprile la certificazione ISO/IEC 27001:2013, standard internazionale che definisce le best practice relative al Sistema di Gestione per la Sicurezza delle Informazioni (SGSI). «Questo riconoscimento è il risultato di un lavoro intenso e lungimirante svolto nel corso degli ultimi anni – illustra Fabio Pittana, COO di Net Insurance. È la prova che stiamo andando nella giusta direzione e rappresenta un ulteriore stimolo per continuare a investire sempre di più nella tutela dei nostri partner e clienti».
Pandemia: niente paura, l’informazione è al sicuro
Una strategia che si è dimostrata vincente soprattutto alla prova della pandemia, che ha visto il cyber crime avanzare prepotentemente approfittando delle maggiori vulnerabilità legate all’uso di device da remoto, anche al di fuori dei sistemi aziendali. Difatti, Net Insurance aveva già innalzato i presidi di sicurezza legati allo smart working grazie a un progetto pilota condotto nel gennaio 2019. Il risultato: nessuno strappo nella continuità operativa dei business partner e standard di servizio elevati. «La pandemia ha quindi solamente accelerato i tempi di un’evoluzione che avevamo già previsto – continua Pittana. Quando sono scattate le prime misure di lockdown, l’impresa è stata capace, in soli 20 giorni, di estendere lo smart working al 100% della popolazione aziendale. Un passo importante reso possibile dal fatto che le reti interne e le strumentazioni aziendali erano già in linea con i più elevati standard sicurezza. Sistemi come VPN, accesso da macchine interne con dominio Net Insurance, firewall di protezione 24 ore su 24, erano già stati attivati e collaudati prima della crisi».
Un lavoro trasversale
Con la consapevolezza di gestire la sicurezza in modo prioritario e strategico, Net Insurance ha agito su più fronti per promuovere un concetto di sicurezza dei dati a 360 gradi: in primis, sulle reti e sui device aziendali, criptati e dotati di antivirus, oltre che con la messa in sicurezza dei server fisici, decentrati nel territorio nazionale e affidati ad aziende specializzate nella data protection. Dall’altra parte, coinvolgendo le risorse in modo trasversale e introducendo figure di controllo come il Chief Information Security Officer e il Comitato di Sicurezza, che ha avuto il compito di coordinare tutte le attività legate alla protezione delle informazioni. «Il riconoscimento ISO 27001 è quindi il frutto di un lavoro intenso e trasversale che ha visto coinvolte le diverse funzioni aziendali: dall’IT all’Internal Audit, dal Risk Management alla Compliance – precisa Pittana. Un percorso avviato nel 2019 e durato 3 anni, portato a termine anche grazie alla consulenza di una società terza leader del settore».
Attivato anche il SOC
Inoltre, è stato attivato il SOC – Security Operation Center: un centro attivo 24 ore su 24 e 7 giorni su 7, che controlla i sistemi di sicurezza dell’azienda e fornisce analisi periodiche legate alla cybersecurity. Il centro si caratterizza non solo per il controllo automatico di tutti i firewall a difesa perimetrale dei sistemi della compagnia, ma anche per la presenza di personale specializzato, con lo scopo di rendere l’analisi ancora più completa e rivelare eventuali criticità del sistema.
La formazione dei dipendenti: prima linea di difesa
Tuttavia, anello debole di ogni sistema di protezione delle informazioni non è la tecnologia ma il fattore umano. In questo contesto, la formazione dei dipendenti è un elemento chiave per prevenire gli attacchi. «Svolgiamo in maniera continuativa corsi specializzati e test di verifica dedicati a tutto il personale della compagnia – afferma Pittana. Il nostro obiettivo è costruire un “Firewall umano”, andando a sensibilizzare e responsabilizzare le persone sul ruolo importante che svolgono in azienda. In materia di sicurezza, l’impegno di tutti fa la differenza».
Il percorso continua
Avere ottenuto la certificazione ISO 27001, a ogni modo, non può essere considerato un traguardo definitivo, ma va guardato come griglia di partenza di un percorso che richiede continue revisioni annuali e miglioramenti. «Al momento, abbiamo già individuato punti di forza e debolezza e predisposto i primi interventi – conclude Pittana. Per i prossimi anni, l’azienda sarà concentrata sull’implementazione del data loss prevention, sull’aumento della sicurezza nell’utilizzo dei nuovi mezzi di comunicazione e sulla continua formazione del personale».
Questo articolo è stato pubblicato sul numero di giugno 2021 di AziendaBanca ed è eccezionalmente disponibile gratuitamente anche sul sito web. Se vuoi ricevere AziendaBanca, puoi abbonarti nel nostro shop .
