Come proteggere le risorse digitali dell'azienda nel 2024

21 dicembre 2022

Abbastanza spesso  incontriamo aziende, soprattutto start-up e PMI, che non hanno alcun controllo sulle proprie risorse digitali. Semplicemente perché è stato creato da un dipendente che non fa più parte dell'organizzazione o che non è stato reinserito nel silo digitale dell'azienda, causando un impatto su tempi, costi e controllo per l'azienda e, a volte, ponendo colli di bottiglia in situazioni molto cruciali in cui è necessario un cambiamento. Per gli affari, il tempo è denaro e tutto ciò che può farti perdere tempo, in effetti è CRITICO. La motivazione e lo scopo di scrivere questo articolo sono guidati da questa necessità, di definire una "lista di controllo dell'igiene per la gestione delle risorse digitali", in modo che tu come azienda non commetti lo stesso errore e possa essere meglio attrezzato per lo stesso.

Poiché il contesto delle risorse digitali può essere enorme, lasciatemi attenermi a quelle che riguardano le applicazioni web e mobili che eseguite e teniamo da parte per il momento qualsiasi altra risorsa digitale come risorse IT, risorse fisiche digitali, ecc. 

Quali sono le risorse digitali utilizzate dalle applicazioni web e qual è il modo migliore per gestirne la proprietà. Quali sono le domande che dovresti sapere come imprenditore quando possiedi queste risorse digitali e quali sono le cose da fare e da non fare qui.

  • Hosting e DNS

La tua app può essere ospitata in un ambiente di hosting condiviso come GoDaddy, o un hosting VPS dedicato come DigitalOcean o Linode, o un ambiente cloud come AWS Ec2 o Azure. Qualunque sia l'ambiente, è importante che l'account ROOT dell'hosting sia titolare di una comune email aziendale, con autenticazione a 2 fattori collegata a un numero di cellulare appartenente all'azienda. Le parti interessate dell'azienda dovrebbero ricevere TUTTE le notifiche dall'account di hosting in ogni momento, perché se si verificano errori di fatturazione per 3 mesi consecutivi il tuo account può essere chiuso o i dati cancellati e questo è un ENORME rischio. Fondamentalmente l'e-mail configurata qui deve essere MONITORATA in ogni momento e i dati sono troppo critici se non lo fai.

E altrettanto importante quanto il controllo sull'hosting, è il controllo sul DNS o sul provider del nome di dominio (potrebbe essere GoDaddy, Mercaba o qualsiasi altro). L'account principale presso il registrar del dominio deve trovarsi nell'e-mail aziendale comune, incluso il numero di cellulare ad esso collegato per l'autenticazione a 2 fattori. Le notifiche di scadenza dei nomi a dominio devono essere impostate correttamente in modo da ricevere avvisi tempestivi, e devono essere tracciate per evitare tempi di inattività o disservizi imprevisti.

  • La tua applicazione Web e le interfacce API 

L'applicazione web sarà nel tuo ambiente di hosting ma è importante saperlo

  1. Quante istanze stai eseguendo e per quante ti vengono fatturate?
  2. Qual è lo stack tecnico in esecuzione su ciascuna istanza, ad esempio, se its PHP O Nodo O Reagire o una combinazione di stack per backend e frontend. 
  3. Dov'è ospitato il database e quanti database stai utilizzando.
  4. Quali sono le integrazioni di terze parti per l'app e hai il controllo degli account utilizzati per ciascuna di queste.
  5. L'applicazione utilizza altri servizi come Elastic Search, S3 o qualsiasi altro servizio che viene addebitato/fatturato ulteriormente e su quale base viene fatturato. 
  6. La cosa più importante è chi ha accesso all'ambiente di hosting, come viene controllato e qual è il processo utilizzato per concedere/revocare l'accesso. Idealmente non dovresti MAI condividere l'accesso all'account root, il modo migliore è aggiungere utenti/invitarli a utilizzare l'account come un tipo specifico di utente in base al livello di accesso richiesto. Oppure concedi l'accesso a un livello ssh o specifico per il lavoro che è necessario svolgere.

  • Base del codice dell'applicazione Web

È importante ogni volta che esegui un web o applicazione mobile che disponi di un account di repository del codice sorgente gestito per la tua azienda, sia esso Github o Bitbucket o servizi simili. L'e-mail utilizzata per la creazione dell'account DEVE essere di proprietà dell'azienda e per ciascun progetto è possibile fornire agli sviluppatori il livello di accesso richiesto. Deve essere presente un processo per aggiungere utenti/revocare utenti in base all'entrata/uscita dai progetti. Ed è anche possibile concedere l'accesso in lettura a qualcuno per visualizzare il codice, se desideri lavorare con una nuova società di sviluppo e concedergli l'accesso per controllare il codice.

Per una protezione aggiuntiva, è bene aggiungere un ulteriore livello di protezione per il ramo master/principale che ha il codice di produzione, in modo tale che richieda l'approvazione per qualsiasi unione di codice a questo ramo e proteggere il ramo dall'eliminazione, ecc. Se vedi modi per abilita la protezione dei rami per Git, otterrai ottimi spunti al riguardo.

  • Integrazioni di terze parti

Al giorno d'oggi la maggior parte delle applicazioni web dispone di numerose integrazioni di terze parti, le più comuni delle quali sono Google Maps, Google Analytics, gateway di pagamento, gateway SMS per la convalida OTP, Mailchimp per gli abbonamenti alle newsletter ecc. È importante garantire che tutti gli account utilizzati dall'azienda provengono dalla comune email aziendale, con autenticazione a 2 fattori collegata a un numero di cellulare appartenente all'azienda. Per garantire inoltre che tutte le chiavi API utilizzate per l'integrazione siano generate con il nome del progetto specifico e fornite al team di sviluppo/integrazione. Sarebbe un problema se consenti agli sviluppatori di utilizzare i propri account, creare queste credenziali e consentirne l'utilizzo, anche nel caso di una mappa Google o di un servizio gratuito. Ad un certo punto l'azienda dovrà passare agli account a pagamento in base all'utilizzo e sarà quindi complicato cambiare o aggiornare l'account senza problemi.

  • Google Analytics, accessi social o altri

È bene pianificare e integrare sempre l'analisi su tutte le risorse digitali che gestisci, soprattutto se rivolte ai clienti. E l'azienda dovrebbe possedere l'account Google Analytics che utilizzeresti, allo stesso modo in cui l'azienda dovrebbe possedere tutti gli account dei social media che utilizza per tutte le sue integrazioni.

  • Backup e istantanee

Sebbene backup e snapshot facciano parte della strategia di hosting, a seconda del tipo di hosting è importante verificare se sono sempre disponibili. Piattaforme cloud come AWS e Azure, mantengono gli snapshot, ma non tutti i provider di hosting potrebbero mantenere backup continui dei dati ed è sempre una buona strategia mantenere backup REMOTI regolari.

Quando si tratta di app mobili

  • Credenziali PlayStore e Apple Store

Si tratta di credenziali utilizzate dagli sviluppatori per pubblicare le app sul Google Play Store o sull'App Store di Apple e devono essere di proprietà dell'azienda e non consentire agli sviluppatori di utilizzare le proprie. In questo modo hai sempre il controllo sull'analisi e sugli aggiornamenti delle app e ricevi una notifica di eventuali versioni deprecate e aggiornamenti che potrebbero essere necessari per le app. I rispettivi sviluppatori possono avere accesso solo su invito ai progetti su cui lavorano e qui non è necessario altro. 

  • Notifiche push – Credenziali

La maggior parte delle app mobili utilizza un servizio di terze parti per le notifiche push, ad esempio Firebase o altri. Qualunque sia quello che usi, è importante avere il controllo sull'account utilizzato qui.

  • Base di codice dell'applicazione mobile

Base di codice dell'app mobile proprio come applicazioni web il codice base deve essere mantenuto in uno strumento di controllo della versione del codice come Git o BitBucket. Anche qui valgono le stesse regole previste per la gestione del codice web. 

In questa era, non possiamo prendere alla leggera le risorse digitali poiché sono l’ancora di salvezza del business in ogni momento, ed è estremamente importante capire come proteggerle e salvaguardarle in ogni momento. Quanto sopra è solo l’inizio, dal punto di vista dell’igiene e delle cose da fare e, man mano che scaviamo più a fondo, ci sono ulteriori migliori pratiche e standard che possono essere seguiti. Ma il CONTROLLO più importante è garantire che questo sia già disponibile fin dall'inizio!

VUOI CONSULTARE CON NOI….CONTATTACI ORA!

it_ITItalian