La cybersicurezza nelle PMI
Il motivo per cui gli attacchi trovano terreno fertile se rivolti alle PMI è dovuto ad un livello di preparazione per affrontare emergenze più basso rispetto invece alle competenze all’interno delle grandi aziende, le quali possono investire più capitale su programmi di sicurezza articolati dovuto al maggiore rischio di rimanere vittime di riscatti ingenti o di danni maggiori alla reputazione.
Questo non significa che le prime possono ignorare i potenziali rischi a cui sono esposte, perché, oltre a compromettere la propria azienda, possono essere il veicolo conduttore ad accessi nella sicurezza di altre imprese all’interno della filiera produttiva di cui fanno parte.
Basti pensare che, nel 2016, il 47% delle piccole e medie imprese sono state vittime di attacchi e il numero è aumentato di almeno sette punti nel 2017, pertanto la prevenzione diventa fondamentale.
Le cause della maggiore esposizione delle piccole imprese sono molteplici:
- la preparazione dei dipendenti, i quali, talvolta, non sono a conoscenza nemmeno delle più piccole accortezze da adottare in ufficio, come il prestare attenzione ad aprire le email provenienti da indirizzi sconosciuti o navigare solo all’interno di siti web sicuri;
- l’utilizzo di strumenti poco adatti per prevenire eventuali attacchi, come un antivirus non aggiornato o che garantisce una copertura limitata;
- un controllo minore delle attività in ufficio dovuto alla mancanza di una figura di riferimento che si occupi della sicurezza informatica, dovuto, in primis, alla carenza di specialisti nell’ambito specifico, oppure a causa del budget limitato.
E dire che investire nella cyber security conviene molto di più rispetto a subire un attacco informatico, come afferma Il Sole 24 Ore: il quotidiano ha simulato il caso di una media impresa il cui fatturato annuo si gira intorno ai 120 milioni e ha stimato un danno pari a venti milioni di euro, tra l’eliminazione dell’attacco e il blocco della produzione dovuto ad esso.
Come prevenire i problemi alla sicurezza
La prevenzione può essere effettuata nel modo più efficace partendo da dei semplici accorgimenti che tutti possono applicare facilmente.
A questo proposito, ci viene in aiuto il documento “2016 Italian Cybersecurity Report”, ricerca condotta dal CIS dell’Università La Sapienza e dal CINI
nel 2015 ma ancora molto attuale, all’interno del quale sono riassunti
15 Controlli Essenziali di Cybersecurity adottabili da piccole e medie
imprese con lo scopo di diminuire le vulnerabilità presenti nei sistemi
informatici aziendali e per aumentare la consapevolezza dei dipendenti
in ambito di cybersecurity.
I 15 punti sono efficaci proprio grazie
alla loro facile implementazione, la quale, se effettuata correttamente,
riesce a ridurre in modo consistente il rischio.
I consigli da seguire sono:
- mantieni aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale;
- utilizza solamente i servizi web strettamente necessari (social network, cloud computing, posta elettronica, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati;
- individua le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti;
- nomina un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici;
- identifica e rispetta le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda;
- tutti i dispositivi che lo consentono devono essere dotati di un software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato;
- utilizza delle password diverse per ogni account, di una complessità adeguata e valuta l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori);
- controlla gli accessi: il personale autorizzato ai servizi informatici deve disporre di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati;
- regola i permessi: ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza;
- forma il personale, il quale deve deve essere adeguatamente sensibilizzato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, utilizzare solo software autorizzato, . . . );
- se non sei tu, fai svolgere la configurazione iniziale di tutti i sistemi e dispositivi da un responsabile esperto, che si occuperà della configurazione sicura degli stessi. Le credenziali di accesso di default devono essere sostituite ciclicamente;
- esegui periodicamente backup delle informazioni e dei dati critici per l’azienda. E’ importante conservare i backup in modo sicuro e verificarli periodicamente;
- proteggi le reti e i sistemi da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione);
- in caso di incidente (es. venga rilevato un attacco o un malware), informa il personale esperto oppure occupati di mettere in sicurezza i sistemi utilizzati;
- aggiorna tutti i software in uso (inclusi i firmware) all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili, invece, verranno dismessi.
Conclusione
La continua evoluzione in ambito tecnologico e di impresa non permette di rimanere indietro ma, al contrario, di anticipare e prevenire almeno i problemi più comuni.
Tuttavia, difendere la propria azienda da possibili attacchi informatici è più semplice di ciò che si può pensare e conviene certamente di più rispetto alla spesa da sostenere nel momento in cui il danno è fatto.
La lista fornita dal report di cui abbiamo parlato sopra è un buon punto di partenza, ma non fermarti lì: pensa alla sicurezza dei dati della tua azienda come una delle risorse più importanti a tua disposizione e tutelali attraverso una continua formazione e un costante aggiornamento.