5 controlli fondamentali per la sicurezza informatica delle PMI
Gestire una piccola impresa non è mai stato facile, ma con l’evoluzione della tecnologia, le sfide sono aumentate. Le PMI devono attrarre e trattenere talenti, gestire le lamentele dei clienti e assicurarsi di crescere in modo intelligente e strategico. Tuttavia, a meno che non ci si occupi di tecnologia, la sicurezza informatica è una delle ultime cose a cui le PMI pensano – e questo le rende vulnerabili.
In Italia, le PMI devono affrontare ogni giorno un campo minato di rischi potenziali e attacchi cyber. Secondo il Rapporto Clusit sulla sicurezza informatica, nel primo semestre del 2022 sono stati registrati 1.141 attacchi (+8,4% rispetto al primo semestre 2021), con una media di 190 attacchi al mese. La maggior parte delle PMI, inoltre, non è preparata ad affrontare questo tipo di minacce: il 37% delle PMI Italiane ha subito degli attacchi. La trasformazione digitale e la migrazione al cloud, inoltre, aumentano le opportunità, ma espongono maggiormente ai rischi.
Un recente report di Forbes mostra come il 57% delle PMI non crede che sarà vittima di attacchi informatici, nonostante l’aumento nel numero e nella gravità di questi ultimi. È però arrivato il momento che anche le PMI trattino la sicurezza informatica in modo serio.
Per iniziare, mettiamo a disposizione alcuni controlli fondamentali.
Formazione per i dipendenti sui rischi della sicurezza informatica
Circa il 65% delle PMI non fornisce formazione ai propri dipendenti in materia di consapevolezza dei rischi informatici e delle best practices in materia di sicurezza. La realtà è che il 90% delle violazioni di rete sono causate da errori umani. Un’e-mail di phishing, che può sembrare innocua al filtro spam, può essere cliccata da un dipendente poco accorto e portare all’esposizione di informazioni sensibili.
La formazione dei dipendenti è fondamentale: un corso di cyber security awareness permetterebbe sia di educare i dipendenti alle best practices della sicurezza informatica, sia di renderli più proattivi nell’identificare e segnalare eventuali attacchi.
> Inizia gratuitamente il corso cyber security awareness
Piano di Incident Response
La principale preoccupazione delle PMI sono appunto gli attacchi di phishing, ransowmare e l’ingenuità dei dipendenti. È necessario trattare queste minacce come inevitabili e sviluppare in modo proattivo un piano di incident response e disaster recovery. Come si suol dire: “Spera per il meglio, preparati al peggio”
Un piano di incident response aiuta a individuare, rispondere e recuperare da un incidente di sicurezza. Il piano dovrebbe definire chiaramente come documentare e mitigare gli attacchi, oltre alle fasi necessarie per ripristinare sistemi e applicazioni immediatamente dopo l’incidente. Prepararsi in anticipo con un piano di incident response e disaster recovery può aiutare le PMI a gestire meglio le minacce informatiche e a ridurre al minimo i danni causati da un incidente.
> Leggi anche: Pianificazione della Data Protection – Backup e Disaster Recovery
Password sicure
Secondo ITProToday, l’81% delle PMI ha una policy per le password sicure, anche se solo il 36% utilizza l’autenticazione a più fattori. Strumenti come l’autenticazione a più fattori e il Single Sign-On (SSO) offrono un ulteriore livello di protezione, prevenendo che una singola password rubata possa compromettere informazioni sensibili.
Le policy riguardanti la gestione delle password all’interno di una PMI dovrebbero includere best practices come, ad esempio, cambiare la password ogni tre mesi e utilizzare password uniche e sicure. Inoltre, le PMI dovrebbero considerare l’utilizzo di un password manager, che garantisce una forte protezione alle password personali e aziendali. Questo sistema memorizza e cripta le password, evitando che chiunque senza accesso autorizzato – e verificato attraverso un sistema a più fattori – possa accedere al sistema. In questo caso, i dipendenti dovranno solo ricordare la master password.
Conservazione dei dati sicura
Secondo il Business Performance Innovation Network, meno di una PMI su tre ha dichiarato di avere delle policy in merito alla messa in sicurezza dei dati. Ogni PMI dovrebbe, invece, avere chiare linee guida su dati, sulla classificazione dei file, memorizzazione, accesso e smaltimento. Inoltre, implementare e seguire un piano di backup è essenziale: i dati sui pc devono essere sottoposti a back-up e si dovrebbe prestare particolare attenzione a documenti, database, file finanziati e cartelle dei dipendenti.
È inoltre importante ricordare che la conservazione dei dati, in Italia e in Europa, è regolata dall’art. 13 del GDPR, a cui è obbligatorio essere conformi dal maggio 2018. Per garantire la sicurezza dei dati, le PMI devono quindi assicurarsi di adottare le misure necessarie per rispettare le normative vigenti.
Controllo degli accessi
Le violazioni degli accessi sono spesso causate da un comportamento disattento o inconsapevole. Per questo motivo, ogni PMI dovrebbe adottare delle policy che regolino l’accesso fisico alle strutture critiche e alle postazioni di lavoro (ad esempio ai server e ai laptop dei dipendenti). Definire delle linee guida chiare ed educare i dipendenti sull’importanza di queste ultime è fondamentale per aumentare la consapevolezza e la vigilanza nei confronti di possibili attacchi di social engineering.
Inoltre, il controllo degli accessi passa anche dalla gestione dei permessi: i privilegi di amministratore (di un sito web, di una macchina o di un container) dovrebbero essere concessi solo al personale IT fidato.
Scarica la checklist
Implementando questi 5 semplici controlli per la sicurezza informatica, le PMI possono ridurre significativamente l’area di attacco, ma non sono sufficienti. Scaricando la nostra checklist, scoprirai tutti i controlli basilari da mettere in pratica per migliorare la sicurezza informatica della tua PMI.
