Quando un’azienda desidera migliorare la propria sicurezza è fondamentale analizzare lo status dell’infrastruttura informatica esistente. Ma come può una PMI capire quanto è elevata la protezione? Grazie a questi test di autovalutazione e agli assessment è possibile farsi già una prima idea.
A volte un clic è decisivo. Forse il collaboratore ha aperto un allegato scatenando un attacco ransomware, o magari la sorte è stata propizia risparmiando serie grane all’azienda. Questo scenario presupporrebbe la sicurezza informatica fondata sul principio della speranza, completamente inadeguato per una PMI. La situazione è molto più sicura, al contrario, quando i firewall riescono a identificare il malware già prima che questo si insidi nella posta in arrivo, evitando così che i collaboratori rimangano vittime di mail di phishing.
Il primo passo: controllo della sicurezza nero su bianco
Le checklist costituiscono un modo semplice per iniziare a verificare la sicurezza della propria infrastruttura informatica. Mostrano infatti quali misure sarebbe opportuno adottare e qual è lo status attuale. Il risultato è una lista con provvedimenti organizzativi e tecnici che aiutano la PMI ad aumentare la protezione.
È possibile eseguire test online e compilare checklist in poco tempo. Queste misure sono pertanto ideali come primo passo per analizzare lo status della sicurezza informatica.
Questi test di autovalutazione, spesso anche denominati «self assessment», non sono comunque un indice di riferimento attendibile in merito all’effettivo rischio e non forniscono delucidazioni in merito a un passato attacco all’azienda. Due check di sicurezza per le PMI svizzere:
- Il Quick Check per PMI di digitalswitzerland
- Il Security Check di Swisscom
Il secondo passo: sensibilizzare i collaboratori
Le misure di sicurezza sono efficienti solamente se applicate nella prassi. Collaboratori attenti e messi al corrente di eventuali pericoli apportano un contributo essenziale alla protezione complessiva. Ai link sotto riportati le aziende possono trovare utili consigli su come comportarsi con password, mail sospette e così via:
- Regole di comportamento della Centrale d’annuncio e d’analisi per la sicurezza dell’informazione (MELANI) della Confederazione.
- «Nessuna chance agli hacker»: breve e-learning firmato Swisscom per sensibilizzare i collaboratori.
Strategie e «best practices» per la sicurezza informatica
Schede informative e linee guida relative all’introduzione e alla gestione della sicurezza informatica sono destinate prevalentemente a PMI di medie e grandi dimensioni. La norma ISO 27001 definisce linee guida di sicurezza per gestire un sistema garante di sicurezza informatica. Verificare quanto un’azienda rispetti tali standard fornisce una panoramica dello stato attuale delle misure di protezione. Un utile strumento online per svolgere una tale analisi delle lacune è ad esempio 27001Academy.
Il terzo passo: valutare la propria infrastruttura
Senza dubbio checklist e linee guida forniscono una panoramica delle misure adottate e dei punti sui quali è ancora necessario intervenire, eppure non sono un indice affidabile di quanto efficace sia la protezione esistente e di quali minacce incombano sull’azienda. Al fine di chiarire la situazione individuale e per definire provvedimenti di sicurezza, è necessario un audit. Nel quadro di un’analisi del genere, specialisti in materia di sicurezza informatica mettono l’azienda sotto la lente d’ingrandimento, analizzano i provvedimenti adottati e individuano, ove presenti, punti deboli e lacune.
Quanto più ampio sarà l’audit, tanto maggiori saranno gli investimenti in termini economici e di tempo. E tuttavia non bisogna dimenticare che le ripercussioni finanziarie derivanti da un attacco malware potrebbero essere molto più salate.
Questi audit si dividono in categorie diverse a seconda della puntigliosità e del dispendio:
- Nel caso di un «controllo rapido» gli specialisti della sicurezza scandagliano solamente gli elementi prestabiliti dell’infrastruttura informatica aziendale. In casi del genere è sensato lasciar analizzare i sistemi e le applicazioni indispensabili per il funzionamento dell’impresa, quali ERP e CRM.
- Un test della vulnerabilità identifica automaticamente lacune in termini di sicurezza presenti nei sistemi. È quindi in grado di individuare punti deboli noti, come ad esempio la mancanza di un aggiornamento di sicurezza.
- Il penetration test, invece, consente agli specialisti della sicurezza di calarsi nelle vesti di un hacker e di attaccare l’infrastruttura aziendale, chiaramente in concerto con i responsabili e sulla base di un accordo scritto. Tale processo manuale, alquanto dispendioso, dispiega diversi metodi di attacco e riesce a scovare lacune in termini di sicurezza che rimangono ignote persino ai test automatizzati.
Il fornitore di servizi informatici o l’offerente costituiscono anche gli interlocutori per gli audit di sicurezza. Supportano infatti nella selezione di un’azienda di sicurezza informatica idonea e nella definizione dei provvedimenti.
Security Check per la vostra azienda
Digitalizzazione significa rete ad alta intensità. Le persone, le macchine, la tecnologia e l’economia sono interconnessi. I processi vengono digitalizzati. Molti sistemi sono accessibili da ovunque tramite internet. In un simile contesto, la cybersicurezza è imprescindibile.
Scoprite in quali ambiti potete migliorare la protezione con l’ausilio di nostro Security Check.
Passo dopo passo verso una maggiore sicurezza
La sicurezza informatica è come il principio di Pareto, o «legge 80/20». Un test di autovalutazione «su carta» consente di identificare e colmare le maggiori lacune, ove presenti, avvalendosi eventualmente dell’aiuto di un fornitore di servizi informatici. Questa procedura consente di risparmiare in termini di tempo e risorse rispetto a test di più ampio respiro.
Profondamente sbagliato è, al contrario, restare con le mani in mano, perché le minacce cambiano costantemente e, di conseguenza, anche le misure di sicurezza debbono venir adeguate di pari passo. Sulla sicurezza non si scherza.