5 esempi di casi in cui i direttori di PMI si lasciano ingannare da una falsa sicurezza informatica

La maggior parte delle PMI compie diversi sforzi per la protezione e la sicurezza dei dati. Tuttavia, competenze e responsabilità poco chiare compromettono la protezione dalla perdita di dati e dagli attacchi informatici. Cinque esempi e approcci risolutivi.

I dati vengono salvati regolarmente tramite backup, il partner IT esegue gli aggiornamenti e l’accesso all’archiviazione dei dati sul cloud è disciplinato da diversi diritti di accesso. Allora tutto a posto? Analizziamo più da vicino e smascheriamo gli errori che vanificano le misure di sicurezza messe in atto con le migliori intenzioni. I tre esempi hanno qualcosa in comune: il fallimento non è dovuto alla tecnica, ma a valutazioni errate a livello organizzativo.

Vale la pena fare un’analisi più attenta, perché i direttori e le titolari sono responsabili per legge della protezione e della sicurezza dei dati all’interno della propria PMI. Non è possibile scaricare tale responsabilità e il rischio né su collaboratrici e collaboratori, né su fornitori di servizi IT o su un’assicurazione. Inoltre, la nuova legge sulla protezione dei dati (nLPD), che è entrato in vigore il 1° settembre 2023, aumenta i requisiti per la sicurezza dei dati quale presupposto per la protezione dei dati. Questo è il momento giusto per verificare, analizzare e migliorare le misure adottate. Questo articolo evidenzia i possibili problemi e fornisce soluzioni sotto forma di check list.

Errore 1: con il backup i dati sono al sicuro

A intervalli regolari, la PMI esegue il backup dei propri dati aziendali più importanti: documenti Office, banche dati di CRM ed ERP, manuali e altre informazioni digitali rilevanti. In caso di emergenza è infatti necessario assicurarsi che i dati possano essere ripristinati. Inoltre, in caso di attacco andato a buon fine, i criminali informatici non possono accedere ai backup, perché altrimenti potrebbero crittografare i dati,renderli inutilizzabili o pubblicarli.

Ripensate alla vostra strategia di backup nel caso in cui vi ritroviate in una delle seguenti affermazioni:

• il backup è accessibile da un PC in modo permanente perché si trova su un disco rigido esterno o in un dispositivo di archiviazione di rete.
• il salvataggio non è criptato.
• non viene verificato se il ripristino funziona e se i supporti di backup sono disponibili e leggibili.

Errore 2: le password sicure offrono sicurezza

Tutte le password utilizzate sono conformi alle linee guida previste per la sicurezza delle password, ad esempio: almeno 12 caratteri alfanumerici, caratteri speciali, nessun ricorso a parole del dizionario. Si tratta di un approccio valido, che tuttavia non fornisce anch’esso alcuna garanzia: in caso di sottrazione tramite furto di dati o phishing, tale password non risulterà più sicura. I criminali informatici cercano infatti di accedere a vari servizi tramite «credential stuffing» e utilizzando dati di accesso noti. Si rendono quindi necessarie misure di protezione aggiuntive almeno per account importanti come quello di Microsoft 365 o le applicazioni aziendali. L’autenticazione a due fattori (2FA) incrementa la sicurezza, ma può anche essere aggirata a seconda della procedura. Si rivelano più validi gli approcci che consentono un’autenticazione senza ricorrere ad alcuna password.

Se una delle seguenti affermazioni si applica alla vostra PMI, si consiglia di migliorare la protezione degli account aziendali:

• Utilizziamo la stessa password per più account.
• Lavoriamo senza password manager.
• Non esistono linee guida per le password.
• I nostri account sono protetti soltanto da una password, senza ricorrere a ulteriori misure di sicurezza.

Errore 3: diritti di accesso e account personali proteggono i nostri dati

In linea di massima, questa affermazione è corretta. Ma nella realtà la situazione è spesso diversa, in quanto tutti hanno accesso a tutto. Quella che potrebbe essere una dimostrazione di fiducia nelle collaboratrici e nei collaboratori facilita enormemente il lavoro dei criminali informatici. Infatti, una volta attivo all’interno della rete locale, un ransomware può accedere liberamente a tutti i sistemi e crittografare i dati. Inoltre, il rischio di manipolazioni errate aumenta se, ad esempio, i collaboratori possono eliminare per sbaglio, gettandolo nel cestino, l’intero archivio progetti digitale.

Anche in questo caso, se siete interessati a una delle seguenti affermazioni, verificate le relative autorizzazioni:

• tutte le collaboratrici e i collaboratori hanno accesso all’intero archivio documenti, con poche eccezioni come contabilità e HR.
• quando i collaboratori lasciano l’azienda, gli account rimangono attivi per un certo periodo di tempo.
• per determinati servizi cloud o per l’intranet, più collaboratori utilizzano lo stesso account e la stessa password.

Errore 4: eseguiamo aggiornamenti regolarmente

Il problema risiede nella definizione di «regolare»: effettuate gli aggiornamenti di sicurezza subito dopo il loro rilascio o sono previsti intervalli di tempo fissi durante i quali la vostra PMI o il vostro partner IT aggiorna le postazioni di lavoro e il server? In caso di gravi falle nella sicurezza di Windows e delle applicazioni Office (Microsoft 365), gli aggiornamenti ritardati offriranno una finestra temporale molto apprezzata dai criminali informatici, che sapranno sfruttare tali lacune.

La situazione la conoscete già, se concordate con le seguenti affermazioni, dovreste interrogarvi sulla strategia degli aggiornamenti:

• noi (o il partner IT) installiamo gli aggiornamenti a intervalli definiti.
• abbiamo in funzione sistemi per i quali non sono più disponibili aggiornamenti di sicurezza.
• non possiamo aggiornare alcuni sistemi perché il software è troppo vecchio per i sistemi operativi più recenti.
• spetta ai collaboratori decidere se e quando installare gli update.

Errore 5: sicuri grazie al firewall

Questa affermazione non risulta necessariamente errata, ma dipende cosa rileva il firewall. Spesso i firewall più datati proteggono solo in caso di attacchi dall’esterno o bloccano l’accesso a determinati indirizzi. Tali firewall non rilevano malware scaricati tramite i programmi di posta elettronica o i browser o script dannosi all’interno di un sito Web, che riescono quindi ad accedere alla rete aziendale senza che il firewall faccia scattare l’allarme. Una protezione più valida è offerta da firewall che siano non solo in grado di esaminare il contenuto del traffico di rete, ma che risultino anche correttamente configurati in tal senso. Tuttavia, a prescindere dall’efficacia del firewall installato in ufficio, durante il telelavoro o quando si lavora in mobilità tale firewall non servirà a nulla.

Anche in questo caso, se una delle seguenti affermazioni si applica alla vostra azienda, si raccomanda di verificare il livello di protezione del vostro impianto infrastrutturale locale:

• Non abbiamo definito le responsabilità per la gestione del firewall (ad esempio, all’interno di un contratto di servizio con un partner IT).
• Non abbiamo definito alcun processo finalizzato a gestire gli avvisi del firewall.
• I notebook aziendali sono protetti soltanto attraverso misure di protezione fondamentali come i software antivirus.

Check list: domande al partner IT in merito al rafforzamento della sicurezza IT

Tali problemi di sicurezza derivano per lo più da fatti involontari, ma nascono da responsabilità poco chiare tra le PMI e i partner IT, da una documentazione incompleta o dalla pressione sui costi dei servizi IT. Gli aggiornamenti tempestivi, ad esempio, richiedono un impiego più frequente da parte di specialisti IT o di partner IT. E proprio gli aggiornamenti ne sono un buon esempio: la sicurezza informatica è un processo continuo che deve essere continuamente analizzato e adeguato.

Vale la pena approfondire la sicurezza informatica e fare chiarezza. La trasparenza su incarichi e responsabilità vi mostra a che punto si trova la vostra PMI. Adottando adeguate misure di sicurezza, riducete i rischi di un attacco informatico e i danni alla reputazione che ne derivano nonché le interruzioni dell’attività. Un piano di emergenza elaborato e comunicato riduce le conseguenze di un potenziale attacco.

La presente check list riassume i punti principali che potete discutere con il vostro partner IT per professionalizzare insieme la sicurezza IT:

1. Dati e applicazioni cruciali per l’attività aziendale: cosa è assolutamente necessario per garantirne il funzionamento? Questo vi fornisce un’indicazione sulla priorità delle misure di sicurezza IT.
2. Descrizione delle prestazioni dei contratti di assistenza: quali mansioni e responsabilità sono disciplinate al suo interno? Sono definiti, ad esempio, la cifratura dei backup, l’intervallo di aggiornamento, la gestione degli utenti o il tempo di reazione in caso di guasto?
3. Documentazione: esiste una check list standardizzata per i lavori di manutenzione? I compiti svolti vengono verbalizzati? In qualità di direttori/direttrici, siete trasparenti sullo stato attuale del vostro sistema IT grazie alla documentazione?
4. Osservanza e verifica delle direttive: le direttive vengono rispettate e soddisfano ancora le esigenze attuali? Le modifiche apportate all’ambiente IT possono essere soggette a linee guida diverse.
5. Security Assessment: avete bisogno di fare chiarezza sullo stato attuale della vostra sicurezza informatica? Con un assessment ottenete una descrizione dettagliata dello stato della vostra infrastruttura e potrete pianificare eventuali misure di ottimizzazione sulla base di dati concreti.
6. Lavori aggiuntivi: come vengono disciplinate e fatturate le prestazioni supplementari? Ciò include, ad esempio, la sostituzione non pianificata di hardware o l’adeguamento delle regole del firewall al di fuori della manutenzione concordata.
7. Piano di emergenza: e per concludere in bellezza, le misure di emergenza funzionano in caso di perdita di dati o attacco informatico? Questo include che le misure di sicurezza preventive, come un backup o il guasto dei componenti di rete ridondanti, vengano testati prima che succeda qualcosa.

La verifica e l’adeguamento regolari delle misure di sicurezza informatica riducono il rischio di perdita di dati e di attacchi informatici riusciti e, di conseguenza, anche il rischio di interruzioni dell’attività. Inoltre, la sicurezza informatica è un elemento centrale delle disposizioni della nuova legge sulla protezione dei dati, che impone alla direzione aziendale di assumersi la responsabilità e il dovere di diligenza nei confronti dei propri collaboratori. La nLPD prevede una responsabilità personale in caso di violazioni e relative multe. Con un’elevata sicurezza informatica, riducete il rischio di incidenti di questo tipo e proteggete così voi stessi e i vostri collaboratori.