15 consigli quasi gratis per la cybersecurity delle PMI
Il ransomware WannaCry ha ricordato ancora una volta i pericoli in termini di reputazione e guadagni che corrono le PMI che non sono attente alla sicurezza
L’attacco ransomware WannaCry ha conquistato nelle ultime ore le prime pagine in tutto il mondo. Oltre al clamore mediatico, però, il malware ha dimostrato quanto le PMI siano un bersaglio facile per gli hacker. Il virus WannaCry ha infettato centinaia di migliaia di dispositivi, e a discapito di quanto si possa pensare tra questi non ci sono solo privati e istituzioni.
Anche le aziende sono state prese di mira. E va detto che WannaCry è solo la punta dell’iceberg, abbiamo visto più volte come negli ultimi tempi i cyber criminali stiano spostando i loro obiettivi dai singoli computer ai sistemi interni di piccole e medie imprese. Questi attacchi vanno a ledere la sopravvivenza dell’azienda stessa. Non solo perché generano un blocco dei guadagni significativo ma anche perché minano la reputazione e l’immagine del gruppo sui clienti attuali e su quelli futuri. Ecco 15 consigli su come poter difendere la propria azienda.
15 consigli (quasi) gratuiti con cui proteggere la propria azienda
Nonostante i tanti pericoli presenti online, molte aziende ancora oggi non si dotano di sistemi di sicurezza all’altezza. Tanto che molti degli attacchi subiti dalla PMI, potrebbero essere evitati con piccoli investimenti sulla sicurezza informatica. Lo stesso WannaCry, per esempio, sfrutta le vulnerabilità presenti nelle vecchie versioni di Windows. In pratica per evitare l’attacco basterebbe aggiornare con costanza il proprio sistema operativo. Dato che fenomeni come questo sono destinati ad aumentare, il CIS (Research Center of Cyber Intelligence and Information Security) dell’Università La Sapienza di Roma e il Laboratorio Nazionale di Cybersecurity del CINI (Consorzio Interuniversitario Nazionale per l’Informatica), hanno definito 15 Controlli Essenziali di Cybersecurity. Ovvero le 15 regole da seguire per mettere al sicuro la propria azienda. Vediamo quali sono:
- Creare e mantenere aggiornato l’inventario riguardante i sistemi, i dispositivi, i software, i servizi e le applicazioni informatiche attualmente in uso all’interno dell’azienda.
- Limitare i servizi web offerti da terze parti, come social network, cloud ed e-mail, solo a quelli strettamente necessario per l’azienda.
- Vanno individuate con assoluta necessità le informazioni, i dati e i sistemi critici dell’azienda. In modo tale che possano essere protetti da eventuali attacchi.
- Nominare un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.
- Conoscere e quindi rispettare le leggi e/o i regolamenti rilevanti in tema di cybersecurity che risultino applicabili per l’azienda.
- Su ogni dispositivo aziendale che lo consenta è necessario installare, e tenere opportunamente aggiornato, un software di protezione, come antivirus o anti-malware.
- Prestare molta attenzione alle password, ogni account interno all’azienda deve averne una diversa dall’altra. Vanno scelte con una difficoltà adeguata e soprattutto è necessario utilizzare l’autenticazione a due fattori.
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri. L’accesso è opportunamente protetto e i vecchi account non più utilizzati sono disattivati.
- Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
- Il personale deve essere adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto. Le credenziali di accesso di default sono sempre sostituite.
- Periodicamente vanno eseguiti dei backup dei dati e delle informazioni critiche dell’azienda. I backup vanno poi conservati in modo sicuro e monitorati con costanza.
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi messi in salvo da personale esperto.
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili devono essere dismessi.