Con le PMI sempre più a rischio di attacchi informatici, di seguito indichiamo suggerimenti e strategie che i dirigenti possono utilizzare per proteggere la loro azienda
Solitamente si pensa che la sicurezza informatica sia qualcosa destinata alle grandi aziende, ma le piccole e medie imprese (PMI) dovrebbero fare attenzione a non cadere nell’errore di credere di essere troppo piccole per essere notate dagli hacker . Il Cyber Readiness Report 2019 di Hiscox ha rivelato che il numero di piccole e medie imprese che hanno segnalato almeno un attacco ha continuato a crescere anno dopo anno, raggiungendo il 47% per quelle con meno di 50 dipendenti e il 63% per quelle con 50-250 impiegati.
Ottobre è il mese della sensibilizzazione alla sicurezza informatica e non c’è momento migliore per saperne di più sulla protezione aziendale e su come difendersi da violazioni complesse.
Perché le piccole imprese hanno bisogno della sicurezza informatica?
È risaputo che le piccole imprese sono spesso gestite con risorse molto limitate. Ciò può significare che non ci sia il tempo o il budget disponibili per dare la priorità alle misure di sicurezza rispetto alle altre operazioni quotidiane. Di conseguenza, questo aspetto viene deputato a qualcuno con altri incarichi nell’azienda, piuttosto che una a una posizione dedicata, ciò comporta dei notevoli rischi sul livello di formazione e e sulla manutenzione dei software, quindi in definitiva, la sicurezza dei dati diventa solo una scocciatura e un problema marginale.
Per risolvere questo problema, le piccole imprese devono garantire che la sicurezza informatica sia considerata un’alta priorità nello stesso modo in cui viene considerata la sicurezza fisica dell’ufficio. Per fare ciò, è fondamentale che siano definite e aggiornate regolarmente le migliori pratiche in un piano di sicurezza informatica per piccole imprese.
Migliorare la sicurezza non significa necessariamente spese enormi, ma richiede l’attenzione dell’azienda per evitare di diventare la prossima vittima di un attacco informatico. Con migliori pratiche di sicurezza informatica, le piccole e medie imprese possono aumentare sia la loro protezione che la cultura aziendale sull’importanza e l’implementazione di misure di sicurezza efficaci.
Quali sono le migliori pratiche per la sicurezza delle piccole imprese?
Creare documenti di policy
Per garantire che le politiche di sicurezza informatica diventino parte della cultura aziendale, devono essere accuratamente documentate e supportate con programmi e liste di controllo per assicurarsi che i nuovi processi siano implementati e il personale sia consapevole delle proprie responsabilità.
Rivedere le autorizzazioni di accesso
Una misura semplice ma efficace consiste nel limitare le autorizzazioni di accesso ai file condivisi e alle applicazioni essenziali. Ciò riduce al minimo il numero di possibili accessi ai dati sensibili. L’accesso dovrebbe essere fornito solo a chi ne ha bisogno per il proprio lavoro e dovrebbe essere revocato quando non è più necessario. Ciò significa che nessuno dovrebbe avere privilegi di amministratore globale solo sulla base dell’anzianità.
Bisognerebbe anche impostare processi per revocare l’accesso non appena un dipendente lascia l’azienda o termina un contratto con un libero professionista o un’altra terza parte.
Eseguire il backup dei dati
Il mantra “usa una password complessa” è ormai comune quanto “assicurati di eseguire il backup dei dati”. Ciò è particolarmente vero per le piccole imprese che desiderano evitare attacchi ransomware, in cui l’hacker ruberà e crittograferà i dati, minacciando di distruggerli se non viene pagato un riscatto. Senza alcuna garanzia che i dati vengano restituiti in uno stato utilizzabile, le piccole imprese si trovano nella condizione magari di pagare un riscatto e di subire dei tempi di inattività che non possono permettersi.
Questa situazione può essere evitata semplicemente prevedendo dei backup completi e periodici in modo che i dati possano essere ripristinati, riducendo al minimo qualsiasi potenziale danno finanziario e reputazionale e lo stress avvertito dai dipendenti durante un attacco ransomware.
I servizi Cloud sono un’opzione popolare per i backup. Non solo il Cloud consente ai documenti di essere accessibili da qualsiasi luogo, ma è probabile che la sicurezza offerta da questi servizi sia molto più sofisticata di quella presente nella sede dell’azienda, rendendoli un modo conveniente per migliorare significativamente la sicurezza dei dati.
Considerare il BYOD e rischi del lavoro remoto
L’aggiunta di punti di ingresso a una rete aumenta il rischio potenziale di una violazione, semplicemente perché i criminali informatici possono sfruttare più possibilità. Partendo da questo presupposto, le tendenze verso il lavoro d’ufficio non tradizionale potrebbero essere viste come una preoccupazione, anche se è importante notare che il lavoro a distanza è in aumento da molti anni.
Il Mobile Workforce Report 2018 di Avast Business ha dimostrato che il personale ritiene che lavorare da casa aumenti la produttività e riduca lo stress al punto che il 52% del personale delle piccole imprese ha dichiarato che preferirebbe accettare un taglio di stipendio piuttosto che continuare a recarsi fisicamente in un ufficio.
Questo problema è diventato più immediato con l’improvviso aumento del lavoro a distanza dovuto al COVID-19. Con la maggior parte degli impiegati che lavorano da casa, i dispositivi personali e il Wi-Fi sono ora parte integrante dell’ambiente di lavoro moderno, consentendo al personale di completare le attività oltre i limiti di una giornata lavorativa tradizionale.
Come trovare dunque questo equilibrio tra aumento del rischio e prevalenza di dispositivi personali e lavoro a distanza? La risposta più semplice è fornire indicazioni chiare sull’uso dei dispositivi personali. Una politica “Bring Your Own Device” (BYOD) dovrebbe essere inclusa nelle best practice per la sicurezza dei dati, assicurando che tutti i dipendenti siano tenuti a mantenere un alto livello di sicurezza su qualsiasi dispositivo che accede ai documenti e alla rete dell’azienda, dall’installazione di software di sicurezza ad applicare le patch non appena sono disponibili.
Formazione e istruzione
Includere la guida nella documentazione è una cosa, ma affinché diventi parte integrante della quotidianità, la formazione e l’istruzione sono fondamentali. In una piccola impresa, le responsabilità sono spesso condivise e lo stesso deve essere vero per la sicurezza se questa vuole rimanere efficace. Chiunque abbia un account o un dispositivo connesso alla rete deve essere istruito a un livello tale da avere familiarità con le politiche di sicurezza e sul come implementare le migliori pratiche.
Formazione del personale
I dipendenti avranno background e livelli di abilità diversi quando si tratta di tecnologia. Per evitare di creare vulnerabilità di sicurezza, tutti i membri del personale dovrebbero sapere come aggiornare i propri dispositivi, riconoscere i tentativi di phishing e conoscere le procedure per segnalare i problemi.
I dipendenti dovrebbero anche accettare di attenersi alle politiche e, in cambio, i datori di lavoro dovrebbero garantire che la formazione sia aggiornata regolarmente per tenere il passo con l’evoluzione della sicurezza informatica. Queste politiche dovrebbero essere spiegate in modo chiaro e trasparente, soprattutto se riguardano l’uso di dispositivi personali.
Protezione della password
A nessuno piace cambiare le password. Ma password forti e univoche sono fondamentali per migliorare la sicurezza. Sebbene ci siano molti consigli importanti su come creare password complesse, una regola fondamentale è di non riutilizzare le password in nessuna circostanza. Questa errata consuetudine rende sicuramente più facile da ricordarle, ma se disgraziatamente una password di questo tipo finisce nelle mani di un hacker, avrà accesso a ogni singolo account in cui viene impiegata. Per bilanciare comodità e sicurezza, è possibile utilizzare uno strumento di gestione delle password per ricordarne di complesse e aggiornarle a intervalli regolari, il che significa che l’utente deve ricordare solo una password alla volta e così la sicurezza dell’azienda è migliorata.
2FA
Sempre più comune con banche, negozi online e social media è l’ autenticazione a due fattori (2FA). Questo ulteriore livello di sicurezza richiede che l’utente conosca una password e fornisca un codice univoco, che viene spesso inviato tramite SMS o e-mail, per verificare che il tentativo di accesso sia legittimo. Il personale dovrebbe essere incoraggiato ad abilitarlo su tutti i servizi che lo permettano.
Non costa nulla ed è un modo molto semplice per aumentare la sicurezza. Anche la formazione e l’implementazione saranno rapide, poiché è probabile che molti membri del personale abbiano familiarità con questa funzione sui propri account personali.
Software e strumenti
Con un’ampia varietà di strumenti di sicurezza disponibili, può essere difficile identificare quali sono essenziali e meritevoli di investimento e quelli che non lo sono. Quindi, a parte i gestori di password e i backup su cloud sopra menzionati, quali altri strumenti possono fare una grande differenza per la tua piccola o media impresa?
VPN
Le reti private virtuali (VPN) sono una misura di sicurezza sempre più comune per gli utenti domestici. Creano un “tunnel” crittografato attraverso il quale i dati e l’attività online possono viaggiare senza essere visualizzati da terzi o ricondotti all’indirizzo IP dell’utente. Una volta installata, una VPN è spesso semplice da attivare, nella maggior parte dei casi basta premere su un pulsante, rendendola ideale per i lavoratori remoti che accedono ai dati sensibili.
Firewall
Un firewall è una prima linea di difesa fondamentale. Come suggerisce il nome, un firewall fornisce una barriera tra la tua rete e gli attacchi informatici. Possono essere utilizzati in più configurazioni, sia internamente che esternamente, e dovrebbero essere un requisito del BYOD o delle politiche di lavoro remoto per qualsiasi dispositivo connesso alla rete aziendale.
Software anti-malware
A causa della loro notorietà, molte persone presumono che le e-mail di phishing siano facili da identificare. In realtà, gli attacchi di phishing sono ancora comuni e stanno diventando più sofisticati. Pertanto, oltre alla formazione del personale, il software anti-malware a livello di rete e di dispositivo rimane essenziale per ridurre al minimo l’errore umano.
Installare gli aggiornamenti
Il software può essere più efficace solo se viene aggiornato regolarmente per tenere conto di nuove vulnerabilità o tipi di attacco. Garantire che ogni dispositivo, dalle stampanti e laptop agli smartphone, abbia le patch e gli aggiornamenti più recenti applicati potrebbe essere un compito arduo per una grande azienda, ma è facilmente realizzabile in un’azienda di piccole o medie dimensioni.
I dispositivi comuni, come i server, dovrebbero essere aggiornati dal personale che gestisce la sicurezza IT come parte del proprio ruolo, mentre gli altri dipendenti dovrebbero essere responsabili dei propri dispositivi. L’applicazione di questa responsabilità attraverso la formazione e la politica di sicurezza aziendale può garantire che le vulnerabilità note del software non si traducano in una violazione altrimenti prevenibile.
Creare una struttura di sicurezza olistica
Una volta implementate queste best practice di sicurezza nella tua azienda, il lavoro è appena iniziato. Occorrerà garantire che ogni dipendente le recepisca correttamente in modo che questa consapevolezza della sicurezza sia parte della sua quotidianità e di conseguenza diventi parte della cultura aziendale, che è fondamentale per migliorare la protezione e dare la massima tranquillità.
Gli attacchi informatici sono in continua evoluzione, il che significa che le soluzioni di sicurezza devono tenere il passo per rimanere efficaci. La conoscenza degli attacchi più recenti e delle misure di sicurezza che ne derivano è vitale per la comprensione e la sicurezza del team, ma con poco tempo a disposizione, i proprietari di aziende raramente sono in grado di diventare esperti di sicurezza informatica a pieno titolo. Ciò rende la scelta del software corretto ancora più importante. Sebbene gli strumenti di sicurezza gratuiti possano eseguire scansioni rudimentali, non avranno le risorse per monitorare continuamente nuove minacce e vulnerabilità. Invece, è opportuno considerare i servizi a pagamento come un modo conveniente per garantire che la sicurezza della propria rete sia sempre aggiornata.
La combinazione di nuovi processi, formazione regolare e aggiornamenti software per le minacce più recenti richiederà lavoro, ma la strategia olistica risultante può apportare miglioramenti significativi alla sicurezza aziendale.
Come ottenere la giusta protezione per piccoli uffici e per il proprio posto di lavoro
Avast Small Office Protection offre sicurezza online di nuova generazione per le piccole imprese che desiderano proteggere i propri dispositivi e dati dalle minacce informatiche più recenti. Fornisce una valida protezione in tempo reale e facile da installare, conveniente e affidabile, così ci si può concentrare sulla gestione dell’attività con sicurezza e tranquillità.
Lascia un commento