L’incremento esponenziale di attacchi a mezzo phishing (e-mail fasulle), virus per smartphone, ransomware, attacchi DDoS alle infrastrutture critiche e agli ambienti IoT, mettono in serio pericolo l’operatività delle aziende. E le PMI non sono immuni.
Le grandi organizzazioni spesso hanno le risorse tecnologiche e organizzative sufficienti per far fronte all’evoluzione continua nelle minacce, non altrettanto può dirsi per le micro imprese e le PMI. «I confini dell’azienda si dilatano e il nuovo perimetro può essere assimilato all’identità digitale, che permette di accedere ai servizi, fare il login all’infrastruttura e operare nel quotidiano – spiega Carlo Mauceli, National Digital Officer di Microsoft Italia –. A riprova di questo fatto, si osserva un incremento senza precedenti dei furti di identità».
Bisogna, quindi, rivedere completamente l’approccio alla sicurezza, partendo proprio dalla difesa delle identità. «La tecnologia ci assiste in questo – commenta il manager –. Il Cloud, in particolare, ha creato una sorta di democratizzazione della sicurezza e permette alle PMI di accedere a risorse pregiate finora patrimonio esclusivo delle grandi aziende. La nuvola, con le soluzioni di Advanced Threat Protection, va a presidiare quell’area residuale non coperta da antivirus e antispam, contribuendo a ridurre sensibilmente l’esposizione agli attacchi cyber».
Tuttavia, la tecnologia da sola non basta perché la sicurezza informatica dipende anche dalle competenze interne, dalla formazione e dalla “postura” dell’impresa rispetto a uno scenario di minacce che cambia in continuazione. Ma qual è la giusta postura? Alcuni suggerimenti utili ce li offre il “Cyber Security Report 2016”, realizzato dal Centro di Ricerca in Cyber Intelligence and Information Security (CIS) dell’Università La Sapienza di Roma in collaborazione con il CINI (Consorzio Interuniversitario Nazionale per l’Informatica). Il report contiene un vademecum in 15 punti, suggerimenti e controlli che aiuterebbero le aziende a ridurre dell’80% l’esposizione a rischi e vulnerabilità, che abbiamo riportato per esteso in questo articolo.
I 15 punti sono classificati in 7 categorie: Gestione dei dispositivi e del software (asset management); Gestione delle reti, governance e compliance; Protezione dal malware; Gestione password e account; Formazione e responsabilizzazione sui comportamenti; Protezione dei dati; Protezione delle reti.
Chi deve implementare i controlli
Per i ricercatori del CIS La Sapienza e del CINI, deve implementare questi controlli qualsiasi impresa per cui vale una qualsiasi di queste condizioni:
– L’azienda possiede proprietà intellettuale/know-how che deve rimanere riservato e memorizza su dispositivi informatici tali informazioni: disegni industriali, piani di sviluppo di prodotti, informazioni relative a processi e dinamiche interne, anche all’interno di messaggi email o di testo, business plan, prototipi software/hardware;
– L’azienda ha clienti a cui fornisce servizi o prodotti e tali prodotti o servizi potrebbero risentire, in qualità o disponibilità, nel caso in cui i sistemi dell’azienda fossero resi indisponibili oppure fossero controllati in maniera malevola da attaccanti;
– I prodotti (hardware/software/servizi) dell’organizzazione potrebbero essere installati in ambienti sensibili (es. IoT) oppure eventuali manipolazioni dei prodotti potrebbero causare danni a terzi;
– L’organizzazione ha una presenza su internet e offre servizi via web (es. fa business online, shop online, ecc.);
– L’organizzazione è in possesso di dati personali relativi a dipendenti e/o clienti;
– L’azienda ha stipulato accordi di riservatezza (NDA) con clienti/fornitori;
– L’azienda gestisce sistemi ICS (es. SCADA);
– L’azienda gestisce dati sensibili per conto di altre imprese (clienti o fornitori).
Quanto costa?
Il report, oltre a fornire indicazioni rispetto ai controlli essenziali stima anche i costi a questi associati. Per una micro impresa (con meno di 9 dipendenti), la spesa relativa si attesta sui 10.500 euro (2.700 euro di costi iniziali e circa 7.800 di costi annui). Per una PMI (con meno di 50 dipendenti) si arriva a circa 25mila euro (4.650 iniziali e 19.800 annuali).
Il report giunge alla conclusione che se le aziende investissero queste cifre riuscirebbero a ridurre i rischi cyber, in media, dell’80%, a fronte di un danno finanziario legato agli incidenti informatici che, in media, per una PMI, si attesta sui 35mila euro annui.