Viviamo in una società sempre più connessa: con gli smartphone e i computer, ma ormai anche con gli elettro-domestici e le automobili siamo costantemente in Rete!
È la cosiddetta Internet of Things, l’internet degli Oggetti.
Questo processo è inarrestabile e porta con sé innumerevoli ed evidenti vantaggi, ma anche problemi di sicurezza: è infatti necessario ricordare che nessun dispositivo connesso ad Internet è esente da rischi.
Il problema della Cyber Security è quindi un tema che coinvolge tutti, sia nell’ambito privato sia nell’ambito professionale.
Cyber Security e Sicurezza Informatica Aziendale: i Rischi
Avrete sicuramente appreso le sempre più frequenti notizie di attacchi informatici ad aziende o siti istituzionali. Nonostante molte volte tali notizie si dimostrino poi diverse da come inizialmente presentate, sono chiaramente sintomo di un fenomeno ormai diffuso.
Ma per i titolari di un’azienda quali sono i principali rischi e quali le possibili contromisure da adottare per dormire sonni tranquilli? Lo abbiamo chiesto ad Andrea Mariani, consulente ed esperto di sicurezza digitale di Copying Srl!
Andrea, da dove si può cominciare quando si parla di sicurezza informatica in azienda?
Secondo me la prima cosa da ricordare è che nel 2018 entrerà in vigore il nuovo Regolamento Europeo in materia di Privacy: questo interesserà a diversi livelli tutte le aziende operanti nel mercato europeo.
Proprio l’adeguamento a questo nuovo Regolamento sarà l’occasione per molte imprese di mettere in campo azioni utili a mitigare anche i rischi legati ad attacchi informatici.
Quali sono i principali rischi in cui può incorrere un’azienda?
Le minacce sono molteplici: dal più “semplice” furto di credenziali di accesso ai malware. Questi ultimi sono software progettati con il preciso intento di creare danno all’utente vittima.
Esiste un vasto campionario di software “malevoli”, ognuno con caratteristiche diverse, ma tutti con l’intento di danneggiare l’utente. Alcuni agiscono anche combinati tra loro per rendere più efficace l’attacco.
Attualmente il maggior rischio per le PMI (ma non solo!) sono i ransomware, da molti conosciuti anche come cryptolocker: si tratta di un tipo di malware che cripta i dati di un PC o di una intera rete aziendale rendendoli inaccessibili. Per disporre nuovamente dei propri dati, viene chiesto all’utente un vero e proprio “riscatto” da corrispondere in bitcoin, una forma di valuta virtuale.
In questo caso la tecnica per “infettare” la vittima consiste nel ricorso al phishing: viene cioè inviata una email “esca” in cui il mittente finge di essere una società di trasporti, una società elettrica, una banca oppure un fornitore che invia una fattura. Il destinatario apre così il file allegato e permette che il software si installi.
Ricordate Wannacry? Il malware che qualche mese fa ha infettato più di duecentomila computer in 150 Paesi nel mondo? Wannacry era proprio un ransomware ed è stato uno dei maggiori attacchi di sempre coinvolgendo società telefoniche, automobilistiche, istituzioni sanitarie, università e Ministeri.
Cyber Security e Sicurezza Informatica Aziendale: le Soluzioni
Non si può certo affermare “mal comune, mezzo gaudio”! Ma le aziende possono evitare questi attacchi?
Possono certamente attrezzarsi per cercare di prevenirli. Per prima cosa serve eseguire una mappatura dei dati in formato elettronico utilizzati in azienda, identificando non solo quelli personali o sensibili, ma anche quelli legati a informazioni strategiche come ad esempio progetti, dati di natura commerciale e in generale tutto quanto possa costituire il know how maturato in anni di attività.
Fatto questo, occorre individuare chi effettivamente abbia la necessità di accedervi e creare regole che permettano di operare su questi dati a seconda dei privilegi posseduti dalla funzione aziendale: alcuni potranno solo visualizzare, altri anche modificare o creare nuovi dati.
A questo punto si studiano i potenziali rischi cui sono soggetti i dati aziendali, le azioni utili per prevenirli e, cosa molto importante, quelle per limitare i danni nel caso in cui l’attacco si verifichi.
Esempi concreti?
Le aziende, oltre a dotarsi di software antivirus e apparecchiature che facciano da filtro tra Internet e la Rete aziendale, possono per esempio pianificare una valida politica di backup dei dati. È preferibile che le copie di sicurezza siano eseguite automaticamente e non basate sulla “buona volontà” di un dipendente! Oltre a questo, i backup devono garantire la conservazione dello stesso dato su più supporti in zone geografiche diverse, ricorrendo eventualmente a soluzioni Cloud proposte da fornitori qualificati.
Le soluzioni sono tante e da valutare caso per caso, ma ci sono e sono sempre più efficaci, l’importante è rivolgersi a dei professionisti perchè “prevenire è meglio che curare!”.
Un consiglio che ti senti di dare?
Purtroppo il fattore “umano” è uno dei maggiori rischi per la vulnerabilità di un sistema informatico. Per questo consiglio alle aziende di investire nella formazione del proprio personale, affinché acquisisca la consapevolezza e le competenze sufficienti a non commettere leggerezze che possono costare care, a cominciare dalle modalità di impostare e conservare le password di accesso. Da bandire infatti le date di nascita o il nome dell’animale domestico, così come il post-it con la password in bella mostra sul video del PC. Sartorie Digitali può essere il partner ideale per aiutare le aziende attraverso corsi personalizzati per i proprio dipendenti!