Cyber security in azienda da zero a dodici

Sai che un'analisi dell'agenzia di sicurezza Kaspersky, che ha intervistato oltre 3.900 lavoratori, ha concluso che nove dipendenti su dieci sopravvalutano le proprie competenze in materia di cyber security?

Da questa indagine è emerso che solo l'11% dei lavoratori ha dimostrato un buon livello di consapevolezza della cyber security e che i meno esperti commettono la maggior parte degli errori durante la navigazione sul web! (e da qui l'importanza di adottare un buon regolamento informatico aziendale).

Secondo l'ultimo rapporto di Clusit (l'associazione italiana per la sicurezza informatica) le PMI sono diventate uno degli obiettivi principali dei cyber criminali «che vedono in loro un obiettivo facile da colpire e sufficientemente remunerativo».  L’Eurobarometro rileva che nel 2021 quasi un terzo delle PMI europee ha subito almeno un cyber-attacco.

Situazione in Italia e Regolamento UE 2022/2554

In Italia questa cifra sale fino a raggiungere percentuali preoccupanti: quasi una PMI su quattro, infatti, impreparata ad affrontare cyber-rischi, è o è stata vittima di un crimine informatico!

A fronte di questo, in questi giorni è entrato in vigore il regolamento (UE) 2022/2554 sulla resilienza operativa digitale (DORA) che sarà operativo dal 17 gennaio 2025 e il cui obiettivo principale è prevenire e attenuare le minacce informatiche.

La resilienza informatica è la capacità di un’organizzazione di prepararsi, resistere e reagire alle minacce/attacchi informatici in modo da limitare le violazioni di dati e garantire la business continuity, senza alcuna interruzione.

A decorrere di questa data, quindi, tutte le imprese interessate dovranno garantire di sapersi difendere da tutti i tipi di perturbazioni e minacce connesse alle TIC (tecnologie dell'informazione e della comunicazione) nonché di sapersi riprendere da tali perturbazioni e minacce.

Ma una PMI che volesse, oggi, cominciare ad approcciarsi alla cyber security, cosa dovrebbe fare?

Ci viene in aiuto Enisa, l'Agenzia dell'Unione europea per la cybersicurezza che nel 2021 ha pubblicato un report dettagliato sulla sicurezza informatica nelle PMI da cui sono stati ricavati ben dodici passi da seguire, partendo da zero, per cominciare subito ad affrontare il tema della sicurezza informatica in azienda.

Non c'è solo teoria perché questi passi sono di immediata utilità e applicabilità operativa. Lo scopo di questo report è cercare di far capire come rendere sicura la propria attività imprenditoriale (perché sì, si può!) anche in un periodo di crisi economica, come è stato quello del covid e come purtroppo continua ad essere, bilanciando i costi, il tempo e il personale a disposizione.

Vediamo insieme quali sono questi dodici passi.

Dodici step per la sicurezza informatica in azienda

Il primo passo da fare necessariamente è sviluppare nella piccola e media impresa (ma anche nella micro impresa, non pensare che queste regole per te non valgano perché la tua realtà è troppo piccola!) una solida cultura della Cyber Security e della sua importanza considerato che una solida Sicurezza Informatica è essenziale perché l'impresa sia duratura. È necessario quindi:

• Mettere la cybersicurezza al centro della PMI e al suo interno attribuirne la responsabilità della gestione: all’interno dell’organizzazione si dovrebbe affidare la responsabilità di questa funzione a un professionista che deve garantire che siano destinate alla cyber security risorse adeguate: tempo sufficiente per il personale per occuparsi del tema; l'acquisto di software, servizi e hardware per la sicurezza informatica; la formazione del personale e lo sviluppo di policies efficaci;

• Coinvolgere il personale e sensibilizzare i dipendenti sul tema: il management deve supportare le iniziative di cyber security, deve preoccuparsi di formare i dipendenti, tramite percorsi di training e deve fornire loro regole chiare e specifiche descritte nelle policies aziendali;

• Condurre regolarmente audit per la cyber security che devono essere diretti da soggetti indipendenti (come, ad esempio, un fornitore esterno e non legato agli ordinari processi informatici aziendali) con adeguate conoscenze, competenze ed esperienza;

• Conformarsi al GDPR e alle norme sulla protezione dei dati: ogni PMI che tratta o conserva dati personali appartenenti a residenti UE/SEE, oltre all'accountability, deve garantire che vengano svolti adeguati controlli di sicurezza ai fini della protezione dei dati e che anche qualsiasi terzo che lavora per conto della PMI abbia attuato idonee misure di sicurezza;

• Pubblicare e aggiornare costantemente, in base all'evoluzione normativa e tecnologica, le policies in materia di cyber security: l'organizzazione deve definire regole chiare e specifiche sul comportamento che i dipendenti devono seguire quando usano l’ambiente ICT dell'impresa, le attrezzature e i servizi informatici, evidenziando le conseguenze cui potrebbero andare incontro qualora non si conformassero alle regole (ed ecco che ritorna l'importanza di adottare un buon regolamento informatico aziendale!)

Il secondo passo da fare, come abbiamo visto in apertura, è imprescindibile: se è vero che solo l'11% dei lavoratori dimostra un buon livello di consapevolezza della cyber security è necessario fornire a tutti i dipendenti percorsi formativi adeguati in modo che possano riconoscere e affrontare le varie minacce alla sicurezza.

Per le PMI, i corsi di formazione dovrebbero essere personalizzati e concentrarsi su situazioni di vita reale. È poi necessario fornire ai responsabili della gestione della cyber security nell'impresa (amministratori di sistema, informatici, sistemisti ecc...) una formazione specifica in modo che acquisiscano le capacità e le competenze necessarie per svolgere il loro lavoro. La formazione deve essere considerata la prima misura di sicurezza.

Il terzo passo di questo percorso è garantire un’efficace gestione dei terzi che accedono ai dati dell'impresa: quindi tutti i fornitori, in particolare quelli che hanno accesso a sistemi sensibili. Questi soggetti terzi, essendo coinvolti nel percorso della cyber security (dato che una loro lacuna può mettere in pericolo i dati del titolare del trattamento) devono soddisfare alti livelli di sicurezza e intraprendere, qualora sia necessario, processi di adeguamento per raggiungere il livello di sicurezza dell'azienda committente.

Devono poi essere stipulati accordi contrattuali per regolamentare le modalità di soddisfacimento di tali criteri di sicurezza da parte dei fornitori (anche ai sensi del gdpr che disciplina la figura del cd. “responsabile esterno”).

In questa scala verso la consapevolezza informatica, il quarto gradino da salire è rappresentato dal progettare, sviluppare e rivedere periodicamente un piano di risposta agli incidenti informatici, che contenga la previsione di ruoli e responsabilità chiari e documentati per garantire che tutti gli incidenti a livello della sicurezza siano affrontati in modo tempestivo, professionale e appropriato.

Per affrontare rapidamente le minacce alla sicurezza è buona norma adottare linee guida chiare ma anche manutenere correttamente la rete, con strumenti in grado di monitorare minacce, di generare degli alert e attraverso servizi specifici che intervengano in caso di tentativi di intrusione conclamati ma anche solo di attività sospette rilevate all’interno della rete aziendale. Insomma, quando c'è una violazione, il primissimo passo per affrontarla è accorgersene!

Saliamo ancora e facciamo il quinto passo: rendere sicuro l’accesso ai sistemi dell'azienda, incoraggiando il personale a scegliere password lunghe, complesse e a non riutilizzarle altrove.

Ma come formarle in modo efficace? Creando una passphrase composta da almeno tre parole scelte a caso combinate in una frase che diventa facile da ricordare ma abbastanza lunga per essere considerata sicura.

Se si preferisse l'uso di una password tipica, invece, questa deve essere lunga e contenere caratteri minuscoli e maiuscoli, possibilmente anche numeri e caratteri speciali. Sono da evitare le ovvietà, ad esempio «password», sequenze banali di lettere come «abc» o di numeri come «123».

Anni fa ci fu un data breach terribile sulle caselle di posta elettronica certificata degli avvocati di vari ordini di Italia: si scoprì che una grande percentuale di questi aveva scelto come password per accedere alla propria casella la parola “avvocato”. Ecco questo è un esempio da non seguire!

Sia nella password che che nella passphrase si deve evitare:

• di usare informazioni personali reperibili online;

• di riutilizzarle altrove;

• di condividerle con i colleghi.

Occorre, invece, attivare i servizi di autenticazione a più fattori o usare un password manager sicuro.

A metà di questo lungo percorso dispieghiamo il sesto passo verso una migliore gestione della sicurezza informatica in azienda: occorre rendere e mantenere sicuri i dispositivi in uso al personale – che si tratti di PC, laptop, tablet, smartphone o IoT – quindi mantenere il software aggiornato, magari utilizzando una piattaforma centralizzata per questo genere di operazioni.

Oltre ad aggiornare regolarmente tutti i software, la PMI dovrebbe attivare l’aggiornamento automatico dove possibile e inventariare tutti i dispositivi che devono essere aggiornati manualmente. È necessario gestire e aggiornare anche l'anti-virus su tutti i tipi di dispositivi, per assicurare la sua efficacia continua.

Va poi evitata l'installazione di software di dubbia provenienza che potrebbero contenere dei virus. È necessario utilizzare strumenti di protezione per i messaggi di posta elettronica e il web, per bloccare le e-mail di spam e di phishing, per individuare e bloccare quelle e-mail che contengano link-truffa verso siti web dannosi, o allegati nocivi.

È necessario proteggere i dati cifrandoli, attraverso la crittografia. Le PMI dovrebbero garantire che i dati conservati su dispositivi mobili quali laptop, smartphone e tablet siano criptati e dovrebbero assicurarsi che i propri siti web utilizzino tecnologie di crittografia a protezione dei dati dei dipendenti, fornitori, clienti.

Per i dati trasmessi su reti pubbliche, le imprese dovrebbero accertarsi che i dati siano criptati utilizzando una rete privata virtuale (VPN) oppure accedendo a siti web con connessioni sicure mediante il protocollo SSL/TLS.

Allo stesso modo, devono implementare la sicurezza nella gestione dei dispositivi mobili. In caso di lavoro a distanza, molte PMI consentono al personale di utilizzare i propri laptop, tablet e/o smartphone.

Questo non è consigliabile e preoccupa molto sotto il profilo della sicurezza dei dati conservati in quei dispositivi. Si deve gestire questo rischio implementando soluzioni di gestione sicura: quindi sarà necessario che l'impresa controlli:

• Quali dispositivi sono autorizzati ad accedere ai loro sistemi e servizi;

• Si assicuri che nel dispositivo siano installati anti-virus aggiornati;

• Deve poter verificare se il dispositivo del dipendente sia cifrato;

• Deve poter controllare che nel dispositivo siano installate patch di sicurezza aggiornate;

• Deve assicurarsi che il dispositivo sia protetto da PIN e/o password.

Diventa necessaria la possibilità di cancellare da remoto i dati delle PMI presenti nel dispositivo qualora il proprietario ne segnali lo smarrimento o il furto, o se il proprietario del dispositivo non ha più un rapporto di lavoro con la PMI.

Ultimi 5 step per la sicurezza informatica in azienda

Il settimo passo è rendere sicura la propria rete utilizzando firewall e analizzando le soluzioni di accesso remoto.

Il network aziendale deve essere reso sicuro, il più possibile e il firewall è indispensabile per garantire la sicurezza della rete. I firewall gestiscono il traffico in entrata e in uscita da una rete e sono essenziali per proteggere i sistemi delle imprese, anche quelle più piccole.

Dovrebbero, quindi, essere impiegarti firewall per proteggere tutti i sistemi critici, in particolare dovrebbe essere utilizzato un firewall per proteggere la rete interna della PMI da possibili malware provenienti da Internet.

La sicurezza della rete interna passa anche attraverso una revisione costante di tutte quelle soluzioni che consentono un remote access alla rete aziendale.

Le PMI quindi dovrebbero:

• Analizzare periodicamente gli strumenti di accesso remoto per garantirne la sicurezza;

• Assicurarsi che tutti i software di accesso remoto siano corretti e aggiornati;

• Limitare l’accesso remoto da luoghi geografici o da indirizzi IP sospetti;

• Limitare l’accesso remoto del personale ai soli sistemi e computer di cui ha realmente bisogno e che sono necessari per svolgere il suo lavoro o per il corretto espletamento delle proprie mansioni;

• Applicare password forti per l’accesso remoto e attivare l’autenticazione a più fattori;

• Garantire un monitoraggio costante e l'attivazione di alert per fare fronte ad attacchi sospetti o attività insolite sospette (attacchi in corso).

L'ottavo gradino: non trascurare ma anzi migliorare la sicurezza fisica in azienda e attuare controlli fisici adeguati nei luoghi in cui sono presenti informazioni importanti.

Questo è un aspetto enormemente sottovalutato: spesso siamo concentrati sulla sicurezza informatica trascuriamo l’analogico, non ci preoccupiamo della carta, delle stanze, dei lucchetti e delle serrature. Ma anche gli accessi fisici ai locali vanno adeguatamente presi in considerazione.

Cose anche banali a pensarci: laptop o smartphone aziendali, ad esempio, non dovrebbero essere lasciati incustoditi nel sedile posteriore di un veicolo. Oppure ogni volta che un utente si allontana dalla sua postazione dovrebbe bloccare il suo PC, o portarlo con sé. Si dovrebbe comunque predisporre la funzione di blocco automatico su ogni dispositivo utilizzato a fini aziendali. E bisognerebbe impedire l'uso di chiavette USB.

I documenti sensibili cartacei non dovrebbero essere lasciati incustoditi e quando non sono utilizzati andrebbero archiviati in modo sicuro e non, come avviene spesso nei Tribunali, in armadi posti in luoghi di passaggio, senza chiusure: la vulnerabilità nella gestione dei processi documentali può generare enormi problemi di sicurezza e di violazioni di dati.

Il nono passo prevede di rendere sicuri i backup, per consentire il recupero di informazioni essenziali.

I backup devono essere predisposti per essere immediatamente utilizzabili in caso di incidente, sia in un’ottica di business continuity che di possibile violazione dei dati. Il backup deve:

• Essere regolare e automatico ogniqualvolta sia possibile;

• Essere tenuto separatamente dall’ambiente di produzione dell'azienda;

• Essere criptato.

Deve essere poi verificata la capacità di ripristinare regolarmente i dati dai backup. Idealmente, andrebbe effettuato un test periodico di un ripristino completo dall’inizio alla fine, simulando il peggior incidente di sicurezza immaginabile. Un buon sistema, e politiche, di backup, all'interno dell'impresa, devono essere centrali perché sono in grado di salvare, letteralmente, la vita all’azienda e all’utente.

Parola d'ordine: ridondanza! È costosa quanto indispensabile.

Il decimo passa è quello di lavorare sì con il cloud, ma considerandone attentamente tutti i rischi. Pur riconoscendone i numerosi vantaggi, le soluzioni basate sul cloud presentano alcuni rischi che le imprese dovrebbero prendere in considerazione prima di impegnarsi con un provider di servizi cloud.

Preliminarmente occorre una verifica normativa che dovrebbe comprendere la valutazione sul rispetto o meno delle norme sul trasferimento dei dati previste dal GDPR, soprattutto per i dati personali. Dove vengono conservati i dati? Ecco nella scelta di un provider di servizi cloud, si deve fare in modo di non violare leggi o regolamenti in caso di conservazione di dati, specialmente dati personali, al di fuori dell’UE/del SEE.

Il GDPR richiede che i dati personali di residenti UE/SEE non siano conservati o trasmessi al di fuori dell’UE/del SEE, salvo in casi molto specifici. Secondo: occorre verificare gli aspetti più tecnici, come, ad esempio, la cifratura dei dati o come vengono svolti i backup del cloud stesso, se esistono o meno piani di reazione o mitigazione contro eventuali disastri ecc.

Siamo arrivati quasi alla fine con il penultimo passo: rendere sicuri i propri siti online e i servizi che sono connessi online: quindi configurare i siti web e tenerli in modo sicuro e in modo da proteggere i dati che vengono trattati su di essi.

Questo è un aspetto di cyber security che l'imprenditore non può trascurare sia che il sito web sia stato realizzato dall’azienda stessa, sia che la creazione e gestione del sito sia stata affidata a una web agency. È essenziale per imprenditori e imprese assicurarsi che i loro siti web siano configurati e tenuti in modo sicuro e che i dati personali (es. anagrafici) e finanziari siano protetti in modo adeguato.

Come farlo? Attraverso lo svolgimento di test di sicurezza e di verifiche periodiche per individuare potenziali lacune a livello di sicurezza e per garantire che il sito sia tenuto e aggiornato correttamente.

Queste attività possono avere sì costi elevati per una piccola realtà, ma sono l’unico modo per avere un quadro obiettivo della resistenza del sistema e delle sue possibili vulnerabilità. Per questo sono previste espressamente anche nell’articolo 32 del GDPR.

Questo percorso si conclude con il dodicesimo passo: occorre cercare, e condividere, informazioni attendibili in tema di cyber security. Uno degli strumenti più efficaci per contrastare la criminalità informatica è la condivisione di informazioni, che diventa fondamentale per consentire alle imprese di comprendere meglio i rischi cui vanno incontro.

Piuttosto che da un asettico report, gli imprenditori adotteranno più facilmente misure per rendere sicuri i loro sistemi se sentono dire dai loro colleghi omologhi di come hanno superato le sfide e gli incidenti in materia di cyber security.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy