Iscriviti alla newsletter e ricevi la guida alla crezione della scheda di conformità industria 4.0.
Notizie

Cybersicurezza: da dove partire

Scritto da stefano

La digitalizzazione dell’azienda porta con sé un nuovo fattore di  rischio, ovvero la possibilità di subire attacchi di vario genere veicolati attraverso gli strumenti informatici. Quali sono questi strumenti informatici e quali i tipi di attacco? E come prevenirli?

Prima di tutto è fondamentale capire che qualsiasi azienda è già sufficientemente digitalizzata da subire un attacco, anche se composta da un solo imprenditore o da un solo PC. E la porta di ingresso per un attacco è la posta elettronica. E’ noto a tutti, o dovrebbe esserlo, che negli ultimi anni la posta elettronica è stata il mezzo per far entrare nell’azienda i ramsomware, programmi malevoli che rendono illeggibili i proprio file che che chiedono un riscatto per poterli riavere indietro integri.

La perdita dei propri dati è sicuramente uno dei peggiori danni che si possa subire ed è anche tra le cause di maggior perdita economica da parte delle aziende causata dagli attacchi informatici.

Altri veicoli per far entrare il malaware nella propria azienda è l’utilizzo di siti che sfruttano vulnerabilità dei computer di chi li visita (ad esempio attraverso programmi di navigazione vecchi e mai aggiornati) o lo scambio di file attraverso chiavette USB. Queste attività (posta elettronica, navigazione in rete e scambio di memorie USB) sono comuni ed indispensabili al lavoro, non possiamo farne a meno.

Per proteggersi bisogna innanzi tutto essere coscienti del pericolo. Quando mi faccio una ferita e sono in un ambiente sporco, so che posso prendere una infezione e quindi provvedo subito a disinfettare e, se mi rendo conto che il problema non è risolto, vado dal medico e utilizzo un antibiotico. Non aspetto certo che la situazione si aggravi fino a dover perdere un braccio.

In forma meno drammatica, anche la cibersecurity va affrontata allo stesso modo: è necessario sapere che ci sono situazioni pericolose e che vanno valutate e corrette prima che ci sia un danno. Si deve sviluppare una minima sensibilità per capire che è in corso un problema e che va risolto. Le aziende in generale sono pronte? No.

I punti essenziali da seguire

Affrontare l’argomento con il fai da te non è una buona idea e, purtroppo, anche i consulenti si limitano spesso all’installazione di un antivirus e non vedono il problema nel suo quadro generale. Un antivirus è importante, ma se poi hai il PC senza password e lo lasci sul sedile dell’auto nel parcheggio dell’Autogrill… la sicurezza passa anche attraverso specifiche abitudini e la comprensione che se il mio PC ha tutti i dati (magari in unica copia), non vale 1000 euro ma la vita stessa dell’azienda.

Per non inventare quello che è già stato fatto e quindi fare anche meno fatica, esiste un documento creato appositamente per le aziende italiane, con l’idea di tarare le indicazioni in funzione delle dimensioni tipiche di una PMI. Troviamo tutto in forma più che leggibile nel sito del Framework Nazionale per la Cyber Sicurezza dentro il documento “Cybersicurezza i controlli essenziali“.

Sono 50 pagine di veloce lettura ma che mettono il lettore nella giusta prospettiva per iniziare un percorso consapevole di protezione dei propri dati e quindi della propria azienda dagli attacchi informatici. Non solo: essendo 15 punti corredati anche da esempi, sono di aiuto nel valutare che cosa è stato fatto, che cosa c’è da fare e quindi che cosa chiedere ai consulenti per coprire gli elementi essenziali di sicurezza.

Al vostro consulente chiedete: possiamo valutare assieme i 15 punti essenziali di cybersicurezza? E con lui potete intraprendere un percorso virtuoso e diminuire il rischio. Non lo potete mai azzerare, non potete impedire che qualcuno riesca ad entrare in ufficio e distruggere i PC… ma se avete un backup in cloud…

Brutte abitudini

Qualche anno fa, durante un corso di informatica base, l’insegnante per prima cosa ha spiegato ai partecipanti come disabilitare gli aggiornamenti automatici di Windows. Queste sono le famose abitudini che vanno estirpate. Se è vero che alcuni aggiornamenti introducono problemi, solitamente incompatibilità con dei programmi già installati, è vero anche che gli aggiornamenti sono l’unico modo per “tappare” i buchi del proprio sistema.

Non esiste un sistema senza difetti e quando vengono scoperti vanno corretti immediatamente. Fortunatamente, a differenza di alcuni anni fa, moltissimi software e sistemi operativi hanno funzionalità di aggiornamento automatico (o comunque avvisano della disponibilità di aggiornamenti) che vanno sempre eseguiti.

In alcuni casi è necessario provvedere alla sostituzione di un intero sistema, quando il supporto non sia più garantito. A fronte di un indubbio lavoro, spesso fastidioso, si evitano rischi che possono creare danni ben peggiori.

Gli smartphone

Anche gli smartphone possono essere veicolo di malware. Permettere a tutti (i dipendenti) di utilizzare la WiFi aziendale per il proprio smarphone è una pratica da sconsigliare. Meglio evitare totalmente che oggetti personali vengano collegati alla rete dell’azienda e se proprio si deve fornire connettività utilizzare le reti guest messe a disposizioni da quasi tutti i router.

Programmi scaricati dalla rete

Purtroppo l’abitudine di scaricare programmi commerciali dalla rete per evitare di pagare le licenze (è un reato) ci rende bersagli facili. Un programma scaricato ed avviato volontariamente dà pieno accesso al sistema e alla rete a possibili intrusi. E, ovviamente, i programmi più pericolosi sono quelli a pagamento che, trovandoli gratuiti, fanno gola a molti. Certamente i costi dell’informatizzazione non sono irrilevanti in una azienda che vuole stare al passo, ma sono indispensabili per tenere stretto il cerchio di sicurezza. Possono essere comunque contenuti cercando soluzioni open source compatibili, un consulente ve ne saprà indicare più di una.


Resta aggiornato, iscriviti alla newsletter

About the author

stefano

Leave a Comment