3 esempi di casi in cui i direttori di PMI si lasciano ingannare da una falsa sicurezza informatica

La maggior parte delle PMI compie diversi sforzi per la protezione e la sicurezza dei dati. Tuttavia, competenze e responsabilità poco chiare compromettono la protezione dalla perdita di dati e dagli attacchi informatici. Tre esempi e approcci risolutivi.

I dati vengono salvati regolarmente tramite backup, il partner IT esegue gli aggiornamenti e l’accesso all’archiviazione dei dati sul cloud è disciplinato da diversi diritti di accesso. Allora tutto a posto? Analizziamo più da vicino e smascheriamo gli errori che vanificano le misure di sicurezza messe in atto con le migliori intenzioni. I tre esempi hanno qualcosa in comune: il fallimento non è dovuto alla tecnica, ma a valutazioni errate a livello organizzativo.

Vale la pena fare un’analisi più attenta, perché i direttori e le titolari sono responsabili per legge della protezione e della sicurezza dei dati all’interno della propria PMI. Non è possibile scaricare tale responsabilità e il rischio né su collaboratrici e collaboratori, né su fornitori di servizi IT o su un’assicurazione. Inoltre, la nuova legge sulla protezione dei dati (nLPD), che entrerà in vigore il 1° settembre di quest’anno, aumenta i requisiti per la sicurezza dei dati quale presupposto per la protezione dei dati. Questo è il momento giusto per verificare, analizzare e migliorare le misure adottate. Questo articolo evidenzia i possibili problemi e fornisce soluzioni sotto forma di check list.

Errore 1: con il backup i dati sono al sicuro

A intervalli regolari, la PMI esegue il backup dei propri dati aziendali più importanti: documenti Office, banche dati di CRM ed ERP, manuali e altre informazioni digitali rilevanti. In caso di emergenza è infatti necessario assicurarsi che i dati possano essere ripristinati. Inoltre, in caso di attacco andato a buon fine, i criminali informatici non possono accedere ai backup, perché altrimenti potrebbero crittografare i dati,renderli inutilizzabili o pubblicarli.

Ripensate alla vostra strategia di backup nel caso in cui vi ritroviate in una delle seguenti affermazioni:

• il backup è accessibile da un PC in modo permanente perché si trova su un disco rigido esterno o in un dispositivo di archiviazione di rete.
• il salvataggio non è criptato.
• non viene verificato se il ripristino funziona e se i supporti di backup sono disponibili e leggibili.

Errore 2: diritti di accesso e account personali proteggono i nostri dati

In linea di massima, questa affermazione è corretta. Ma nella realtà la situazione è spesso diversa, in quanto tutti hanno accesso a tutto. Quella che potrebbe essere una dimostrazione di fiducia nelle collaboratrici e nei collaboratori facilita enormemente il lavoro dei criminali informatici.

Anche in questo caso, se siete interessati a una delle seguenti affermazioni, verificate le relative autorizzazioni:

• tutte le collaboratrici e i collaboratori hanno accesso all’intero archivio documenti, con poche eccezioni come contabilità e HR.
• quando i collaboratori lasciano l’azienda, gli account rimangono attivi per un certo periodo di tempo.
• per determinati servizi cloud o per l’intranet, più collaboratori utilizzano lo stesso account e la stessa password.

Errore 3: eseguiamo aggiornamenti regolarmente

Il problema risiede nella definizione di «regolare»: effettuate gli aggiornamenti di sicurezza subito dopo il loro rilascio o sono previsti intervalli di tempo fissi durante i quali la vostra PMI o il vostro partner IT aggiorna le postazioni di lavoro e il server? In caso di gravi falle nella sicurezza di Windows e delle applicazioni Office (Microsoft 365), gli aggiornamenti ritardati offriranno una finestra temporale molto apprezzata dai criminali informatici, che sapranno sfruttare tali lacune.

La situazione la conoscete già, se concordate con le seguenti affermazioni, dovreste interrogarvi sulla strategia degli aggiornamenti:

• noi (o il partner IT) installiamo gli aggiornamenti a intervalli definiti.
• abbiamo in funzione sistemi per i quali non sono più disponibili aggiornamenti di sicurezza.
• non possiamo aggiornare alcuni sistemi perché il software è troppo vecchio per i sistemi operativi più recenti.

Check list: domande al partner IT in merito al rafforzamento della sicurezza IT

Tali problemi di sicurezza derivano per lo più da fatti involontari, ma nascono da responsabilità poco chiare tra le PMI e i partner IT, da una documentazione incompleta o dalla pressione sui costi dei servizi IT. Gli aggiornamenti tempestivi, ad esempio, richiedono un impiego più frequente da parte di specialisti IT o di partner IT. E proprio gli aggiornamenti ne sono un buon esempio: la sicurezza informatica è un processo continuo che deve essere continuamente analizzato e adeguato.

Vale la pena approfondire la sicurezza informatica e fare chiarezza. La trasparenza su incarichi e responsabilità vi mostra a che punto si trova la vostra PMI. Adottando adeguate misure di sicurezza, riducete i rischi di un attacco informatico e i danni alla reputazione che ne derivano nonché le interruzioni dell’attività. Un piano di emergenza elaborato e comunicato riduce le conseguenze di un potenziale attacco.

La presente check list riassume i punti principali che potete discutere con il vostro partner IT per professionalizzare insieme la sicurezza IT:

1. Dati e applicazioni cruciali per l’attività aziendale: cosa è assolutamente necessario per garantirne il funzionamento? Questo vi fornisce un’indicazione sulla priorità delle misure di sicurezza IT.
2. Descrizione delle prestazioni dei contratti di assistenza: quali mansioni e responsabilità sono disciplinate al suo interno? Sono definiti, ad esempio, la cifratura dei backup, l’intervallo di aggiornamento, la gestione degli utenti o il tempo di reazione in caso di guasto?
3. Documentazione: esiste una check list standardizzata per i lavori di manutenzione? I compiti svolti vengono verbalizzati? In qualità di direttori/direttrici, siete trasparenti sullo stato attuale del vostro sistema IT grazie alla documentazione?
4. Security Assessment: avete bisogno di fare chiarezza sullo stato attuale della vostra sicurezza informatica? Con un assessment ottenete una descrizione dettagliata dello stato della vostra infrastruttura e potrete pianificare eventuali misure di ottimizzazione sulla base di dati concreti.
5. Lavori aggiuntivi: come vengono disciplinate e fatturate le prestazioni supplementari? Ciò include, ad esempio, la sostituzione non pianificata di hardware o l’adeguamento delle regole del firewall al di fuori della manutenzione concordata.
6. Piano di emergenza: e per concludere in bellezza, le misure di emergenza funzionano in caso di perdita di dati o attacco informatico? Questo include che le misure di sicurezza preventive, come un backup o il guasto dei componenti di rete ridondanti, vengano testati prima che succeda qualcosa.

La verifica e l’adeguamento regolari delle misure di sicurezza informatica riducono il rischio di perdita di dati e di attacchi informatici riusciti e, di conseguenza, anche il rischio di interruzioni dell’attività. Inoltre, la sicurezza informatica è un elemento centrale delle disposizioni della nuova legge sulla protezione dei dati, che impone alla direzione aziendale di assumersi la responsabilità e il dovere di diligenza nei confronti dei propri collaboratori. La nLPD prevede una responsabilità personale in caso di violazioni e relative multe. Con un’elevata sicurezza informatica, riducete il rischio di incidenti di questo tipo e proteggete così voi stessi e i vostri collaboratori.