A sentire il termine “cybersecurity”, viene istintivo evocare un immaginario da film. Hacker incappucciati che, nel buio di un garage, stanno chini sul loro computer a digitare codice a ritmi furiosi. Oppure Anonymous, col volto nascosto dalla sua maschera beffarda, che si ingegna per gabbare i poteri forti (e spesso ci riesce pure).

ANONYMOUS

C’è un quid di affascinante in tutto questo, ma nella vita quotidiana ci conviene tornare con i piedi per terra. Perché in realtà questo tema ci coinvolge tutti, molto più di quanto siamo abituati a pensare. Per questo abbiamo deciso di proporti questa breve guida alla cybersecurity in azienda, con le informazioni fondamentali da sapere e i semplici consigli puoi applicare da subito.

Cos’è la cybersecurity

Cominciamo quindi dall’abc, leggendo con attenzione la definizione di cybersecurity che ci propone Agenda Digitale:

 Cybersecurity è un sinonimo di sicurezza informatica, ovvero di tutte quelle tecnologie utili a proteggere un computer o un insieme di computer (sistema informatico) da attacchi che possono portare alla perdita o compromissione di dati ed informazioni.

La cybersecurity, al contrario dell’information security, dipende solo dalla tecnologia informatica. Per capire se un sistema informatico è più o meno sicuro bisogna trovare le minacce e vulnerabilità e proteggerli da eventuali attacchi.

Cybersecurity in azienda: i rischi 

Una volta chiarito l’argomento di cui stiamo parlando, arriva la parte più difficile: quella in cui ti aiutiamo a ricollegarlo alle tue azioni quotidiane. Ormai siamo abituati a essere “always on”, con lo smartphone in mano e il fitbit al polso, e con l’affermarsi dell’Industria 4.0 stanno prendendo questa strada anche le aziende tradizionali.
Cloud, banda larga e ultralarga, big data, droni, Intelligenza Artificiale, Internet of Things: tutte queste innovazioni snelliscono i processi e aumentano l’efficienza. Ma c’è anche un rovescio della medaglia: moltiplicano i punti deboli.Il ‘tutto connesso, sempre’ significa, in pratica, ‘più porte e più finestre’ verso il mondo esterno. La conseguenza diretta è un significativo aumento del rischio che gli attaccanti riescano, a costi ridotti, a sottrarre informazioni, dati e know-how fondamentali per le aziende”, sottolinea Agenda Digitale.

Insomma, essere connessi significa anche essere un po’ più vulnerabili. A “dare i numeri” è il report di Accenture The cost of cybercrime, che mette a sistema una serie di studi e oltre 2.600 interviste ai rappresentanti di 355 aziende. Quest’analisi conteggia 145 “security breach” nel 2018, che corrispondono a un aumento dell’11% rispetto all’anno precedente e addirittura del 67% nell’arco di appena cinque anni.

Cybersecurity in azienda: cosa sapere e cosa fare

Ora che ti sei fatto un’idea dei rischi, cosa puoi fare per tutelare la cybersecurity nella tua azienda? Il portale specializzato Cybersecurity360 indica alcuni consigli pratici che ogni azienda dovrebbe seguire:

  • backup, sicurezza informaticaFormazione. Puoi fare tutti gli investimenti del mondo in software e sistemi per il backup, ma sono solo soldi buttati se alla base manca la consapevolezza da parte del personale. Liberiamoci dal preconcetto per cui la formazione sulla cybersecurity sia solo una scocciatura, e iniziamo a dedicarle l’impegno che merita. Quanti sanno, per esempio, che un’azienda rischia pesanti sanzioni se un dipendente smarrisce una semplice chiavetta Usb?
  • Antivirus. È fondamentale installare un antivirus valido, tenerlo sempre aggiornato e avviare scansioni a intervalli regolari (e non solo quando sospetti che ci sia qualcosa che non va!).
  • Backup. Una volta al giorno o al massimo una volta alla settimana, è buona norma fare una copia di tutti i file in un hard disk esterno, che ti garantisce la possibilità di ripristinarli in qualsiasi momento.
  • Strategia. Metti a punto una strategia di sicurezza informatica, con “un piano di gestione della crisi che preveda anche lo scenario peggiore: quello in cui vengono compromesse risorse importanti per il cliente”.

La sicurezza comincia dai dipendenti

cybersecurity, dipendentiL’abbiamo già accennato poco fa, ma vale la pena di ribadirlo: la cybersecurity deve partire dai dipendenti, nessuno escluso.
Se siamo così insistenti è perché, ad oggi, gli errori umani sono ancora un po’ troppo diffusi. Interpellati da una ricerca di Kaspersky, più di metà dei referenti aziendali ritengono che i rischi più consistenti arrivino “dall’interno”. A volte si può parlare di sabotaggio, ma molto più spesso i dipendenti sono semplicemente disattenti o poco informati sulle procedure corrette. Andando a ripercorrere gli attacchi più gravi subiti lo scorso anno, il report scopre che la causa numero 1 sono virus, malware e trojan, ma sul secondo gradino del podio ci sono proprio le negligenze del personale. In terza posizione, gli hardware smarriti.

A pensarci bene, la questione è tutt’altro che banale. Per acquistare un nuovo antivirus e installarlo su una rete di computer, in fin dei conti, serve solo un piccolo investimento di tempo e denaro. Decisamente più impegnativo è dialogare con ogni singolo dipendente, trasmettergli le competenze che gli servono e instaurare anche quella fiducia che lo spinge a chiedere aiuto se scopre un problema.

Uno strumento molto valido è la policy sulla sicurezza informatica aziendale, che contiene tutte le disposizioni, i comportamenti e le misure organizzative che gli impiegati (ma anche i collaboratori esterni) devono seguire per contrastare i rischi informatici. Il documento va firmato all’inizio dell’incarico e va poi aggiornato a intervalli regolari. Non va inteso soltanto come un’imposizione, anzi: avere sempre sottomano le linee guida è una tutela per il lavoratore. Una volta che hai in mano questa policy e sei stato informato su rischi e procedure, non hai più scuse!

Cybersecurity in azienda: gli strumenti

Passiamo quindi agli strumenti pratici che dovresti adottare in azienda (o chiedere al tuo capo). Oltre alla policy sulla sicurezza, Cybersecurity360 dà altri suggerimenti:

  • Tieni aggiornati tutti i firmware e i sistemi operativi dei dispositivi aziendali.
  • Usa la cifratura disco su computer e smartphone.
  • Collegati a internet sempre attraverso il protocollo sicuro HTTPS.
  • Tieni sempre separati gli account aziendali da quelli personali.
  • Imposta la password per sbloccare il computer quando va in standby.
  • Scegli una password diversa per ogni account.
  • Usa sempre l’autenticazione a due fattori; meglio ancora se genera un codice attraverso una app.
  • Imposta la password con criterio: può sembrare assurdo, ma nel 2019 le password più comuni al mondo sono “123456”, “qwerty” e “password”!

PASSWORD

  • Cambia spesso le tue password e non condividerle con nessuno.
  • Non inserire chiavette USB senza essere certo del contenuto. Lo stesso discorso è valido per l’apertura degli allegati.
  • Formatta gli hard disk esterni prima di riutilizzarli o buttarli.
  • Aggiorna sempre i browser all’ultima versione.
  • Evita di concedere alle app l’accesso a microfono e webcam, se non c’è un motivo valido.
  • Se qualcuno ti ruba il computer o lo smartphone, allerta subito un responsabile.
  • Installa sui computer e sugli smartphone dell’azienda solo i software davvero utili (e, in ogni caso, chiedi l’autorizzazione).
  • Attiva il Wi-Fi o il Bluetooth solo quando richiesto, soprattutto se lo smartphone è personale e la rete è aziendale.
  • Chiudi sempre a chiave la stanza con il server o i dati della direzione.

PASSWORD

Come avere uno smartphone più sicuro

Nel mondo ideale, ciascuno di noi ha uno smartphone aziendale e uno personale, che vivono due vite ben distinte. Nella pratica, sarai d’accordo con noi nel constatare che spesso le cose non vanno esattamente così! Questo però ti dovrebbe spingere a fare ancora più attenzione alla sicurezza:

  • Imposta sempre il blocco dello schermo e usa password sicure, come l’impronta digitale.
  • Scarica le app solo dagli store ufficiali.
  • Quando scarichi un’app, leggi bene gli accessi che vengono richiesti e pensaci due volte prima di dare l’ok.
  • Tieni sempre aggiornati il sistema operativo e tutte le app.
  • Attiva un antivirus e fai una scansione a intervalli regolari.
  • Abilitare il controllo remoto o la funzione “Trova il mio smartphone”.
  • Prima di vendere il tuo smartphone, ripristinalo allo stato di fabbrica.

Cos’è cambiato con il GDPR

A dare una scossa importante alle norme sulla cybersecurity è stato il GDPR, l’attesissimo regolamento europeo sulla protezione dei dati entrato in vigore il 25 maggio 2018.

Da allora, gli enti pubblici e alcune tipologie di aziende private sono tenute a nominare il Dpo (Data Protection Officer), una nuova figura professionale che ha la supervisione sull’intera politica di gestione del trattamento dei dati. Può trattarsi di un dipendente o di un consulente esterno, purché abbia le competenze giuste e sia messo nelle condizioni di svolgere bene il suo lavoro.

Un’altra novità dirompente introdotta dal GDPR è l’obbligo di notificare al Garante per la protezione dei dati personali, entro 72 ore, qualsiasi data breach potenzialmente dannoso per gli individui. Con questa espressione, che significa “violazione dei dati personali”, si intendono tanti casi diversi. Per esempio:

  • terze persone, non autorizzate, vedono o acquisiscono i dati;
  • un hard disk che contiene dati personali viene smarrito o rubato;
  • qualcuno ha manipolato i dati personali;
  • il dispositivo è stato colpito da un virus che impedisce l’accesso ai dati;
  • il dispositivo che contiene i dati è distrutto da un incendio o un altro incidente;
  • i dati personali sono divulgati senza autorizzazione.

Forse hai l’impressione di essere un po’ sommerso di informazioni, ma più parliamo con i nostri legali e i nostri clienti, più ci rendiamo conto di quanto ci sia ancora da lavorare sulla cybersecurity in azienda. Se hai bisogno di un supporto, contattaci!

TAGS:
crittografia - gdpr - privacy - sicurezza