Questo articolo di Marco Bavazzano, CEO di Axitea, è un decalogo di 10 punti dedicato alla sicurezza informatica delle PMI.
Sicurezza informatica, un decalogo per le PMI: come difendersi in modo efficace, contenendo i costi
Sempre più spesso si sente parlare di attacchi hacker portati a industrie centrali del nostro Paese. Nonostante questo abbia contribuito a creare maggior consapevolezza dell’importanza di proteggere le proprie risorse critiche da questi attacchi, in molti casi le imprese fanno ancora fatica a organizzare le proprie difese. In Italia, poi, il 92% delle imprese attive è rappresentato da PMI, con dimensioni, modelli di business e mercati di riferimento molto specifici che costringono ad allocare risorse economiche e competenze in base a priorità di business, trascurando spesso la gestione del rischio informatico. Il risultato, come evidenziato da un recente sondaggio condotto da SWG per Confesercenti sulle PMI, è che “una su quattro (26%) è stata colpita da problemi relativi alla sicurezza informatica e il 52% destinerà nell’anno in corso risorse per la messa in sicurezza dei propri dati, per un investimento complessivo di quasi 470 milioni di euro”.
Ci sono alcuni aspetti, e approcci di sicurezza informatica soprattutto, a cui le PMI dovrebbero prestare maggiore attenzione per assicurarsi una protezione più efficace dagli attacchi informatici. Abbiamo provato a riassumerli in dieci passi.
Sicurezza informatica per le PMI: protezione in 10 punti
1. Pensare alla security by design
Una delle ragioni per cui la sicurezza di sistemi e reti raramente rientra nelle priorità delle PMI è la convinzione radicata di non ricadere nel radar degli attaccanti, per le proprie dimensioni. Tuttavia, sono ancora numerosi gli attacchi ransomware ad ampio spettro, lanciati quotidianamente verso imprese di ogni dimensione e settore, e le PMI sono spesso le vittime più impattate proprio perché più indifese. Le imprese devono quindi cambiare approccio al tema della sicurezza informatica: come per la sicurezza fisica, per cui si attivano sistemi anti-intrusione per intervenire prontamente in caso di allarme, bisogna partire dall’assunto che anche i sistemi informatici siano sempre a rischio e progettare l’integrazione di tecnologie e competenze di security attraverso tutta l’organizzazione.
2. Definire il perimetro di rischio
Date le specificità delle PMI, un progetto di sicurezza informatica standardizzato potrebbe non coprire perfettamente l’ambito di azione di un’azienda e salvaguardarne appieno l’attività. Di conseguenza, è utile per le imprese definire il proprio perimetro di rischio: identificare i fattori di debolezza specifici, le lacune esistenti nelle tecnologie e nell’educazione del personale, per stabilire un piano di risposta coerente agli attacchi informatici. In questo modo, inoltre, si favorisce anche un risparmio economico: invece di investire su tutte le tecnologie disponibili, con la conseguente necessità di un mantenimento e adeguamento continuo, si individuano tecnologie e strategie specifiche sulla misura dell’azienda.
3. Formare le persone sulla sicurezza informatica
In ambito sicurezza IT, i rischi provenienti dall’interno dell’organizzazione stanno assumendo sempre maggior peso rispetto a quelli esterni. La definizione di un piano di sicurezza informatica e protezione dati, dunque, non può prescindere da un adeguato investimento nella formazione del personale. L’obiettivo è aumentare la consapevolezza sui giusti comportamenti da adottare per evitare di mettere a rischio il patrimonio informativo dell’azienda e istruire sulle attività di reazione alle intrusioni.
4. Considerare le minacce ai dati non come isolate, ma persistenti e ripetute
Per non perdere informazioni preziose, il backup non è più sufficiente. Attacchi come malware, ransomware, APT (Advanced Persistent Threat), sempre più frequenti, sono ripetuti e sofisticati. La richiesta di riscatto, ad esempio, arriva in realtà quando gli hacker hanno già raggiunto il loro obiettivo: il furto dei dati. Una soluzione anti-APT gestita, ad esempio, può aiutare a prevenire la compromissione della rete e delle macchine aziendali, l’inattività forzata del personale, e la sospensione dei servizi fino al ripristino della situazione.
5. Stabilire un processo di threat detection continuata
Le minacce informatiche sono in continua evoluzione, dunque non basta implementare un servizio di sicurezza informatica per considerarsi al sicuro. È necessario stabilire una detection continua e proattiva, in grado di rilevare tempestivamente e sul nascere situazioni anomale, intrusioni non autorizzate e incidenti informatici. Il ricorso alla gestione della sicurezza integrata in modalità “managed” – come ad esempio quella abilitata da soluzioni SOC-as-a-Service – rappresenta il modello ideale per la PMI per poter usufruire immediatamente ed efficacemente di servizi di sicurezza proattiva e continuativa a costi sostenibili, modulari e personalizzabili senza avere necessariamente costi di risorse interne.
6. Integrare tecnologie avanzate di sicurezza informatica per perfezionare le risposte agli attacchi
Il maggior ricorso a nuovi device tecnologici connessi, come nel caso dell’Industry 4.0, porta inevitabilmente ad allargare l’esposizione al rischio. I sistemi che integrano machine learning, threat intelligence e big data, se adottati in tutta l’infrastruttura aziendale, provvedono ad aggiornarsi autonomamente in relazione sia all’evoluzione del perimetro di rischio dell’aziende che all’evoluzione degli attacchi e alle nuove necessità di compliance, e forniscono informazioni utili agli analisti informatici per formulare risposte tempestive e valide nella risoluzione di incidenti e mitigazione dei rischi.
7. Effettuare sempre un’analisi post-attacco per imparare dagli errori
Nell’eventualità che un attacco informatico vada a segno, un passo fondamentale dopo il ripristino della situazione è quello di analizzare cosa è successo: quali sono stati i vettori di infezione, quali dati sono stati rubati e in che modo, e come e quanto la risposta all’incidente ha funzionato. Si tratta una fase cruciale per evitare di compiere gli stessi errori una seconda volta e per velocizzare le risposte a successivi incidenti simili, documentando adeguatamente l’accaduto in maniera chiara e condivisa. Con questa logica, poi, bisogna considerare anche di testare l’intero processo periodicamente per capire se si è pronti nel seguirlo e se tutte le azioni contemplate sono realmente fattibili e in che tempi, attività che è possibile svolgere con il supporto di aziende che offrono servizi strutturati e continuativi di adversary simulation.
8. Identificare un CISO dotato di competenze tecnologiche e strategiche
I dipartimenti IT di aziende e organizzazioni devono quotidianamente fronteggiare una quantità di sfide e attività tali da diventare spesso insostenibili: la naturale conseguenza è che le risorse da dedicare alla sicurezza informatica non siano sufficienti. In questo contesto, affidarsi a un Chief Information Security Officer in modalità as-a-Service, quale figura esterna di riferimento, può essere la soluzione: questa figura, infatti, non possiede soltanto competenze tecniche ma ha anche una visione strategica per guidare le decisioni aziendali in termini di sicurezza informatica a supporto dell’IT.
9. Liberare risorse ed energie sulle attività core affidandosi a servizi di protezione gestiti
Quando si tratta di sicurezza informatica, le PMI si trovano ad affrontare la complessità in un panorama di over distribution, necessità di adeguamento costante (in termini di data integrity, privacy, compliance, proliferazione device IoT, etc) e impossibilità di dedicare risorse costanti, tutto l’anno, come la sicurezza imporrebbe. Affidare la protezione dei propri spazi fisico-digitali – facendo leva su un modello più diffuso di “security outsourcing” – ad aziende specializzate nella gestione preventiva e continuativa della sicurezza delle imprese consente alle PMI di mantenere alta l’attenzione alle proprie attività core, rimanendo al sicuro.
10. Adottare una logica di ecosistema
Come dimostrato dagli avvenimenti degli ultimi anni, la catena del valore delle imprese è sempre più articolata e interconnessa, con gli equilibri di domanda e offerta che possono essere improvvisamente influenzati in qualsiasi momento, con conseguenze significative per la crescita delle PMI. Di fronte a queste barriere, l’evoluzione dei modelli di business esistenti attraverso la tecnologica può aiutare le PMI a gettare le basi per una futura crescita sostenibile: quante più singole imprese adottano meccanismi di difesa, tanto più la sicurezza dell’intero ecosistema in cui operano sarà garantita.
di Marco Bavazzano, CEO di Axitea