Consigli utili per prevenire gli attacchi informatici, per piccole e medie aziende
Cercando e ricercando in rete avrai sicuramente trovato tanto materiale sulla cybersecurity e la sicurezza, il problema è che quello che trovi è spesso molto teorico e rivolto soprattutto alle grandi aziende.
Se ti stai muovendo da poco in questo mondo, se lavori in una PMI o se hai come clienti le piccole medie imprese, questa è la guida giusta che fa per te!
Troverai tanti consigli utili da implementare fin da subito, per mettere in sicurezza la tua rete e iniziare a muovere i primi passi in ambito cybersecurity.
E ai piccoli… chi ci pensa?
Sono state tante le raccomandazioni fatte alle grandi organizzazioni per innalzare i loro livelli di sicurezza, e sui giornali sono emblematici i casi di regioni e grandi brand finiti nel occhio del ciclone. Ma alle piccole imprese chi ci pensa? Le PMI hanno meno formazione e meno budget da dedicare alla cybersecurity, ma non per questo sono meno importanti o aggredibili. Anche le realtà di dimensioni più piccole sono a rischio, ed è purtroppo sempre più facile finire nel mirino di hacker anonimi o ransomware.
(Ti consiglio anche l’articolo Cybersecurity: consigli pratici per le PMI)
Quindi… ce l’hai un piano?
La cybersecurity non è più solo una guerra tecnica, ma anche politica e organizzativa. Chi si occupa di cybersecurity deve avere un piano (anche di massima) che descriva cosa è necessario fare nel caso la situazione precipitasse, e come reagire ad un eventuale problema di sicurezza.
Se le cose andassero male, l’organizzazione quale sarebbe? Improvvisare?
Spegnere tutti i PC e aspettare che passi?
Oppure hai preparato qualcosa di più efficiente che ti permetterebbe di reagire subito?
Sembrano domande ovvie, ma ti assicuro che non lo sono, e non avere risposte per un’organizzazione sta diventando sempre più grave.
Cosa faresti se ti dicessi in anticipo che:
- domani subirai un attacco informatico
- ti indicassi quale sarà il mezzo tramite cui passerà l’hacker
- saprai già quali saranno i dati coinvolti
- conoscerai il preciso impatto dal punto di vista economico e tecnico
Conoscendo tutti questi dettagli è molto probabile che inizieresti a creare un piano per reagire e rendere la tua azienda più sicura. Beh… è venuto il momento di farlo, perché la probabilità che succeda è sempre più alta!
Ora voglio darti qualche consiglio su cosa inserire dentro questo piano e a quali aspetti dare maggiore attenzione. Seguire questi passi è il minimo che tu possa fare per reagire in maniera efficiente ad un possibile disastro.
Rendi sicuro l’accesso ai sistemi
La cybersecurity è fatta di cose semplici: utilizzare password lunghe e senza dati personali può essere già un primo passo. L’importante è che la prassi sia condivisa da tutti, dall’amministratore delegato all’operaio.
Ma può essere utile anche utilizzare account e password diversificati, per ogni utente e per ogni risorsa. Ti consiglio di attivare accessi personali sulle tue piattaforme, perché account condivisi usati da più persone potrebbero sfuggire al tuo controllo e diventare una falla di sicurezza.
Inoltre è buona norma verificare la compromissione delle credenziali; tool online come haveibeenpwned.com potrebbero essere utili per capire quali sistemi sono stati hackerati e per cui va cambiata la password.
Come sempre, il consiglio numero uno è educare le persone e fare in modo che ci sia una minima consapevolezza di questa problematica.
Gestisci il ciclo di vita degli utenti
Capita troppo spesso che un collega vada in pensione, una mamma sia in maternità e gli accessi non vengano bloccati. Credenziali non presidiate da nessuno e non bloccate potrebbero andare in mano a malintenzionati e consentire loro l’accesso alle risorse dell’organizzazione.
Il consiglio è semplice:
- se una persona se ne va, blocca tutti gli accessi o rimuovi l’utente dalle risorse condivise
- se una persona si assenta per un periodo prolungato, sospendi temporaneamente l’utente
Rendi sicuri tutti i dispositivi
Quante volte succede che le persone portino i computer e i cellulari personali in azienda? Spesso senza sapere come vengono utilizzati o cosa contegano. E non essendoci nessun controllo manca anche la possibilità di intervenire. In questo caso mettere alcuni paletti e misure minime di sicurezza è indispensabile.
Ad esempio:
- bloccare o filtrare la navigazione a PC non aziendali
- spostare i device degli ospiti in una rete separata
Pochissime regole, facili da rispettare ma che ti eviteranno possibili “bombe” all’interno dell’ufficio.
Backup, backup e ancora backup!
Chiariamo subito una cosa.
Uno snapshot non è un backup. Una copia temporanea dell’immagine dello storage non è un backup. Un dump di dati non è un backup. Se succede qualcosa al vostro server i dati sono andati.
E’ sempre necessario avere più copie di dati ed è meglio che almeno una di queste sia offline.
Secondo la regola del 3-2-1 è necessario conservare 3 copie dei dati, su 2 differenti storage di backup, con 1 copia mantenuta off-site.
La cosa peggiore è far pensare all’azienda che riguardo ai backup vada tutto bene quando invece non abbiamo nulla di pianificato. Se noi siamo responsabili dell’informazione e della sicurezza dei dati, siamo responsabili anche della perdita. Se i dati sono solo sui PC e un ransomware cifra il PC, abbiamo un problema.
Consigli pratici:
- controllare che i backup rispettino la regola del 3-2-1
- verificare che tutti i dati critici abbiano backup
- essere sicuri che i backup siano inaccessibili da terzi (es. in chiaro su una cartella condivisa e pubblica)
- avere un piano di ripristino efficace nel caso le cose vadano storte
Notare le potenziali cause di problemi
Lo ripeto: la cybersecurity non è fatta solo di budget enormi o sistemi tecnologici super avanzati. A volte basta solo saper riconoscere le potenziali cause di problemi.
Ad esempio:
- Il monitor della segretaria con password sul post-it
- Lo stagista che entra su tutte le condivisione di rete
- Il ragioniere che lavora con la password di amministratore
In una catena di eventi in cui qualcuno prende un malware o qualche malintenzionato riesce ad accedere ai nostri sistemi, se è presente anche solo una delle condizioni sopra elencate sappiamo già che i nostri dati faranno una brutta fine.
Partiamo dalle cose semplici, facciamo un giro per i reparti e le postazioni, segnaliamo i problemi e anticipiamo possibili conseguenze.
Un giretto in azienda per valutare la sicurezza fisica
Anche questo aspetto è semplice da attuare e facilmente verificabile. Basta farsi un giro per la struttura e controllare che:
- non ci sia libero accesso agli armadi di rete o alle prese di rete
- la porta della sala macchine non sia aperta a chiunque
- le chiavi di accesso siano in mano solo a persone autorizzate
E’ vero che un attaccante potrebbe avere difficoltà ad accedere ai tuoi uffici, ma l’accesso fisico ai sistemi permette di fare danni infinitamente maggiori di un accesso remoto. Anche in maniera involontaria da parte di chi non sa cosa sta facendo, ad esempio scollegando/collegando cavi di rete in maniera errata.
Bisogna anche fare attenzione alla sicurezza di tutti dispositivi mobili aziendali. Portare il telefono aziendale in spiaggia, lasciare il portatile in macchina quando ti fermi in autostrada, lasciare la postazione senza login o senza blocco all’accesso: sono tutte pratiche che andrebbero sconsigliate.
Controllare le piattaforme cloud
Lo smart working ha spinto molto l’adozione del cloud, poter far lavorare i collaboratori da remoto e accedere in maniera veloce ai servizi SaaS è di indubbia comodità.
Ma qual è la sicurezza dei servizi che usiamo? Chi accede a cosa? Abbiamo una copia dei dati?
Forse conoscerai le vicende del datacenter di OVH, che è andato a fuoco perdendo una mole incredibile di dati.
Hai studiato il tuo datacenter? La sicurezza minima è garantita? I dati sono trattati con tutte le accortezze? Soprattutto se sono sensibili.
Se ho uno studio medico e accedo alle cartelle dei pazienti, quei dati vanno protetti in modo specifico. Allo stesso modo se sono un avvocato che gestisce dati su cause penali o civili.
Anche in questo caso, i sistemi in cloud devono avere un backup e una verifica precisa del ciclo di vita degli utenti.
Fai formazione ai dipendenti
Quando si parla di formazione non vuol dire fare un corso ogni sei mesi, ma cercare di prevenire l’errore umano facendo un po’ di cultura sulla cybersecurity.
E’ normale che le persone siano troppo prese dal loro proprio lavoro e non si preoccupino di aspetti legati alla cybersecurity. Il nostro compito è proprio questo: essere proattivi cercando di anticipare e correggere pratiche pericolose.
Ti faccio qualche esempio:
Alla domanda “Scusa mi è arrivata questa fattura, ma non è la mia compagnia. La apro?” La risposta è semplice: se qualcuno chiede cose strane ignoralo. La regola è sempre quella: non accettare le caramelle degli sconosciuti.
Il computer è lento?
Consigliate di non lasciarlo acceso di notte, perché probabilmente sta mandando via malware o spam.
Condividete delle procedure per la gestione degli incidenti. Se c’è un problema in azienda, devono sapere con chi parlare, non posso riportarlo a chiunque capita. Se hanno un problema il week-end hanno un canale specifico a cui riferirsi? Chi è la persona di riferimento?
Il consiglio di fondo è semplice: cercare e condividere le informazioni con le persone in azienda per creare quella cultura sulla cybersecurity che serve per minimizzare i problemi.
Ed ecco creato il tuo piano di prevenzione!
Spero di averti dato abbastanza spunti per sviluppare un piano di prevenzione e di reazione agli attacchi.
Va benissimo anche indicativo e di massima, ma è necessario che preveda diversi scenari:
- se prendo un malware come faccio?
- se mi eliminano tutto come faccio?
- se trovo accessi anomali come faccio?
- ho un sistema completamente compromesso, come mi comporto?
Prova a crearlo ora e condividilo con il tuo team.
E’ un lavoro difficile, ma qualcuno deve pur farlo!
Lo so, è difficile far passare questi concetti in azienda, ma se ci chiedono di essere i paladini della sicurezza e delle informazioni è necessario che l’azienda segua i consigli di chi si occupa di questi temi. Insisti affinché vengano adottati almeno i controlli minimi.
L’importante è iniziare.
Ti basterà implementare qualche consiglio che ho descritto nell’articolo e la tua azienda sarà preservata da tantissimi problemi in caso di attacco, compromissione o banale errore umano.
Due risorse utili se vuoi approfondire:
- Iscriviti al webinar lancio del nostro nuovi servizio Vulnerability Assessment Premium
- La registrazione del evento: Cyber attacks: sei pronto ad affrontarli?
Prima di andare via ti suggerisco di leggere questi:
