15 misure minime per la sicurezza informatica nelle medie, piccole e micro imprese

L’attacco informatico di WannaCry in corso in queste ore dimostra come qualsiasi azienda, di grandi e piccole dimensioni, possa essere un facile bersaglio per gli hacker, il cui fatturato deriva principalmente da attacchi a piccole e micro imprese. Inoltre, un numero crescente di attacchi a grandi imprese avviene infatti attraverso la vulnerabilità nei sistemi di qualche loro piccolo fornitore, che può creare danni all’intera filiera produttiva.

Il 2016 Italian Cybersecurity Report realizzato dal Research center of cyber intelligence and information security dell’Università Sapienza di Roma e dal Laboratorio nazionale Cini definisce i 15 controlli minimi di sicurezza da effettuare in quelle piccole aziende che non hanno una struttura IT.

Di seguito i 15 controlli essenziali proposti dal report:

1) verificare che in azienda esiste e sia mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso all’interno del perimetro aziendale.

2) assicurarsi che i servizi web (social networkcloud computingposta elettronicaspazio web, ecc) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.

3) individuare informazioni, dati e sistemi critici per l’azienda affinché siano adeguatamente protetti.

4) nominare un referente che sia responsabile per il coordinamento delle attività di gestione e di protezione delle informazioni e dei sistemi informatici.

5) identificare e rispettare le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.

6) verificare che tutti i dispositivi che lo consentono siano dotati di software di protezione (antivirus, antimalware, ecc.) regolarmente aggiornati.

7) le password devono essere diverse per ogni account, della complessità adeguata, valutando anche l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio, come l’autenticazione a due fattori.

8) accertarsi che il personale autorizzato all’accesso, remoto o locale, ai servizi informatici disponga di utenze personali non condivise con altri, che l’accesso sia opportunamente protetto e che i vecchi account non più utilizzati siano disattivati.

9) ogni utente potrà accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.

10) il personale dovrà essere adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali, con i vertici aziendali che dovranno predisporre per tutto il personale aziendale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.

11) verificare che la configurazione iniziale di tutti i sistemi e dispositivi sia svolta da personale esperto, responsabile per la configurazione sicura degli stessi, e che le credenziali di accesso di default siano sempre sostituite.

12) eseguire periodicamente backup delle informazioni e dei dati critici per l’azienda e che i backup sono conservati in modo sicuro e verificati periodicamente.

13) verificare che le reti e i sistemi siano protetti da accessi non autorizzati.

14) avere strumenti specifici che in caso di incidente vengano informati i responsabili della sicurezza e i sistemi siano messi in sicurezza da personale esperto.

15) tutti i software in uso (inclusi i firmware) devono essere aggiornati all’ultima versione consigliata dal produttore.

Gli hacker sfruttano la vulnerabilità nei sistemi informativi, come WannaCry che ha sfruttato una vulnerabilità di vecchie versioni di Windows che Microsoft ha corretto lo scorso marzo, attaccando così computer che non sono stati aggiornati da mesi.

Per risolvere queste problematiche una piccola e media impresa dovrebbe investire in un pacchetto di difese informatiche, investimento certamente inferiore rispetto ai costi derivanti da danni generati da eventuali attacchi.

Per implementare i 15 controlli essenziali proposti, è stata fatta una stima dei costi: una piccola azienda (ad es. una micro-impresa manifatturiera, dalle mansioni al personale – 10 persone in tutto – ai dispositivi IT) potrebbe avere un costo iniziale di 2.700 euro e costi annui per 7.800 euro, mentre una media impresa (ad es. una media impresa di trasporti con 10 dirigenti e 40 dipendenti) potrebbe spendere circa 4.650 euro di costi iniziali e 19.800 euro di costi annui. Cifre sensibilmente più basse rispetto al danno medio stimato a cui le aziende andrebbero incontro su un periodo di 5 anni: 175mila euro sia per le micro sia per le medie imprese. Nello specifico, i costi sulla media dei 5 anni sarebbero del 75% più bassi per le micro imprese, e del 41% per le medie rispetto al danno stimato.

Affidarsi dunque alla competenza ed esperienza di aziende come la DSC, in grado di gestire questa tipologia di problematiche è fondamentale e indispensabile per la sopravvivenza dell’azienda stessa.

 

La sicurezza dei dispositivi mobili: ancora pochi investimenti da parte delle aziende

Un’indagine di Dimensional Research sponsorizzata da Check Point The Growing Threat of Mobile Device Security Breaches rivela che quasi due terzi (64%) degli intervistati (410 responsabili di sicurezza intervistati) ha dichiarato di dubitare che la propria azienda sia in grado di prevenire un attacco mobile. Il 20% degli intervistati ha invece dichiarato che la propria azienda ha già subito una violazione della sicurezza tramite i dispositivi mobili, un altro 24% non ha saputo dire se i dispositivi dei propri dipendenti fossero stati violati. Il motivo risale nella mancanza di risorse per trovare una soluzione e garantire così la sicurezza dei dispositivi mobili.

L’indagine rivela che il 94% dei professionisti di sicurezza informatica si aspettano che, nel corso del prossimo anno, la frequenza degli attacchi da mobile aumenterà. Inoltre, solo il 38% degli intervistati ha dichiarato che la propria azienda utilizza una soluzione di mobile security diversa dalle soluzioni di Enterprise Mobility Management per proteggersi dagli attacchi.

I principali risultati dell’indagine rivelano:

  • il malware è il tipo di attacco mobile più comune: il 58% degli intervistati ha registrato attacchi di malware contro i dispositivi mobile della propria azienda, il 54% exploit di phishing SMS e un altro 54% attacchi di rete WiFi o exploit man-in-the-middle. Il 41% ha inoltre registrato il furto delle credenziali e keylogging exploit contro i cellulari.
  • Le violazioni mobile sono costose: il 37% degli intervistati ha dichiarato che il costo di una violazione da mobile per la loro azienda sarebbe superiore ai 100.000 dollari, mentre il 23% ha dichiarato che costerebbe più di 500.000 dollari. Questi costi sono simili a quelli stimati per una violazione da PC desktop o laptop, evidenziando la quantità di dati sensibili memorizzata sui dispositivi mobile e la facilità di accesso che offrono alle risorse aziendali.
  • La mancanza di risorse: oltre il 60% degli intervistati ha citato la mancanza di risorse come motivo principale per non aver implementato una soluzione di sicurezza per i dispositivi mobile. Tuttavia, il 62% delle aziende sta allocando maggiori risorse per le iniziative di sicurezza mobile rispetto agli anni precedenti.

David Gehringer di Dimensional Research e autore della relazione, ha dichiarato: “E’ chiaro che i professionisti della sicurezza stiano faticando nel proteggere il crescente numero di dispositivi mobile in loro dotazione. Tuttavia, è incoraggiante notare come il 62% delle aziende stia allocando maggiori risorse alle iniziative di sicurezza mobile rispetto agli anni precedenti: è una questione che deve essere affrontata con urgenza, dato il forte aumento di attacchi mobile che ci si aspetta nel corso del prossimo anno”.

Michael Shaulov, ‎Head Of Products, Mobile and Cloud Security di Check Point ha aggiunto: “Dal momento che l’uso dei dispositivi mobile è sempre più diffuso nelle aziende di oggi, queste devono proteggerli tutti -sia quelli di proprietà sia quelli BYOD- con una soluzione olistica che blocca i malware e gli attacchi di rete, e che previene la perdita di dati e il furto di credenziali, senza influire sull’esperienza dell’utente”.

Qual è lo stato del Cloud Computing?

Una ricerca di ServiceNow realizzata coinvolgendo più di 1.800 responsabili IT (IT, gestione delle linee di business e DevOps) di sette paesi, ha evidenziato tre macrotrend:

  1. Il 52% degli intervistati afferma di voler scegliere il cloud in modalità Software as a Service oppure Platform as a Service per le nuove applicazioni di business
  2. Il 94% afferma invece di essere stato coinvolto in progetti DevOps e che proprio lo sviluppo del DevOps sarebbe per il 74% degli intervistati un facilitatore per il cloud-first
  3. L’88% pensa che il cloud possa essere un’alternativa al tradizionale IT departement, anche se l’83% delle aziende che ha adottato un modello cloud-first ha dichiarato la mancanza di competenze nelle proprie risorse IT almeno in una fase iniziale.

La maggior parte degli intervistati ha poi dichiarato che due sono i fattori determinanti per lo switch al cloud: la visibilità dell’IT (64%) e i costi previsionali (63%).

Oggi è sempre più importante per le aziende sviluppare ed implementare una politica di cloud management, che diventa un fattore determinante per lo sviluppo del business.

DSC può essere un partner affidabile e competente nello sviluppo di soluzioni innovative per il cloud computing.