Quando si parla dei rischi legati alla sicurezza cyber, si pensa soprattutto alle organizzazioni di grandi dimensioni. Se queste realtà sono apparentemente più appetibili agli occhi dei criminali informatici per le loro risorse economiche e le grandi quantità di dati che gestiscono, le aziende di dimensioni più contenute non possono certo illudersi di godere di una qualche forma di immunità. Al contrario, proprio per le loro risorse tendenzialmente più limitate, sia a livello economico che di competenze, possono rappresentare un bersaglio più facile da colpire rispetto a realtà più articolate, che spesso dispongono di sistemi di difesa più avanzati.
A complicare ulteriormente il quadro, c’è una generale mancanza di consapevolezza da parte delle PMI italiane quando si parla di sicurezza cyber, come è emerso in maniera preoccupante dal primo Cyber Index Pmi 2023, promosso da Confindustria e Generali con il contributo scientifico degli Osservatori digital Innovation del Politecnico di Milano e la partnership istituzionale dell’Agenzia per la cybersicurezza nazionale (Acn). Se il 45% delle PMI intervistate riconosce il rischio cyber, solo il 14% ha un approccio strategico in materia e la capacità di valutare il rischio cyber e di mitigarlo.
La situazione peraltro è tutto meno che tranquilla: se si considera il periodo dal 2018 al primo semestre del 2023, gli attacchi informatici sono aumentati del 61,5% a livello globale, mentre in Italia la crescita totale è addirittura del 300%, secondo dati Clusit.
Certamente, le piccole aziende spesso affrontano sfide uniche in termini di sicurezza informatica. Ecco una lista dei dieci errori comuni che le aziende di piccole dimensioni tendono a compiere in ambito di cybersecurity:
- Considerarsi al riparo delle minacce cyber: Ogni azienda è un potenziale bersaglio per i criminali informatici, per le risorse di cui dispone e per i dati che tratta. Anzi, superare le difese di una piccola realtà è decisamente meno impegnativo per i malintenzionati, che possono ottenere risultati significativi con minore fatica.
- Non considerare la sicurezza cyber come un elemento strategico: Ancora oggi, la sicurezza cyber è spesso delegata in toto a chi in azienda si occupa di tecnologia. Se la sua componente tecnica è innegabile, l’impatto della sicurezza cyber è decisamente pervasivo e riguarda l’intera struttura aziendale con i suoi processi.
- Non disporre di competenze specifiche: Le piccole aziende spesso non dispongono internamente delle competenze necessarie ad affrontare un panorama di minacce cyber in continua evoluzione. Non creare una struttura interna di livello adeguato o non affidarsi a provider esterni competenti può rappresentare un fattore di rischio
- Non investire in modo sufficiente su consapevolezza e formazione: La gran parte degli attacchi di successo passa ormai per i singoli dipendenti, chiamati a compiere azioni imprudenti o contro le policy aziendali. Trascurare la formazione dei dipendenti sulla sicurezza informatica aumenta il rischio di cadere vittima di attacchi di phishing o altre minacce.
- Utilizzare sistemi software non aggiornati: Il mancato aggiornamento di software, sistemi operativi e applicazioni mette a rischio la sicurezza, poiché le vulnerabilità non corrette possono essere sfruttate dagli attaccanti a loro vantaggio. Sistematizzare la distribuzione di patch e aggiornamenti è un aspetto critico per ogni realtà.
- Non definire adeguate politiche di sicurezza: L’uso di password deboli e la mancanza di politiche di security rigide sono problemi comuni, che mettono a rischio la sicurezza aziendale. Anche le piccole aziende dovrebbero promuovere l’adozione di password robuste e implementare politiche chiare e condivise.
- Mancanza di backup regolari: Non effettuare backup regolari dei dati critici rende le aziende vulnerabili agli attacchi ransomware, che possono causare la perdita irreversibile di dati. Un piano di backup efficace è fondamentale per raggiungere una reale resilienza informatica, ovvero la capacità di reagire e ripartire in breve tempo anche dopo aver subito un attacco.
- Gestire gli accessi in modo non sistematico: Non gestire adeguatamente gli accessi degli utenti può portare a violazioni della sicurezza. Una gestione centralizzata ed estesa può consentire di revocare immediatamente gli accessi non necessari quando un dipendente lascia l’azienda o cambia ruolo.
- Sottostimare l’impatto della sicurezza fisica: Le piccole aziende spesso trascurano la sicurezza fisica degli ambienti in cui sono presenti server e attrezzature informatiche, esponendosi a rischi di accesso non autorizzato. Affidarsi a un provider in grado di offrire sicurezza sia fisica che cyber può consentire di ridurre sensibilmente questa voce di rischio.
- Sottovalutare le attività di monitoraggio e rilevamento: Anche disponendo delle più avanzate soluzioni di difesa non ci si può dimenticare di implementare sistemi di monitoraggio e rilevamento degli incidenti, costantemente attivi e in grado di intervenire per bloccare le minacce e limitare i danni.
Affrontare in modo sistematico questi punti, cercando di evitare gli errori citati, può aiutare le piccole aziende a migliorare la propria postura di sicurezza informatica, riducendo i rischi di violazioni e proteggendo dati e sistemi.
Nella gran parte dei casi, le aziende non saranno in grado di rispondere in modo adeguato ed economicamente sostenibile a tutti questi aspetti, semplicemente perché la sicurezza cyber non è il loro core business. In questo caso, può rivelarsi vincente la possibilità di rivolgersi a un partner specializzato, con il doppio vantaggio di poter accedere regolarmente alle più avanzate competenze, tecnologiche e metodologiche, e di potersi concentrare con maggiore tranquillità sulle proprie attività di riferimento, puntando su innovazione e competitività.
Marco Bavazzano, CEO di Axitea,
