PMI: più sicurezza informatica grazie a sei misure
In termini di sicurezza informatica, le PMI hanno da recuperare. Le sei misure dell’associazione Swiss Cyber Defence DNA aiutano a muovere i primi passi. Queste fondamentali misure di sicurezza sono importanti anche per la stipula di un’assicurazione cyber.
Per le PMI, ma anche per le aziende più grandi, può essere difficile raggiungere un adeguato grado di sicurezza informatica, poiché spesso l’argomento risulta astratto o ostico. Nelle aziende, le risorse necessarie a questo scopo sono spesso molto limitate e i relativi costi in un primo momento non generano alcun valore aggiunto tangibile. Tuttavia, delle misure di sicurezza informatica fondamentali possono essere determinanti per la sopravvivenza di un’azienda altrimenti di successo. È quindi importante che ogni azienda raggiunga un certo grado di maturità cyber. Alcune di queste misure di sicurezza sono di norma un requisito per la stipula di un’assicurazione cyber.
Le seguenti linee guida, con le relative raccomandazioni su come agire, sono una sorta di best practice per le PMI per raggiungere un buon grado di sicurezza informatica. Non si tratta di requisiti minimi per l’assicurazione cyber, ma piuttosto di una lista di controllo che può essere discussa con i professionisti, siano essi assicuratori, agenti, intermediari o fornitori di servizi IT, e attuata in misura adeguata alle proprie esigenze.
Il catalogo di misure che segue, elaborato da Swiss Cyber Defense DNA, tiene conto in egual misura dei settori di responsabilità quali organizzazione e tecnologia della vostra PMI.
Misura n. 1 – Protezione dei dati aggiornata e non modificabile / backup in sola lettura
Misure organizzative:
- definire la persona responsabile dell’implementazione;
- definire la persona responsabile della revisione;
- determinare chi può accedere ai dati;
- garantire l’archiviazione esterna del backup;
- definire il periodo di conservazione dei dati di backup (osservare le normative legali);
- assicurarsi che nessuna terza parte abbia accesso ai propri dati;
- testare regolarmente il recupero dati (due volte all’anno).
Misure tecniche:
- stabilire un processo di backup automatizzato e di sola lettura;
- crittografare assolutamente il backup;
- scollegare il supporto di backup dalla rete e archiviarlo offline;
- affidarsi ad aziende specializzate con molti anni di esperienza;
- verificare quali programmi software possono essere utilizzati per recuperare i propri dati.
Misura n. 2 – Protezione globale e aggiornata dai software dannosi
Misure organizzative:
- designare una persona responsabile di garantire l'aggiornamento continuo dell'antivirus;
- definire nel programma di posta elettronica quali dati potenzialmente pericolosi verranno bloccati;
- sensibilizzare e formare i dipendenti;
- organizzare formazioni per la gestione di e-mail, pagine web, password.
Misure tecniche:
- installare una protezione da malware completa, universale e aggiornata per terminali, supporti rimovibili (chiavette USB, dischi rigidi esterni), server, NAS, servizi cloud, servizi di posta elettronica;
- limitare l'esecuzione delle macro;
- installare il filtro Internet;
- installare il filtro antispam;
- eseguire regolarmente una scansione completa del sistema.
Misura n. 3 – Protezione delle reti e degli accessi da remoto
Misure organizzative:
- definire una persona responsabile di aggiornare regolarmente tutti i dispositivi di rete;
- formare i dipendenti per l’accesso da remoto;
- formare i fornitori per l’accesso da remoto;
- definire le modalità per risolvere e proteggere l'accesso da remoto;
- controllare regolarmente i record del firewall.
Misure tecniche:
- installare il firewall di rete;
- installare il software firewall sul PC;
- aggiornare regolarmente i dispositivi di rete;
- dividere le reti in zone affinché gli ambiti aziendali importanti siano isolati l’uno dall’altro;
- proteggere l'accesso da remoto tramite l’autenticazione a 2 fattori (p. es. Codice SMS);
- effettuare l'accesso da remoto tramite VPN;
- disconnettere i WI-FI ospite dalla rete aziendale.
Misura n. 4 – Aggiornamento costante di hardware e software
Misure organizzative:
software (sistemi operativi e programmi)
- definire la persona responsabile di:
- gestire le licenze;
- verificare periodicamente le licenze;
- verificare periodicamente gli aggiornamenti;
- sostituire/aggiornare i programmi obsoleti in base alla valutazione del rischio;
- decidere se consentire i programmi privati;
- assicurarsi che anche i programmi privati siano aggiornati.
hardware (dispositivi)
- tenere l'inventario di tutti i dispositivi (p. es. PC, server, dispositivi di rete);
- sostituire i sistemi obsoleti in base alla valutazione del rischio;
- proteggere fisicamente i sistemi esistenti (p.es. accesso);
- decidere se consentire i dispositivi privati;
- verificare la sicurezza dei dispositivi privati prima dell’uso.
Misure tecniche:
- utilizzare solo i sistemi operativi e le applicazioni correnti;
- isolare i vecchi sistemi dalla rete;
- mantenere aggiornata la gestione dell’inventario per hardware e software
Misura n. 5 – Definizione del ruolo dei collaboratori
Misure organizzative:
- definire i diritti di accesso per ogni dipendente: decidere quale dipendente può accedere a quale cartella;
- verificare e delimitare anche i diritti di accesso della direzione;
- verificare gli accessi come amministratore (locale);
- modificare le password predefinite;
- definire i processi di entrata e uscita.
Misure tecniche:
- creare regole per le password per i dipendenti;
- collegare e limitare i ruoli definiti con i diritti di accesso.
Misura n. 6 – Definizione dei processi d’emergenza
Misure organizzative:
- definire l’organizzazione in caso di emergenza;
- definire la procedura in caso di emergenza;
- informare tutti i dipendenti;
- rivedere regolarmente ruoli e processi;
- testare il feedback dei dati.
Misure tecniche:
- utilizzare una tecnologia indipendente per poter accedere ai documenti anche in caso di emergenza (p. es. istruzioni per emergenze, cartella, cloud o soluzione mobile).
Ciascuna di queste misure riduce la vulnerabilità dell’azienda in caso di attacco: possono far sì che gli attacchi informatici vengano respinti o, almeno, risolti rapidamente. Il rischio residuo può poi essere coperto da un’assicurazione cyber, che offre fra l’altro supporto rapido e competente in merito alle misure preventive e in caso di incidenti. Copre inoltre eventuali danni all’infrastruttura e le spese dovute a interruzioni d’esercizio nonché le pretese di responsabilità da parte di terzi. L’assicurazione fornisce anche consulenza alle aziende assicurate sui loro standard di sicurezza e le supporta nella gestione di un attacco informatico.
Ulteriori spiegazioni relative alle misure: Home - SWISS CYBER DEFENCE DNA