La cybersecurity non è più un lusso riservato alle grandi corporation. Oggi, anche la più piccola azienda è esposta a rischi informatici che possono compromettere dati sensibili, interrompere le attività e danneggiare gravemente la reputazione.
La buona notizia? Non serve un budget milionario per proteggere efficacemente la propria impresa.
Il Center for Internet Security (CIS) ha definito una serie di controlli fondamentali che ogni PMI può implementare con risorse limitate ma con impatto significativo sulla propria postura di sicurezza. Queste 15 misure, concrete e realizzabili, rappresentano il punto di partenza ideale per qualsiasi strategia di protezione informatica.
Non si tratta di tecnologie complesse o investimenti proibitivi, ma di buone pratiche che, se applicate con costanza, possono fare la differenza tra un’azienda vulnerabile e una resiliente agli attacchi.
Se sei un imprenditore, un responsabile IT o semplicemente qualcuno che ha a cuore la sicurezza della propria organizzazione, questi controlli ti offriranno una roadmap chiara e attuabile.
Ecco le 15 misure che potrebbero salvare la tua azienda:
- Esiste ed è mantenuto aggiornato un inventario dei sistemi, dispositivi, software, servizi e applicazioni informatiche in uso entro il perimetro aziendale.
- I servizi web (social network, cloud, e-mail, spazio web, ecc. . . ) offerti da terze parti a cui si è registrati sono quelli strettamente necessari.
- Sono individuate le informazioni, i dati e i sistemi critici per l’azienda affinché siano adeguatamente protetti.
- È stato nominato un referente responsabile per il coordinamento delle attività di gestione e protezione delle informazioni e dei sistemi informatici.
- Sono identificate e rispettate le leggi e/o i regolamenti con rilevanza in tema di cybersecurity che risultino applicabili per l’azienda.
- Tutti i dispositivi che lo consentono sono dotati di software di protezione (antivirus, antimalware, ecc…) regolarmente aggiornato.
- Le password sono diverse per ogni account, della complessità adeguata e viene valutato l’utilizzo dei sistemi di autenticazione più sicuri offerti dal provider del servizio (es. autenticazione a due fattori).
- Il personale autorizzato all’accesso, remoto o locale, ai servizi informatici dispone di utenze personali non condivise con altri; l’accesso è opportunamente protetto; i vecchi account non più utilizzati sono disattivati.
- Ogni utente può accedere solo alle informazioni e ai sistemi di cui necessita e/o di sua competenza.
- Il personale è adeguatamente sensibilizzato e formato sui rischi di cybersecurity e sulle pratiche da adottare per l’impiego sicuro degli strumenti aziendali (es. riconoscere allegati e-mail, usare solo software autorizzato, ecc.). I vertici aziendali hanno cura di predisporre per tutto il personale la formazione necessaria a fornire almeno le nozioni basilari di sicurezza.
- La configurazione iniziale di tutti i sistemi e dispositivi è svolta da personale esperto, responsabile per la configurazione sicura degli stessi. Le credenziali di accesso di default sono sempre sostituite.
- Sono eseguiti periodicamente backup delle informazioni e dei dati critici per l’azienda (definiti al controllo 3). I backup sono conservati in modo sicuro e verificati periodicamente.
- Le reti e i sistemi sono protetti da accessi non autorizzati attraverso strumenti specifici (es: Firewall e altri dispositivi/software anti-intrusione).
- In caso di incidente (es. venga rilevato un attacco o un malware) vengono informati i responsabili della sicurezza e i sistemi vengono messi in sicurezza da personale esperto.
- Tutti i software in uso (inclusi i firmware) sono aggiornati all’ultima versione consigliata dal produttore. I dispositivi o i software obsoleti e non più aggiornabili sono dismessi.