Tratto dallo speciale:

Malware, anche le PMI sono sotto tiro

di Anna Fabi

7 Aprile 2014 14:39

L'importanza si una cultura della sicurezza informatica anche nelle PMI, dove è necessario innalzare i livelli di difesa e di consapevolezza.

Spesso si tende a considerare la sicurezza informatica un aspetto che riguarda solamente le organizzazioni di dimensioni più grandi perché sono quelle che gestiscono gli asset più significativi, in termini sia di denaro che di quantità di dati, ma anche perché sono quelle più visibili. Non sempre però questa percezione risponde alla realtà e le piccole aziende non sono per forza più sicure rispetto alle grandi. Un recente studio della National Cyber-Security Aliance ha mostrato come il 67% degli attacchi registrati nel corso del 2012 abbia in realtà riguardato realtà sotto i 100 dipendenti.

Livelli di difesa

Sono molti i motivi che possono spingere un hacker a dirottare le proprie attenzioni su realtà di dimensioni più contenute. Prima di tutto ci sono i livelli di difesa più bassi, che possono dipendere da una disponibilità di budget minore o da una carenza di skill specifici. La stessa ricerca ha evidenziato come il 90% delle PMI non disponga di un IT manager a tempo pieno e come il 70% non offra ai propri dipendenti un training specifico per la sicurezza su Internet. Si tratta di dati statunitensi, che però trovano una conferma puntuale anche a casa nostra. IDC ad esempio mette in luce come il 44% delle PMI italiane non abbia un referente interno od esterno in materia di security, e come il 73% delle stesse aziende dedichi al tema della sicurezza IT meno di un decimo del budget disponibile.

=> In Gazzetta il Piano di Governo sulla Sicurezza Informatica

Livelli di consapevolezza

E non è detto che la semplice adozione delle contromisure di base sia sufficiente, se non viene affiancata da una comprensione più approfondita dei temi di base. Un’altra ricerca, questa volta di Assintel e condotta sulle PMI lombarde, ha mostrato quanto sia spesso superficiale l’approccio adottato da queste realtà. Anche se il 99% delle aziende ha messo in campo le misure minime di sicurezza, solo il 58% le ha estese a tutte le macchine (server e client) presenti in azienda. Senza contare che solo il 39% delle aziende dichiara di aggiornare regolarmente sistemi operativi e programmi, e che in totale risulta protetto solo il 21% degli accessi wi-fi.

Tutti motivi oggettivi che rendono particolarmente appetibili le PMI agli hacker, che possono superare con una relativa facilità barriere spesso fragili e non per forza efficaci. Gli asset custoditi da una piccola azienda non avranno lo stesso valore rispetto a quelli delle grandi corporation, ma restano sicuramente di grande interesse per gli hacker, lanciati come sempre alla ricerca di dati personali ed informazioni sensibili, da usare nelle loro successive attività criminali (di phishing e non solo), quando non direttamente di valori economici.

In questo scenario, l’unico modo in cui le PMI si possono difendere in modo efficace è quello di alzare il proprio livello di consapevolezza, da un lato rispetto ai dati sensibili da difendere (quali sono, dove si trovano, quali sono le modalità d’accesso), dall’altro rispetto alla cultura della sicurezza in azienda, che in troppi casi deve essere elevata tramite un percorso di formazione, che deve riguardare sia i responsabili della security che i singoli utenti, chiamati a riconsiderare i propri comportamenti in un’ottica più ampia. Parallelamente, devono dotarsi di tecnologie adeguate, possibilmente gestite e di facile utilizzo, che però devono essere fatte rientrare in un piano di sicurezza più ampio.

=> Guida alla sicurezza dei dati in azienda

Oggi più che mai, la sicurezza aziendale non può più essere limitata a un insieme di tecnologie, avanzate quanto si voglia, ma deve discendere da un quadro d’insieme, nel quale la visione dei responsabili aziendali e la consapevolezza degli utenti giocano un ruolo almeno altrettanto importante. Indipendentemente da quanto grande sia la propria azienda e da quanto strategiche siano le informazioni che conserva.

____________________

* Articolo a cura di David Gubiani, Technical Manager, Check Point Software Technologies Italia