Tratto dallo speciale:

Sicurezza nelle PMI a misura di Budget IT

di Anna Fabi

Pubblicato 1 Ottobre 2013
Aggiornato 18 Ottobre 2013 10:00

Anche le realtà medio-piccole hanno diritto a una protezione IT di livello Enterprise, nonostante gli inevitabili limiti di budget e competenze: ecco i consigli pratici.

Quando si parla di Sicurezza IT, i numeri hanno un’importanza relativa. Anche le PMI possono essere prese di mira dai cybercrimnali, magari con l’obiettivo di estendere la loro rete di attacco. Una ricerca condotta nel 2013 in Gran Bretagna da parte del dipartimento governativo degli affari e dell’innovazione ha mostrato come le piccole aziende corrano oggi un rischio più elevato che non mai di perdere informazioni confidenziali a causa degli attacchi informatici. L’87% delle piccole aziende di tutti i settori ha dovuto registrare nel 2012 un problema di sicurezza, rispetto al 76% dell’anno precedente. Inoltre, il costo medio legato alla peggior falla di sicurezza per le organizzazioni di dimensioni più contenute si è attestato tra le 35.000 e le 65.000 sterline. Un gruppo di hacker può contare su centinaia o migliaia di componenti distribuiti su tutto il mondo, come è il caso di anonymous, o solo su una manciata di individui altamente motivati, come quelli che hanno lanciato con successo l’attacco Eurograbber contro le banche nel 2012 – in entrambi i casi, i disagi provocati alle organizzazioni prese di mira si sono rivelati particolarmente pesanti. Lo stesso vale per le realtà colpite dai criminali: solo il fatto di essere piccoli e poco conosciuti non mette un’azienda al riparo dagli attacchi.

Perché proprio a me?

Con le tendenze attuali che vedono attacchi sempre più mirati e focalizzati grazie ad attività di spear-phishing e di profilazione sui social media per ottenere accesso alle reti, i criminali si concentrano sulle organizzazioni dotate di asset che hanno un particolare valore specifico. Le PMI possono essere prese di mira come punto di partenza per sferrare un attacco verso un’azienda partner, nell’ottica di sfruttare gli eventuali punti deboli nella catena del valore. Una start-up tecnologica, ad esempio, potrebbe sviluppare proprietà intellettuali per un partner molto più grande, o una piccola agenzia di comunicazioni finanziarie potrebbe avere a disposizioni informazioni confidenziali legate ad un futuro deal per un’organizzazione della classifica FTSE100. È stato il caso di Global Payments Inc., azienda relativamente piccola di elaborazione di informazioni di carte di credito, una cui falla di sicurezza si è ripercossa nel 2012 su centinaia di migliaia di titolari di carte Visa e Mastercard. L’azienda manteneva asset di valore, che probabilmente sarebbe stato più difficile riuscire ad ottenere dalle organizzazioni più grandi, reale obiettivo dell’attacco. Chi attacca conta anche sul fatto che spesso le aziende più piccole dispongono di controlli meno accurati e di un numero inferiore di livelli di sicurezza. Certo, non sempre è così, ma in generale esiste una corrispondenza tra le dimensioni di un’azienda ed il tempo e le risorse che questa organizzazione può allocare alla sicurezza ed alla sua gestione. Le imprese tipicamente destinano il 6% della loro spesa complessiva in IT alla sicurezza – il che significa che le aziende con i budget più ridotti devono allocare la parte dedicata alla sicurezza del proprio budget nel modo più saggio possibile.

La lista della spesa della sicurezza

Quindi, su quali forme di sicurezza dovrebbero dirigere i loro investimenti le aziende? A livello di protezione, valgono per le PMI le stesse regole che guidano le organizzazioni di ogni dimensione: dovrebbero prima di tutto decidere quali tra i loro asset sono realmente critici per il business, poi definire delle policy ed adottare le soluzioni più adatte a proteggere questi asset ed a mitigare ogni forma di rischio legata a loro. Fino ad oggi, questo approccio avrebbe comportato da parte delle aziende più piccole un investimento esageratamente elevato in sicurezza. Ma due recenti sviluppi hanno messo le PMI in condizione di garantire ai loro asset una protezione di livello enterprise. Innanzitutto, il modello del Cloud Computing permette alle organizzazioni di implementare la sicurezza velocemente, di avere una gestione di questa sicurezza (con aggiornamenti sulle soluzioni e sulle minacce gestiti dal fornitore di sicurezza nel cloud), il tutto con un minimo investimento iniziale e con costi mensili ricorrenti e pianificabili. Cosa ancor più importante, in questo modo possono anche essere anche erogati servizi avanzati ed integrati – da antivirus e firewall fino al controllo delle applicazioni web e dei social media. Questo permette alle aziende di concentrarsi sul loro business e sulla relativa crescita, lasciando la protezione della rete ai professionisti. Sono numerosi i servizi di sicurezza cloud disponibili da parte dei leader riconosciuti del mercato, cosa che li rende un’opzione attraente per le aziende che intendono minimizzare la spesa capitale. Man mano che le minacce di sicurezza diventano più sofisticate e più frequenti, mantenersi al passo può diventare un problema anche per i team di sicurezza meglio organizzati, e la disponibilità di servizi cloud completamente gestiti può eliminare le preoccupazione legate alla gestione, soprattutto per le aziende più piccole. La seconda opzione è nasce dalla diminuzione drastica dei costi necessari per dotarsi di appliance di sicurezza on-premise, flessibili ed aggiornabili. Questo offre la possibilità di accedere a funzionalità di sicurezza complete ed integrate, prima riservate solamente alle organizzazioni di dimensioni più elevate (quali ad esempio virtual private networking, intrusion prevention, anti-spam, application control e URL filtering), a costi nell’ordine delle centinaia, e non più delle migliaia di dollari. Per molte aziende, questo permette di raggiungere molto più semplicemente una sicurezza avanzata, senza dover per forza investire quel 6% della spesa IT che abbiamo citato prima. => Leggi perché il cloud è il posto più sicuro per i dati aziendali

La formazione conta

Come detto in precedenza, le dimensioni di un’organizzazione non hanno un’influenza diretta sulla sua capacità di mantenere la sicurezza. Fattore che gioca un ruolo fondamentale in questo è la consapevolezza delle problematiche di sicurezza IT da parte dei dipendenti. Nel nostro 2013 Security Report, abbiamo scoperto che il 54% delle quasi 900 aziende interpellate ha ammesso di aver subito almeno un potenziale incidente di perdita di dati, come risultato dell’invio per errore di email a destinatari esterni o del non corretto posting di informazioni online. Abbiamo anche evidenziato come il 52% dei dipendenti corra il rischio di causare una falla di sicurezza adottando comportamenti errati o non accurati. Si tratta spesso di piccoli errori umani che i criminali cercando di sfruttare a loro vantaggio: spingere un ignaro dipendente a cliccare su un link di un email di phishing che lo porterà ad infettare il suo PC, oppure a caricare informazioni sensibili su un sito non verificato. Purtroppo, siamo tutti condizionati a fidarci di altri, e si tratta di un atteggiamento difficile da cambiare, perché i dipendenti cercano di rivelarsi utili e vogliono svolgere il loro lavoro con efficacia e cortesia. È qui che la formazione dei dipendenti può giocare un ruolo importante di stimolo alla sicurezza: rendere lo staff aziendale consapevole dei rischi e delle potenziali minacce di sicurezza, e di come il loro comportamento possa mitigare questi rischi evitando messaggi di phishing, siti web malevoli ed altro ancora. Ed è qui che le piccole aziende hanno un vantaggio a disposizione: hanno meno dipendenti da formare. Spesso, sono questi semplici accorgimenti a poter fare la differenza tra un incidente di sicurezza ed una situazione assolutamente sotto controllo. Sicurezza=>come proteggere i dati dai dipendenti

Articolo a cura di Rodolfo Falcone, Country Manager di Check Point per l’Italia, spiega come le PMI possono innalzare i loro livelli di sicurezza senza mettere a rischio il budget