Esistono alcune semplici misure che gli imprenditori di piccole e medie imprese possono implementare, per limitare e mitigare la loro esposizione a un attacco informatico. Scopriamole insieme.
1. Stabilire una solida procedura di gestione delle password
Assicurarsi di avere in atto una procedura di gestione delle password che sia solida ed efficace, con un sistema di password complesse.
Una delle modalità più semplici e frequenti con cui i criminali informatici riescono ad accedere alle risorse aziendali è attraverso la compromissione degli account utente, una vera e propria "porta aperta" quando i dipendenti utilizzano password deboli. Ciò accade in particolar modo nelle piccole e medie imprese. Per rimediare a questa situazione, è necessario che le PMI stabiliscano una procedura scritta che regoli la gestione delle password, richiedendo che siano complesse (formate da una combinazione di lettere maiuscole e minuscole, numeri e caratteri speciali) e che vengano modificate frequentemente. È consigliabile utilizzare un software di gestione delle password, per assicurarsi di disporre sempre di password complesse e uniche.
Le password, affinché possano essere la base di solide pratiche in materia di sicurezza online, devono essere aggiornate periodicamente e gli account dei dipendenti che non lavorano più per l’azienda devono essere prontamente disattivati.
2. Formare i propri dipendenti sulla sicurezza informatica
Organizzare regolarmente corsi di formazione sulla sicurezza informatica per i dipendenti è un’ottima risorsa in materia di prevenzione e mitigazione del rischio Cyber.
Le PMI dovrebbero informare i propri dipendenti del ruolo che essi svolgono nella prevenzione degli attacchi informatici. È fin troppo facile per un malware entrare nel server aziendale quando laptop o altri dispositivi aziendali vengono utilizzati fuori sede, magari connessi a una rete pubblica, quando qualsiasi informazione condivisa online o tramite app mobile può essere letta da qualcun altro.
Il modo migliore per diffondere best practice e abitudini sicure all'interno dei team aziendali è organizzare sessioni regolari di formazione e di sensibilizzazione.
3. Nominare un responsabile della sicurezza informatica e creare un piano di risposta agli incidenti informatici
La sicurezza della rete e dei dati è un rischio a livello aziendale, che non può essere gestito solo dal reparto IT. La figura del responsabile della sicurezza informatica dovrebbe occuparsi della protezione dei dati e avere la responsabilità centralizzata della gestione degli stessi. Dovrebbe guidare e coordinare la risposta a un attacco informatico, coordinando i vari reparti coinvolti: legale, risk management, pubbliche relazioni/marketing, direzione generale. Questa persona dovrebbe essere un membro del team di risposta agli incidenti.
Un team dedicato ed esperto di risposta agli incidenti Cyber, composto da dipendenti e fornitori di servizi esterni, può lavorare più velocemente per risolvere alcune tipologie di incidenti informatici.
4. Installare e tenere aggiornati i software di sicurezza
Anche gli strumenti di sicurezza di base sono dotati di una tecnologia simile a quella utilizzata dalle grandi imprese.
Sistemi operativi e dispositivi obsoleti possono rappresentare un rischio, in quanto sono attaccabili da metodi di hacking più sofisticati e nuove versioni di malware. Le tecnologie di accesso da remoto possono risultare vulnerabili e sono molto spesso l'anello debole che i criminali informatici utilizzano per accedere alle informazioni protette. Bisogna quindi assicurarsi che tutti i software e le applicazioni aziendali siano aggiornati e rimediare a eventuali vulnerabilità identificate. Parallelamente, ogni azienda dovrebbe utilizzare una Virtual Private Network (VPN) protetta da Multi Factor Authentication (MFA), garantendo così un accesso sicuro ai sistemi aziendali quando i dipendenti lavorano da remoto. Dovrebbe inoltre limitare l'accesso alle informazioni sensibili solo al management o a coloro che ne hanno effettivamente bisogno per svolgere operazioni aziendali.
Inoltre, è importante che le PMI controllino chi ha accesso ai dispositivi aziendali, nonché alla rete stessa. Sebbene le PMI generalmente non dispongano di esperti di sicurezza dei dati all'interno della loro struttura, possono accedere comodamente e in pochi minuti a software che implementano le stesse soluzioni tecnologiche utilizzate dalle grandi imprese.
5. Sottoscrivere un'assicurazione Cyber
Oltre alle misure di cui sopra, le piccole e medie imprese possono proteggere meglio i propri beni e risorse stipulando un'assicurazione Cyber.
Il costo della polizza sarà quasi sempre di molto inferiore al costo dell’eventuale interruzione di attività a seguito di uno o più attacchi informatici. E le assicurazioni informatiche, come Chubb Cyber ERM, possono essere fornite in combinazione con alcuni dei servizi sopra menzionati, che aiutano la propria azienda a prepararsi e a rispondere rapidamente a incidenti informatici gravi.
Per approfondimenti sull’offerta assicurativa Cyber di Chubb, visita la pagina https://chubb.com/it/cyber.
Per maggiori informazioni
Andrea Nicelli
Cyber and Technology Underwriting Manager, Southern Europe
anicelli@chubb.com