Introduzione alla sicurezza informatica

Immagine di un elefantino gentilmente spinto in acqua

Oggi la domanda da porsi non è più se la sicurezza informatica serve, ma quanta ne serve.

In passato le conseguenze di un incidente informatico erano minime: la spesa per il tecnico, un piccolo ritardo nella consegna o la perdita di informazioni di cui esistevano copie cartacee. Purtroppo non è più così. Oggi l'informatica è essenziale per qualsiasi lavoro. Una perdita di dati, il blocco delle comunicazioni ed attività informatiche non autorizzate possono causare danni economici e di immagine molto gravi, fino alla chiusura dell'attività.

Chi ha interesse ad attaccarmi?

Tutte le PMI sono costantemente attaccate da pericolosi criminali. Grazie ad Internet i criminali si organizzano fra loro, agiscono da lontano e si nascondono. Quel che è peggio, possono lanciare attacchi molto costosi e sofisticati verso molte vittime contemporaneamente, ripagandosi di grossi investimenti con tanti piccoli guadagni. Attacchi costosi e sofisticati vanno quindi a colpire PMI che non possono spendere altrettanto per difendersi.

I canali attualmente più utilizzati per gli attacchi sono:

  • Phishing (anche tramite voce, SMS e reti sociali)
  • Chiavette USB e altri strumenti di condivisione dei file
  • Servizi di accesso remoto (es. VPN e desktop remoto per telelavoro)
  • Compromissione di account sul cloud (es. posta, iCloud, Office 365)
  • Servizi direttamente esposti su Internet (es. siti web)
  • Partner (es. supporto IT, fornitori di software)

Né troppa né troppo poca

La sicurezza non è l'obiettivo principale delle PMI. Se da un lato essa riduce la probabilità e i danni degli incidenti, dall'altro richiede tempo e denaro. La sicurezza va quindi gestita come un investimento, come si fa con l'assicurazione. La differenza fra le due è che l'assicurazione si paga per essere rimborsati dopo che i danni accadono, mentre la sicurezza si paga per evitare o limitare i danni prima che accadano. Naturalmente sia l'assicurazione sia la sicurezza sono convenienti solo se nel tempo costano meno degli incidenti stessi, o se mettono al riparo da incidenti non tollerabili.

Dall'alto in basso

Prima di essere un'esigenza tecnica,  la sicurezza è un'esigenza aziendale che va compresa e supportata dalla direzione. Troppo spesso la sicurezza informatica viene interamente delegata ai soli tecnici con conseguenze nefaste: istruiscono direttamente il resto del personale che poi collabora di malavoglia; non chiedono risorse adeguate  correndo gravi rischi; difendono i beni aziendali secondo la loro limitata concezione di importanza, rischiando di trascurare problemi di sicurezza critici per l'azienda. Le decisioni importanti, comprese quelle relative al budget, dovrebbero essere prese dalla direzione, mentre il ruolo dei tecnici dovrebbe essere suprattutto quello di esecutori ed educatori.

Posso difendermi da solo?

Purtroppo c'è una ragione ben precisa per cui in questo campo nessuna PMI può difendersi da sola. Tutti conosciamo la sicurezza delle cose: fin da bambini ci viene naturale prevenire furti, incendi e ferite senza che qualcuno ce lo spieghi. Non vale lo stesso per i rischi informatici. L'informatica è entrata nella nostra vita da poco tempo ed è continua e rapida evoluzione, così rapida che a malapena i professionisti del settore riescono a stare al passo. Anche le PMI quindi farebbero bene ad affidarsi (almeno in piccola parte) a dei professionisti.

Chi mi può aiutare?

A differenza di grandi imprese e pubblica amministrazione, la maggior parte delle PMI non possono permettersi né hanno bisogno di personale di sicurezza a tempo pieno. Le PMI devono però fare come minimo queste cose:

  1. Adottare alcune difese informatiche di base
  2. Assicurarsi che il personale sia consapevole dei propri rischi informatici
  3. Individuare una figura interna di riferimento per la sicurezza informatica
  4. Fare un piano di sicurezza (anche se breve e informale)
  5. Capire quando hanno bisogno di aiuto (per esempio durante gli incidenti o per la valutazione di rischi particolari).

Eventuali collaboratori esterni dovrebbero essere competenti ma anche sobri. In caso contrario, da un lato si rischia di non essere sufficientemente protetti, dall'altro di sprecare tempo e denaro in difese inutili che danno un falso senso di sicurezza.

La legge

Diverse leggi e regolamenti industriali obbligano le PMI a mantenere un livello adeguato di sicurezza informatica, pena il sanzionamento. Secondo il regolamento europeo "GDPR" tutte le PMI sono obbligate a trattare i dati personali di clienti e dipendenti secondo regole ben precise. Esistono anche leggi e regolamenti per i fornitori di servizi agli enti pubblici, le infrastrutture critiche, le strutture sanitarie, gli istituti finanziari e così via.

Agli organismi di controllo spesso basta che la legge sia rispettata nella forma. Ciò nonostante conviene sempre fare quel piccolo sforzo in più che consente di massimizzare gli investimenti necessari ad ottenere il pezzo di carta, ottenendo anche i relativi vantaggi pratici di riduzione del rischio.