Introduzione alla sicurezza informatica

L'importanza della sicurezzaImmagine di un elefantino gentilmente spinto in acqua

Oggi la domanda non è più se la sicurezza informatica serve, ma quanta ne serve. In passato le conseguenze di un incidente informatico erano minime: la spesa per il tecnico, un piccolo ritardo nella consegna o la perdita di informazioni poco importanti, di cui esistevano copie cartacee. Purtroppo non è più così. Oggi l'informatica è molto importante per qualsiasi lavoro. Una perdita di dati, il blocco delle comunicazioni o un'attività non autorizzata possono causare danni economici e di immagine molto gravi, compresa la chiusura dell'attività.

Chi ha interesse ad attaccarmi?

E' difficile da credere, ma tutte le PMI collegate ad Internet sono costantemente attaccate da pericolosi criminali. Grazie a Internet i criminali si organizzano fra loro, si collegano da lontano e si nascondono. Quel che è peggio, possono lanciare attacchi molto costosi e sofisticati verso molte vittime contemporaneamente, ripagandosi l'investimento con tanti piccoli guadagni. Attacchi costosi e sofisticati vanno a colpire anche le PMI che non possono spendere altrettanto per difendersi.

Né troppa né troppo poca

La sicurezza non è l'obiettivo principale delle PMI. Se da un lato riduce la probabilità e i danni degli incidenti, dall'altro richiede tempo e denaro. La sicurezza va quindi gestita come un investimento, come si fa con l'assicurazione. La differenza fra le due è che l'assicurazione si paga per essere rimborsati dopo che i danni accadono, mentre la sicurezza si paga per evitare o limitare i danni prima che accadano. Naturalmente sia l'assicurazione sia la sicurezza sono convenienti solo se nel tempo costano meno degli incidenti stessi.

Posso difendermi da solo?

Purtroppo c'è una ragione ben precisa per cui in questo campo nessuno si può difendere da solo. Tutti conosciamo la sicurezza delle cose. Fin da bambini preveniamo furti, incendi e ferite. Ci viene naturale senza che qualcuno ce lo spieghi. Non vale lo stesso per i rischi informatici. L'informatica è entrata nella nostra vita da poco ed è continua e rapida evoluzione, così rapida che a malapena i professionisti del settore riescono a stare al passo. Anche la PMI media deve quindi affidarsi (almeno in piccola parte) a dei professionisti.

Chi mi può aiutare?

A differenza di grandi imprese e pubblica amministrazione, la maggior parte delle PMI non possono permettersi né hanno bisogno di personale di sicurezza a tempo pieno. Le PMI devono però fare come minimo queste tre cose:

  1. Adottare alcune difese informatiche di base
  2. Fare un piano di sicurezza (anche se breve e informale)
  3. Capire quando hanno bisogno di aiuto (per esempio durante gli incidenti o per la valutazione di rischi particolari).

Eventuali collaboratori esterni dovrebbero esse capaci e di fiducia. In caso contrario, da un lato si rischia di non essere sufficientemente protetti, dall'altro di sprecare tempo e denaro in difese inutili o addirittura controproducenti.

Il piano di sicurezza

In alcune PMI la sicurezza è particolarmente importante, per esempio banche e cliniche. In altre ci sono requisiti di sicurezza particolari, per esempio fabbriche automatizzate e negozi online. Tutte queste PMI dovrebbero fare annualmente un esercizio chiamato piano di sicurezza. Il piano di sicurezza studia le caratteristiche proprie di una azienda per difendere quello che è più importante.

La legge

Diverse leggi obbligano le PMI a rispettare la sicurezza informatica, pena il sanzionamento. Per esempio secondo il regolamento europeo conosciuto come "GDPR" anche le PMI sono obbligate a trattare i dati personali trattati secondo regole ben precise. Esistono anche leggi specifiche per i fornitori di servizi agli enti pubblici, per le infrastrutture critiche, le strutture sanitarie, gli istituti finanziari e così via.