Il Blog di Know How

Come supporto alle imprese italiane rispetto al tema della cyber sicurezza, le istituzioni hanno elaborato un documento, il framework nazionale, che dovrebbe fornire delle linee guida di comportamento e gestione. Ma è realmente efficace per tutte le imprese? Qual è la situazione per le PMI?

Di recente abbiamo parlato del framework nazionale per la cyber sicurezza, un documento di circa 100 pagine che analizza le problematiche delle aziende per quanto riguarda la loro esposizione agli attacchi informatici provenienti dall’esterno.

Il documento in questione si offre come un riferimento essenziale per tutte le imprese, a prescindere dalla dimensione, questo perché il problema della sicurezza richiede di essere gestito non solo a livello di singola attività ma è una questione che investe l’imprenditoria nazionale nel suo complesso.

La sicurezza del singolo come bene comune: cosa comporta?

Orami è un dato certo che eventuali falle all’interno di una singola azienda possono innescare una reazione a catena capace di investire l’intero comparto imprenditoriale nazionale.

Per questo motivo i governi, compreso quello italiano, si stanno muovendo per creare una rete di imprese che siano accomunate dal possedere le medesime conoscenze di base, da cui l’idea del framework nazionale.

La crescita esponenziale degli attacchi: è vero?

Per avere maggiore chiarezza di quanto sia importante il problema della syber sicurezza, è sufficiente fare riferimento a qualche dato statistico.

L’immagine di seguito ci dice che almeno il 30% delle imprese italiane hanno subito almeno un attaccato informatico. Dal 2011 al 2017 la crescita degli attacchi informatici è stata del 240%, mentre nel 2018, stando all’ultimo rapporto del CLUSIT sulla sicurezza ICT in Italia, la crescita è stata del 34% rispetto all’anno precedente, per un totale di circa 1552 attacchi gravi, a cui si dovrebbero sommare anche quello meno gravi.

La situazione particolare delle PMI?

La statistica ci dice che la situazione è tutt’altro che rosea. Lo è ancora di meno se valutiamo come i buoni propositi di un documento nazionale si scontrano irrimediabilmente con la reale situazione delle micro e piccole imprese nazionali.

A differenza delle società di media o grande dimensione, quelle più piccole si presentano fortemente destrutturate e la sicurezza dei propri dati è demandata all’iniziativa personale, spesso improvvisata e priva di una strategia di ampio respiro.

Ciò vuol dire, in altri termini, che per quanto completo e dettagliato nelle sue linee guida, il framework nazionale difficilmente riesce a raggiungere in maniera capillare quelle realtà imprenditoriali micro o piccole dove non sono presenti figure specifiche di riferimento che si occupano della sicurezza informatica, e dove le conoscenze pregresse di base non sono ancora ad un livello di sufficienza tale da consentire attività e ragionamenti di più ampia portata.

I controlli essenziali di cyber sicurezza

Per ovviare a questo problema, dal più ampio documento sono state individuate 15 regole di base, o sarebbe meglio dire indicazioni, da poter seguire per cercare di garantire alla propria azienda un approccio consapevole e in linea con le attività strategiche nazionali.

I 15 punti sono i seguenti:

1. Redigere e mantenere aggiornato un inventario di tutti i software, dispositivo connessi, applicazioni informatiche e quant’altro sia in utilizzo all’interno dell’azienda e che sia possibile oggetto di attacchi informatici;
2. Verificare che i servizi web offerti da società esterne siano quelli strettamente necessari, evitando ciò che è superfluo ma che comunque può rappresentare una falla nel sistema;
3. Individuare le criticità che possono compromettere la sicurezza dell’azienda e proteggerli in maniera adeguata;
4. Nominare un responsabile che assuma il compito di gestire e proteggere le informazioni dei sistemi informatici;
5. Identificare le leggi di stato o i regolamenti che hanno per oggetto il tema della privacy e della cyber sicurezza e verificare che siano rispettati;
6. Equipaggiare tutti i dispositivi connessi in rete con le versioni più recenti dei software di protezione, ad esempio antivirus;
7. Utilizzare per ogni account una password differente;
8. Ogni utente ammesso all’accesso dei sistemi informatici deve avere delle credenziali personali non condivise. Monitorare i vecchi account ed eliminare quelli non più in uso;
9. Diversificare le informazioni a cui ogni utente può accedere sulla base delle sue reali esigenze rispetto al ruolo ricoperto;
10. Svolgere adeguata formazione e sensibilizzazione sull’importanza della sicurezza per tutto il personale ammesso ad accedere ai dati dell’azienda;
11. Le prime configurazioni devono essere svolte da personale esperto e competente;
12. Eseguire periodicamente azioni di backup dei dati;
13. Equipaggiarsi di strumenti specifici per impedire gli accessi non autorizzati;
14. In caso di incidenti avvisare i responsabili della sicurezza e mettere in osservazione i sistemi;
15. Aggiornare tutti i software all’ultima versione disponibile.

Trovare la giusta soluzione

Le 15 indicazioni estrapolate dal framework nazionale non rappresentano LA soluzione ai problemi di cyber sicurezza ma di certo un buon modo per iniziare ad impostare un serio lavoro di tutela dei propri dati e di quelli dei propri clienti, soprattutto.

Per le micro e piccole imprese spesso il problema è legato non solo alla scarsità delle informazioni ma anche a questioni di budget, che perlopiù appare inesistente per questo genere di problemi. Da questo punto di vista potrebbe essere importante un intervento statale che dia sostegno a chi non può permettersi di gestire diversamente una questione che è di interesse pubblico.

Nell’attesa che qualcosa cambi, l’unico rimedio è quello di individuare una soluzione tampone capace di arginare i rischi.

Hai altro da chiedere?

Se desideri altre informazioni o un chiarimento sull'argomento di questo articolo, clicca su FAI LA TUA DOMANDA per inviare un tuo quesito. Non è richiesta alcuna registrazione. Riceverai la tua risposta, personalizzata, direttamente nella casella di posta.