Sug­ge­ri­menti per le PMI

Soli­ta­mente le reti azien­dali sono più dif­fi­cili da pro­teg­gere dagli attacchi della cri­mi­na­lità infor­ma­tica rispetto a quelle pri­vate. Questo perché sono più com­plesse e l’impatto eco­no­mico di even­tuali avarie o mal­fun­zio­na­menti è mag­giore. Ciò rende indi­spen­sa­bile l’adozione di prov­ve­di­menti inat­tac­ca­bili per ridurre i rischi.

Punti prin­ci­pali:

  • Per valu­tare i rischi e adot­tare i giusti prov­ve­di­menti con­sul­tate le linee guida e i pro­me­moria pub­bli­cati da isti­tu­zioni affer­mate.
  • Iden­ti­fi­cate quali pro­cessi, sistemi e dati sono i più pre­ziosi per la vostra azienda e gesti­teli per primi.
  • Per aumen­tare la sicu­rezza dell’informazione nella rete azien­dale valu­tate misure sia tec­niche che orga­niz­za­tive
  • Defi­nite respon­sa­bi­lità, com­pe­tenze e inter­lo­cu­tori per le que­stioni rela­tive alla sicu­rezza.

Le reti azien­dali sono soli­ta­mente strut­ture com­plesse, spesso evo­lu­tesi in un lungo periodo di tempo, con nume­rose inter­facce e flussi di dati da e verso clienti e partner com­mer­ciali. Anche brevi inter­ru­zioni, se non com­plete avarie, dell’infrastruttura pro­du­cono non di rado gravi con­se­guenze eco­no­miche per l’impresa. Ciò fa sì che le PMI siano in gene­rale più esposte ai rischi che rap­pre­senta la cri­mi­na­lità infor­ma­tica rispetto ai pri­vati.

Per aumen­tare la resi­stenza delle PMI a tali peri­coli – la cosid­detta resi­lienza ITC – e ridurre al minimo i rischi con­nessi, occorre pre­ve­dere idonee misure di pro­te­zione. La com­ples­sità e la por­tata, tut­tavia, ne deter­mi­nano soli­ta­mente un ele­vato dispendio di denaro e risorse. Ne con­segue che un’attenta pon­de­ra­zione dei fat­tori in gioco riveste la mas­sima impor­tanza.

Avva­lersi di linee guida e pro­me­moria

Come deve affron­tare questo impor­tante com­pito una PMI? E come può avere la cer­tezza di non tra­scu­rare nulla?

Non poche isti­tu­zioni di chiara fama si sono poste questi inter­ro­ga­tivi e hanno stu­diato a fondo le moda­lità di attua­zione di misure di pro­te­zione ICT con spe­ci­fico rife­ri­mento alle PMI. Con il tempo si è così giunti alla pub­bli­ca­zione di tutta una serie di linee guida e pro­me­moria che pre­sen­tano pro­ce­dure tanto effi­cienti quanto effi­caci. Non si potrà mai con­si­gliare a suf­fi­cienza l’uso di tali stru­menti.

Come intro­du­zione all’argomento, si può citare il «Pro­me­moria sulla sicu­rezza delle infor­ma­zioni per le PMI» della MELANI. Si tratta di un pro­me­moria molto com­patto che si rivolge espli­ci­ta­mente alle PMI sviz­zere e si pro­pone di aiu­tarle a incre­men­tare la sicu­rezza dell’informazione nei loro sistemi e nelle loro reti azien­dali.

Iden­ti­fi­care pro­cessi, sistemi e dati

Dove e con cosa ini­ziare? Quali pro­cessi, sistemi o dati dovrebbe gestire per primi una PMI?

Alla base della risposta a questa domanda si trova un’analisi dei rischi (sem­pli­fi­cata). Si tratta di iden­ti­fi­care i pro­cessi, i sistemi e i dati di rile­vanza spe­ci­fica per la catena di crea­zione del valore dell’azienda e di valu­tarne la suscet­ti­bi­lità ai peri­coli ICT.

Adot­tare misure tec­niche

Le misure tec­niche di pro­te­zione rap­pre­sen­tano la prima linea di difesa contro i peri­coli della cri­mi­na­lità infor­ma­tica. L’elenco dei prov­ve­di­menti pos­si­bili è lungo. Ma quali sono le misure giuste?

La que­stione dipende in larga misura dalle minacce spe­ci­fiche che incom­bono sulla sin­gola PMI. Tut­tavia, alcune misure tec­niche si pos­sono con­si­de­rare gene­ral­mente valide e rien­trano quindi nella pro­te­zione di base di ogni PMI. Tra queste vi sono indub­bia­mente:

  • Ese­cu­zione rego­lare di copie di sicu­rezza dei dati (backup)
  • Instal­la­zione e gestione di un sistema anti­virus aggior­nato
  • Instal­la­zione di aggior­na­menti perio­dici della pro­te­zione

Adot­tare misure orga­niz­za­tive

Le misure tec­niche da sole non pos­sono garan­tire una pro­te­zione com­pleta. Vanno sempre inte­grate con misure orga­niz­za­tive.

Anche la lista delle misure orga­niz­za­tive è cospicua. In par­ti­co­lare, occorre sot­to­li­neare i punti seguenti:

  • Sen­si­bi­liz­za­zione e for­ma­zione rego­lare del per­so­nale
  • Defi­ni­zione di una poli­tica rigo­rosa in materia di pas­sword
  • Pro­cessi sicuri per le appli­ca­zioni cri­tiche (p. es. prin­cipio del con­trollo incro­ciato, a più livelli, per le appli­ca­zioni dell’e-banking)

Defi­nire respon­sa­bi­lità, com­pe­tenze e inter­lo­cu­tori

Chi è respon­sa­bile del backup dei dati? Chi è com­pe­tente per l’installazione degli aggior­na­menti della pro­te­zione? A chi si devono rivol­gere i dipen­denti che sospet­tano un’infezione da mal­ware, per esempio?

Per garan­tire il buon fun­zio­na­mento delle pro­ce­dure, è neces­sario non sol­tanto defi­nire ma anche far cono­scere al per­so­nale le respon­sa­bi­lità, le com­pe­tenze e gli inter­lo­cu­tori in materia di sicu­rezza ICT.

Con una piat­ta­forma infor­ma­tiva ade­guata si può pro­muo­vere un accesso a bassa soglia agli uffici giusti. Ciò per­mette di ridurre i tempi di risposta agli inci­denti e aumen­tare il tasso di segna­la­zione.

Le PMI sviz­zere sono sempre più spesso oggetto di attacchi da parte della cri­mi­na­lità infor­ma­tica, in alcuni casi con gravi con­se­guenze per l’impresa col­pita. Per questo è indi­spen­sa­bile adot­tare prov­ve­di­menti per ridurre i rischi.

Cos’altro vorreste sapere sulla sicurezza nell’e-banking?

Iscri­ve­tevi subito a un corso per saperne di più:

Corsi di for­ma­zione di base

Il corso di base pre­senta le minacce attuali poste da Internet e mostra come pro­teg­gersi con alcuni sem­plici prov­ve­di­menti.

mag­giori infor­ma­zioni

Corsi pra­tici

Eser­ci­ta­tevi ai nostri com­puter e sco­prite i prin­ci­pali prov­ve­di­menti per la vostra sicu­rezza infor­ma­tica e nell’e-banking.

mag­giori infor­ma­zioni

Send this to a friend