ENISA: Guida sulla Sicurezza Informatica nelle Piccole e Medie Imprese
L’emergenza sanitaria da COVID-19 ha rivoluzionato il modo di lavorare di gran parte delle imprese europee e, soprattutto per le piccole e medie imprese, è stato complesso affrontare i rischi per la salute e la sicurezza dei propri lavoratori e garantire la continuità operativa, in un contesto che si è dovuto rapidamente adattare a situazioni di smart working, inusuali per il nostro territorio.
Fondamentale è stato garantire la sicurezza delle infrastrutture informatiche, nonché la disponibilità dei dati e delle informazioni necessarie per proseguire la propria attività, ricercando soluzioni che proteggessero dal crescente rischio di violazione dei dati e dei sistemi informativi, soprattutto in presenza del moltiplicarsi di attacchi di phishing e ransomware, resi più frequenti dalla confusione e dall’incertezza generati dalla pandemia.
È proprio in tale contesto che l’ENISA – l’Agenzia Europea per la Cyber Security – ha ritenuto opportuno pubblicare una serie di consigli per mettere al sicuro il business delle piccole e medie imprese che, per loro natura, si sono trovate esposte ai maggiori rischi.
Tra i consigli offerti grande importanza è ricoperta dalla necessità di sviluppare una vera e propria cultura della cybersecurity, sensibilizzando tutto il personale alla tematica, tramite interventi di formazione che prevedano e propongano situazioni concrete che possono verificarsi quotidianamente, affiancata ad una più specifica per quanti ricoprono il ruolo di IT Manager. La cultura della sicurezza informatica passa anche dalla creazione di procedure e policies ad hoc, condivise e supportate dai vertici aziendali, che spesso sottovalutano la tematica, senza dimenticare la ricerca di soluzioni software, SaaS e hardware adatte alla propria realtà aziendale.
È proprio la predisposizione di regole precise e chiare per tutto il personale a svolgere il ruolo di primaria difesa delle informazioni, del know-how e dei dati personali trattati dall’azienda. È necessario, quindi, fissare norme di comportamento per l’utilizzo dei sistemi informativi aziendali, prevedendo inoltre conseguenze per chi le contravviene e sottoponendo le stesse a periodiche revisioni, in aggiunta alla verifica e valutazione di tutti quei soggetti esterni alla propria organizzazione e che svolgono servizi per la stessa, che devono garantire, anche contrattualmente, standard di sicurezza adeguati alla propria attività.
Tra le previsioni più scontate, ma allo stesso tempo più sottovalutate, è sicuramente quella di scegliere password con una reale complessità, ricorrendo ad esempio a passphrase, combinazioni di più parole di uso comune al fine di creare una frase di facile memorizzazione e di alta sicurezza, ma, laddove ciò non sia possibile, ricordando di seguire quelle buone pratiche ormai note, quali l’uso di maiuscole, numeri e caratteri speciali, evitare di utilizzare informazioni personali facilmente reperibili e ricordando di modificare frequentemente la password scelta.
Se da una parte è importante avere procedure per garantire che un evento di sicurezza non si verifichi, altrettanto importante è avere un piano per reagire laddove l’evento si sia verificato, identificando ruoli e processi necessari a rispondere rapidamente e con efficacia, in modo da evitare ulteriori e più gravi conseguenze, tenendo presente che un incidente di sicurezza potrebbe avere effetti sui dati personali trattati comportando, di conseguenza, la necessaria valutazione degli aspetti connessi alla protezione dei dati come previsto dal GDPR.
Al pari della necessità di lavorare e investire sulla formazione dei propri dipendenti, l’ENISA sottolinea come sia indispensabile mettere al sicuro gli strumenti dagli stessi utilizzati, senza escludere gli asset personali, che soprattutto in situazioni di smart working sono stati spesso la soluzione per proseguire l’attività lavorativa. È proprio in tali occasione che può essere opportuno ricorrere da una parte a sistemi MDM (mobile device management), al fine di garantire un generale controllo, dall’altra mettere in sicurezza la rete attraverso firewall e gestendo in maniera puntuale tutti gli accessi da remoto.
La sicurezza delle informazioni passa sicuramente dalla necessità di garantire il luogo in cui queste sono archiviate e se da un lato il ricorso a soluzioni cloud ha subito una grande espansione nell’ultimo periodo, pur dovendo tenere sempre in considerazione il luogo in cui i dati sono archiviati nel rispetto del GDPR, dall’altro è necessario tutelare la propria azienda ricorrendo a salvataggi periodici, regolari e sicuri di tutte le informazioni, testando i backup e i relativi supporti.
L’ENISA da ultimo sottolinea come il miglior modo di combattere contro il cybercrime sia quello di parlarne, condividendo esperienze, tool e informazioni.
Il testo completo della guida dell’ENISA è consultabile al seguente Link: https://www.enisa.europa.eu/publications/cybersecurity-guide-for-smes
Dott. Michele Pratesi
Comments are closed.