Dieci regole per assicurare la sicurezza informatica della propria PMI

Gli attacchi informatici ai software sono sempre più variati. Come proteggersene? Dieci consigli pratici.

Un uomo indica una spunta con la punta di una penna, intendendo che è tutto ok.

Scelta delle password, sicurezza dei luoghi fisici, aggiornamento dei sistemi, protezione dei dati sensibili… I comportamenti da seguire per proteggersi dai tentativi di attacco del proprio parco informatico sono cruciali. Ecco qualche consiglio da seguire per evitare brutte sorprese. 

Sensibilizzare il personale 

Per Alexandre Karlov, professore di sicurezza all’Alta scuola d’ingegneria e di gestione del canton Vaud (HEIG-VD), la sensibilizzazione del personale nei confronti dei cyber-rischi può svolgersi tramite brevi formazioni online a grazie a dei workshop. È inoltre utile verificare regolarmente se gli impiegati restano vigili. Si può per esempio simulare un attacco inviando delle e-mail con dei link maligni per constatare quante persone cadono nella trappola. 

Aggiornare i sistemi 

È buona regola assicurarsi frequentemente che i sistemi – a livello di postazioni, di server e di applicazioni – beneficino dei più recenti aggiornamenti. Limitare la consultazione di determinati siti in funzione delle attività dell’impresa può inoltre essere giudizioso. 

Sviluppare un sistema di monitoring e criptare i dati sensibili 

In funzione della dimensione e del budget dell’impresa, Alexandre Karlov consiglia di sviluppare un sistema di monitoring della rete in modo da individuare gli attacchi e i tentativi di sottrazione dei dati. La società può anche rivolgersi a un SOC (Security Operation Center) esterno. L’esperto raccomanda inoltre di criptare i dati sensibili sui server e i client (dati finanziari, HR, ecc.). 

Scegliere delle password forti 

Una buona password deve essere lunga e complicata, per esempio 10 caratteri con al minimo una minuscola, una maiuscola, una cifra e un carattere speciale. Inoltre la password non deve essere basata su di un nome (nome comune, nome di persona, cognome, luogo) perché potrà essere trovata con l’aiuto di un attacco con dizionario. Si raccomanda di scegliere delle ″frasi password″. Si tratta di accodare diverse parole senza rapporto con il conto protetto. Può trattarsi per esempio di ″mucca, chitarra, imposta, sentire″ o ″fiore, speranza, graffiti, macchina″. 

Non riutilizzare le proprie password 

È importante non utilizzare la stessa password per diversi conti. Idealmente, ogni conto dovrebbe avere una password diversa e unica, che si tratti di messaggeria, e-banking, forum o siti di prenotazione. Inoltre, bisogna assicurarsi che le password predefinite siano aggiornate regolarmente sui router e sulle altre periferiche. Bisogna cambiare password a intervalli regolari per i servizi e sulle postazioni di lavoro che utilizzano gli impiegati. 

Non tralasciare la sicurezza fisica dei luoghi 

La sicurezza informatica di un’impresa passa anche attraverso la messa in sicurezza del materiale e dell’accesso ai locali. Alexandre Karlov raccomanda di stabilire una lista delle regole a cui attenersi, come ad esempio bloccare lo schermo quando si lascia la postazione o chiudere la porta a chiave quando non c’è nessuno nei locali. Bisogna anche assicurarsi che la rete WIFI sia protetta con un protocollo del tipo WPA. 

Mai interagire con il contenuto di una e-mail sospetta 

Nessun impiegato deve cliccare su link contenuti in e-mail non richieste (quali le spam) o sospette, né aprire file allegati. 

Effettuare dei test regolari 

Per Philippe Oechslin, titolare del corso di informatica e sistemi di comunicazione alla Scuola politecnica federale di Losanna (EPFL), qualche semplice misura può evitare grossi problemi di sicurezza informatica, così come una buona igiene dentale può evitare le carie. ″Una di queste misure consiste nel testare regolarmente la sicurezza del sistema, sostiene. Una verifica del buon funzionamento dei salvataggi permette per esempio di evitare una brutta sorpresa il giorno in cui i dati dell’impresa sono decodificati da un ransomware. Inoltre le applicazioni sensibili, come per esempio quelle che consentono di fare dei pagamenti, possono essere messe alla prova grazie a un test di intrusione realizzato da pirati etici per rilevare eventuali falle″. 

Definire un processo di risposta 

Definire una risposta efficace agli incidenti di sicurezza informatica e nominare delle persone responsabili si rivela, inoltre, essere utile. Dai 5 ai 7 impiegati, conviene nominare un responsabile della sicurezza informatica, stabilendo una lista di responsabilità e di compiti da svolgere. 

Stabilire una politica di gestione dei rischi 

In funzione della dimensione e del budget della società, bisognerebbe cominciare a stabilire una politica  di gestione dei rischi di sicurezza informatica seguendo un quadro applicativo noto quale l’ISO 27001 o Octave. Infine, per le grandi imprese, conviene definire una politica di sicurezza presentando i diversi livelli di sensibilità di documenti e dati, così come la politica riguardo il loro trattamento.


Informazione

Sul tema

Le PMI svizzere sono sempre più esposte alla criminalità informatica 

Secondo un sondaggio della Scuola superiore di Lucerna (HSLU) del mese di novembre 2017, circa il 40% delle imprese elvetiche ha subito un attacco informatico, che si tratti di phishing o di azione di un maleware. Due terzi delle aziende che hanno partecipato allo studio autorizzano i propri impiegati a utilizzare i loro apparecchi privati per inviare o consultare la proprie e-mail professionali. Un terzo permette ai dipendenti di accedere all’insieme delle applicazioni informatiche dell’impresa dall’esterno. 

Link (solo in tedesco)

Ultima modifica 02.05.2018

Inizio pagina

https://www.kmu.admin.ch/content/kmu/it/home/attualita/tema-del-mese/2018/dieci-regole-per-assicurare-la-sicurezza-informatica-della-propria-pmi.html