Vedere attraverso la giungla dei pericoli
Nella giungla dei pericoli digitali, non basta una torcia. La sicurezza informatica deve diventare una competenza aziendale fondamentale.
A causa del mondo informatico globale, sono soprattutto i termini tecnici inglesi a essere utilizzati quando si parla di sicurezza informatica e di fonti di pericolo: attacchi di phishing basati sull'intelligenza artificiale, credential stuffing, web scraping, skewing, DDoS e DNS scrubbing e così via. Solo a leggerli può venire il mal di testa, almeno se non si ha dimestichezza con il mondo virtuale dei dati e della comunicazione. E questo accade spesso nelle aziende più piccole. Questo perché non c'è né un responsabile della sicurezza né un responsabile IT; di solito questi servizi vengono affidati a esperti e agenzie esterne o si cerca di risolvere il problema nel modo più economico possibile. Entrambi gli approcci presentano anche degli svantaggi: Le agenzie esterne tengono per sé le proprie competenze, creando così dipendenza. Inoltre, "arrangiarsi" da soli nasconde i pericoli già citati, di cui si sa troppo poco e quindi non ci si può proteggere.
Fonti di pericolo
Per dare un'idea delle dimensioni, ecco un breve riassunto delle minacce citate: Il termine phishing (da "fishing") si riferisce ai tentativi di impersonare un partner di comunicazione affidabile attraverso e-mail o siti web falsi. L'obiettivo dei truffatori è quello di convincere gli utenti di Internet a collegarsi a falsi siti pubblicitari ed eventualmente a lasciare dati riservati come password o nomi di utenti.
Il Credential stuffing è un attacco informatico automatizzato e frequentemente ripetuto in cui gli hacker utilizzano bot (dall'inglese "robot") in un tentativo ampiamente automatizzato di accedere ai dati di base di un sito web. Ciò è in parte legale e auspicabile, in modo che i motori di ricerca possano identificare e pubblicare le informazioni richieste. Ma esistono anche metodi dannosi del processo noto come web scraping: i dati vengono utilizzati in modo improprio, falsificati o immessi nella darknet.
Anche gli attacchi di tipo "skewing", che significa "distorcere", rientrano in questa categoria. Gli aggressori cercano di distorcere le informazioni e le statistiche ottenute tramite i dati di analisi web, ad esempio quelli di Google Analytics. Non si tratta quindi di un furto di dati, ma del fatto che le aziende bersaglio sono indotte a prendere decisioni aziendali sbagliate a causa dei dati manipolati. Infine, DDoS: è l'acronimo di Distributed Denial of Service e descrive gli attacchi informatici che causano interruzioni di siti web mediante richieste artificiali e ripetitive. I cosiddetti servizi di scrubbing si oppongono a questo fenomeno, identificando questo tipo di traffico dannoso e impedendo che i sistemi vengano sovraccaricati. E questi non sono affatto tutti i pericoli. Come possono difendersi le piccole e medie imprese?
Torcia più grande
Il primo passo è guardare più da vicino e con maggiore attenzione, perché il furto o l'uso improprio di informazioni digitali interne all'azienda è diventato la frode più frequentemente denunciata, molto più intensa del furto fisico. Quindi, indipendentemente dal fatto che un'azienda abbia introdotto il cloud computing o che invii solo due o tre e-mail a settimana, la sicurezza informatica è diventata una competenza fondamentale anche per le aziende più piccole. Il compito principale di ogni manager responsabile è quindi quello di creare una cultura della sicurezza.
La fase 1 è già stata menzionata più volte in M&Q: a prescindere dalla generazione a cui si appartiene, è necessario familiarizzare con l'argomento e prenderne confidenza. Questo non significa che un manager debba capire o padroneggiare tutto, ma che abbia una visione d'insieme dell'argomento, delle influenze esterne e interne, delle opportunità e delle sfide e, se necessario, degli elementi legati al budget. Se nel team ci sono persone più giovani e più esperte di digitale che si occupano di determinati compiti, va benissimo. Ma il capo deve conoscere il quadro generale.
Cultura della sicurezza
La prima cosa da fare è mantenere il sistema pulito. Ciò richiede una regolare pulizia dei vecchi dati, l'uso del software di sicurezza più recente e l'installazione degli aggiornamenti software non appena disponibili. Il software antivirus dovrebbe essere impostato in modo da eseguire automaticamente una scansione dopo ogni aggiornamento. È inoltre necessario eseguire il backup di tutti i dati aziendali almeno una volta alla settimana e conservarli fuori sede. Tra i documenti più importanti vi sono i file del personale, i file finanziari, i conti attivi e passivi, nonché i documenti di elaborazione testi. Chi non lo fa, in definitiva, agisce con grave negligenza.
Con le conoscenze di base acquisite attraverso la familiarizzazione, un manager deve ora essere in grado di definire le pratiche e le linee guida di sicurezza di base per l'azienda e i suoi dipendenti. Queste includono diritti di accesso al sistema e ai dati chiaramente definiti, password sicure, linee guida sull'uso di Internet (anche durante il tempo libero trascorso in ufficio) e regole di comportamento relative ai dati aziendali e alle informazioni sui clienti.
Monitoraggio degli accessi
Abbastanza sottovalutato: anche i dispositivi mobili privati possono causare notevoli problemi di sicurezza, soprattutto se contengono informazioni riservate o possono accedere alla rete aziendale. I dipendenti dovrebbero proteggere questi dispositivi con una password, criptare i dati o installare applicazioni di sicurezza. Lo stesso vale per i computer portatili, che possono essere facilmente rubati o smarriti. Ogni dipendente dovrebbe avere un account utente separato e le relative password dovrebbero essere assegnate solo da personale informatico specializzato.
Anche la rete Wi-Fi interna dell'azienda può essere una potenziale fonte di problemi. Dovrebbe essere crittografata, accessibile solo con una password e impostata con un router in modo che il nome della rete (SSID, il cosiddetto service set identifier) non venga trasmesso.
In ogni caso, tutte le password sono potenziali aree di attacco: in primo luogo, devono essere create in modo complesso. Ciò significa che devono essere lunghe almeno otto caratteri e composte da quattro tipi diversi di caratteri (lettere maiuscole e minuscole, numeri e caratteri speciali). In secondo luogo, le password sensibili devono essere cambiate ogni tre mesi, comprese quelle dei dispositivi privati dei dipendenti. In terzo luogo, esiste l'opzione dell'autenticazione a più fattori per i dati sensibili, che richiede ulteriori informazioni oltre alla password. Alcune banche, ad esempio, offrono ai loro clienti servizi di questo tipo.
La sicurezza informatica è una competenza fondamentale, che può essere illuminata correttamente solo con una torcia potente.
Autore
Daniel Tschudy è pubblicista, oratore e consulente nel settore dell'ospitalità. È inoltre specializzato in altri temi legati alle nuove dimensioni della cooperazione globale.
