La pandemia ha posto le PMI di fronte ad un imperativo: adottare nel minor tempo possibile, nuove misure di continuità operativa prestando la massima attenzione alla sicurezza. Spesso però, la rapidità del cambiamento ha evidenziato alcune pecche nella cyber security, ecco allora alcuni consigli che arrivano direttamente dall‘ENISA.
La situazione attuale ha spinto le piccole e medie imprese ad adottare misure di continuità aziendale come servizi in cloud, piattaforme di condivisione, lavoro da remoto. L’ENISA, ente chiave per la cyber sicurezza europea, ha stilato 12 punti che aiutano le PMI ad affrontare la cyber security, in uno scenario ormai completamente digitalizzato.
All’interno dei documenti prodotti, si trovano le linee guida dedicate a: sicurezza dei dati personali, una Cloud Security Guide, l’analisi degli standard in tema di sicurezza e privacy e, soprattutto, l’Handbook on Security of Personal Data Processing del 2018, indicato più volte dalle varie autorità di controllo come benchmark per la valutazione dei rischi e il loro fronteggiamento.
Ma perché proprio le PMI?
L’Ente parte da un’analisi della situazione originata dalla pandemia. Le PMI hanno dovuto adottare in tempi rapidissimi, misure di continuità aziendale come servizi cloud, aggiornamento dei loro servizi Internet e dei loro siti web, possibilità per il personale di lavorare da remoto. Ma proprio aumentando l’esposizione di informazioni e dati personali, che si incrementa il rischio di attacchi via email, phishing e malware.
La necessità di adottare nuove misure in tempi rapidi ha spesso portato le PMI a trascurare la sicurezza. Tuttavia, secondo l’ENISA, le piccole e medie imprese sono un obiettivo prediletto dai cyber criminali in quanto spesso forniscono servizi a organizzazioni più grandi. Queste entità diventano quindi un canale attraverso cui arrivare a realtà più grandi.
Il documento di ENISA si rivolge alle imprese e ai governi degli Stati membri dell’UE e contiene le misure che aiutano il comparto a proteggere le proprie strutture e quindi l’infrastruttura IT dei Paesi stessi.
Le sfide e le misure della sicurezza.
La maggiore sfida consiste innanzitutto nel far prendere consapevolezza sull’argomento. Essere a conoscenza delle minacce derivanti dalla scarsa sicurezza è il primo passo per un’inversione di rotta delle PMI.
È fondamentale poi definire i costi di attuazione delle misure di contrasto (spesso manca infatti, un budget dedicato), incentivare la disponibilità di specialisti di cyber security in grado di supportare questi soggetti, definire linee guida adeguate rivolte al settore delle PMI.
In concreto, l’ENISA suggerisce una serie di raccomandazioni per tutelare maggiormente la sicurezza delle PMI.
Raccomandazioni nei confronti delle persone:
- Responsabilità in materia identificate in modo chiaro e assegnate ad una precisa figura aziendale
- Impegno e leadership mostrati dal management nel sostenere la sicurezza
- Comunicazione efficace e formazione adeguata dei dipendenti in tema di sicurezza informatica e sui protocolli da rispettare
- Policy di sicurezza informatica
- Gestione delle terze parti (vaglio preliminare, verifiche ecc.)
Raccomandazioni di processo:
- Audit periodici
- Pianificazione e risposta agli incidenti di sicurezza
- Utilizzo di accessi centralizzati e corretta gestione delle password
- Patch e aggiornamenti software regolari e automatizzati
- Protezione dei dati personali, ai sensi della normativa in materia
Raccomandazioni tecniche:
- Sicurezza delle reti delle PMI (in particolare, tramite firewall)
- Installazione di antivirus su tutti i dispositivi ed endpoint
- Utilizzo di strumenti di protezione della posta elettronica e della navigazione web
- Crittografia applicata a più livelli possibili
- Monitoraggio della sicurezza e eventuale segnalazione di attività sospette
- Sicurezza fisica degli ambienti e dispositivi utilizzati
- Backup sicuri regolari, automatizzati e crittografati (Vi ricordate la regola del 3,2,1?! Ne parlavamo qui).
- Le iniziative di sicurezza richieste all’UE
Evidenziate le tematiche chiave della sicurezza, il documento annota poi le raccomandazioni indirizzate agli stati membri, finalizzate a supportare le PMI:
- Promuovere la cyber sicurezza in generale e sensibilizzare la collettività imprenditoriale;
- Fornire modelli e linee guida mirati
- Rafforzare l’approccio risk-based con modelli adatti alle PMI
- Rendere la sicurezza informatica accessibile, sia a livello di costi che di conoscenze
- Promuovere la creazione di ISAC, centri di condivisione e analisi delle informazioni
L’Italia ha un’occasione in più per cavalcare l’onda della digital transformation, supportata dai principali attori della nostra economia.
