Cybersecurity per PMI

ENISA te la spiega in modo chiaro!

Alberto Delaini - Delaini & Partners

Oggi come oggi non esiste azienda che non abbia il tema della sicurezza informatica in agenda. Rimane però il problema di come implementare efficacemente i sistemi di difesa.
L’ENISA, l’ente chiave per la Cybersecurity dell’Unione Europea, ha pubblicato alcuni documenti con i quali segnala alle PMI le misure di sicurezza necessarie per affrontare i Cyber Risk del giorno d’oggi.
All’interno dei documenti prodotti si trovano le linee guida dedicate a: la sicurezza dei dati personali, l’analisi degli standard in tema di sicurezza e privacy, una Cloud Security Guide e, soprattutto, l’Handbook on Security of Personal Data Processing del 2018, indicato più volte dalle varie autorità di controllo come benchmark per valutare ed affrontare i cyber risck.

L’ENISA, ha stilato una serie di punti di attenzione, che aiutano le PMI ad affrontare la cyber security, in uno scenario ormai completamente digitalizzato.

Ma perché le PMI?

A causa della pandemia, le PMI hanno dovuto adottare in tempi rapidissimi, misure di continuità aziendale come servizi cloud, aggiornamento dei loro servizi Internet e dei loro siti web, possibilità per il personale di lavorare da remoto. Ma proprio aumentando l’esposizione di informazioni e dati personali, che si incrementa il rischio di attacchi via email, phishing e malware.

La necessità di adottare nuove misure in tempi rapidi ha spesso portato le PMI a mettere in secondo piano la sicurezza. Tuttavia, secondo l’ENISA, le piccole e medie imprese sono un obiettivo prediletto dai cyber criminali in quanto spesso forniscono servizi a organizzazioni più grandi. Queste entità diventano quindi un canale attraverso cui arrivare a realtà più grandi.

A fronte di tale contesto, l’ENISA ha prodotto una ricerca sul campo, onde comprendere le principali esigenze e criticità delle PMI in questo periodo storico, per poi fornire una serie di punti di attenzione tarati sui risultati concreti.
I risultati della ricerca
Oltre l’85% delle aziende interpellate per la ricerca ha dichiarato che i problemi di sicurezza informatica subiti avrebbero un grave impatto negativo sulla loro attività, mentre il 57% ha dichiarato che molto probabilmente potrebbero arrivare alla chiusura in conseguenza a tali gravi incidenti.
Stante ciò, imperversa nelle PMI la falsa sicurezza che i controlli sulla sicurezza inclusi nei software e servizi IT che hanno acquistato saranno sufficienti e che non saranno necessari ulteriori controlli di sicurezza da parte loro, a meno che non siano imposti dalla normativa.
Mentre il 36% degli intervistati ha riferito di aver subito un incidente di security negli ultimi 5 anni, l’8% degli stessi intervistati ha dichiarato di aver subito un incidente di sicurezza informatica dall’inizio della crisi pandemica; il che indica un forte aumento degli incidenti durante il breve lasso di tempo dall’inizio della crisi.
In definitiva, la ricerca ha accertato che:
• la maggior parte delle PMI (più dell’80%) tratta informazioni “critiche” (ovvero la cui violazione può comportare gravi ripercussioni legali e lesioni ai diritti degli interessati), rendendo la sicurezza informatica una priorità;
• la maggior parte delle PMI utilizza alcuni controlli di sicurezza di base – come la protezione antivirus degli endpoint, i backup, i firewall ma spesso non vengono eseguiti aggiornamenti software sistematici; inoltre un numero inferiore e fin troppo basso di PMI esegue corsi di sensibilizzazione in materia di sicurezza e utilizza sistemi di logging e alerting;
• vi è un esteso utilizzo del cloud per vari servizi informativi e strumenti di accesso remoto di vario tipo, funzionalità e livelli di sicurezza; difatti il 25% ha dichiarato di aver utilizzato un qualche tipo di accesso remoto prima della pandemia, mentre durante la pandemia ha fatto esteso ricorso a servizi cloud che consentono almeno l’accesso e l’uso di e-mail, l’elaborazione di file e la comunicazione a distanza;
• phising, malware e attacchi web-based sono le cause più comuni di incidenti di sicurezza sperimentati dagli intervistati;
• criticità comuni a tutti sembrano essere la consapevolezza e l’impegno della gestione della sicurezza, a loro volta legati al budget, all’allocazione delle risorse e all’effettiva attuazione delle pratiche di sicurezza informatica.
Alla luce di quanto sopra, emergono per le PMI sono le seguenti criticità:
1. scarsa consapevolezza della sicurezza informatica tra il personale;
2. protezione inadeguata delle informazioni “critiche”;
3. mancanza di budget adeguati;
4. mancanza di specialisti o capacità adeguate in materia di cybersicurezza;
5. mancanza di adeguate linee guida in materia di cybersicurezza specifiche per le PMI; circa tale aspetto, la ricerca segnala che alcune linee guida in realtà esistono (come l’ISO/IEC 27001) ma sono ritenute troppo complesse e troppo vincolate dall’apporto di esperti esterni;
6. lo “shadow IT”, ovvero lo spostamento del lavoro in un ambiente ICT fuori dal controllo delle aziende, stante l’utilizzo di dispositivi e reti non aziendali per connettersi e utilizzare i dati aziendali;
7. scarso supporto della direzione aziendale.
Le sfide e le misure della sicurezza.
La maggiore sfida consiste innanzitutto nel far prendere consapevolezza sull’argomento. Essere a conoscenza delle minacce derivanti dalla scarsa sicurezza è il primo passo per un’inversione di rotta delle PMI.
È fondamentale poi definire i costi di attuazione delle misure di contrasto (spesso manca infatti, un budget dedicato), incentivare la disponibilità di specialisti di cyber security in grado di supportare questi soggetti, definire linee guida adeguate rivolte al settore delle PMI.

In concreto, l’ENISA suggerisce una serie di raccomandazioni per tutelare maggiormente la sicurezza delle PMI. Eccole di seguito:

Raccomandazioni nei confronti delle persone:
1. Responsabilità in materia identificate in modo chiaro e assegnate ad una precisa figura aziendale
2. Impegno e leadership mostrati dal management nel sostenere la sicurezza
3. “Buy-in” dei dipendenti, i quali devono ricevere comunicazione efficace e formazione adeguata in tema di sicurezza informatica e sui protocolli da rispettare
4. Consapevolezza e formazione dei dipendenti, quanto alle minacce e contromisure attuabili
5. Policy di sicurezza informatica
6. Gestione delle terze parti (vaglio preliminare, verifiche ecc.)

Raccomandazioni di processo:
1. Audit periodici
2. Pianificazione e risposta agli incidenti di sicurezza
3. Utilizzo di accessi centralizzati e corretta gestione delle password
4. Patch e aggiornamenti software regolari e automatizzati
5. Protezione dei dati personali, ai sensi della normativa in materia

Raccomandazioni tecniche:
1. Sicurezza delle reti delle PMI (in particolare, tramite firewall)
2. Installazione di antivirus su tutti i dispositivi ed endpoint
3. Utilizzo di strumenti di protezione della posta elettronica e della navigazione web
4. Crittografia applicata a più livelli possibili
5. Monitoraggio della sicurezza e eventuale segnalazione di attività sospette
6. Sicurezza fisica degli ambienti e dispositivi utilizzati
7. Backup sicuri regolari, automatizzati e crittografati (Vi ricordate la regola del 3,2,1 ?)

Le iniziative di sicurezza richieste all’UE

Evidenziate le tematiche chiave della sicurezza, il documento annota poi le raccomandazioni indirizzate agli stati membri, finalizzate a supportare le PMI:

a. promuovere la cyber sicurezza in generale, ad es. tramite campagne congiunte con le associazioni di imprese onde sensibilizzare la collettività imprenditoriale sul tema;
b. fornire linee guida e modelli mirati (qui a livello nazionale viene in mente il ruolo già svolto da AGID, oltre che dal Garante per la protezione dei dati personali);
c. stilare norme di cybersicurezza incentrate sulle PMI (idem come sopra);
d. rafforzare l’approccio risk-based con modelli adatti alle PMI (il documento menziona gli esempi di framework tedeschi e francesi in merito);
e. rendere la sicurezza informatica accessibile, sia a livello di costi (ad es. con finanziamenti mirati, favorendo il pooling in comune tra le PMI ecc.) che di know-how (ad es. con l’accesso facilitato a linee guida e documenti specifici di supporto);
f. promuovere la creazione di ISAC (ovvero centri di condivisione e analisi delle informazioni), anche tramite partenariato pubblico-privato.
L’augurio è che in tempi di PNRR, anche il nostro Paese riuscirà a far fruttare queste importanti indicazioni: come già detto in partenza la situazione è già caotica e critica, per cui ogni ritardo peserà in maniera decisiva.

Roberto Giovanni Loche
RL Solutions
rloche@rlsolutions.it – Mobile: +39 331.2917785

 

RL Solutions