Carenze di risorse economiche e di skill, livelli di difesa più bassi, numerosità fra le cause. Lo spiega David Gubiani di Check Point Software, che tratteggia le soluzioni.
Spesso si tende a considerare la sicurezza informatica un aspetto che riguarda solamente le organizzazioni di dimensioni più grandi, sia perché sono quelle che gestiscono gli asset più significativi, in termini sia di denaro che di quantità di dati, sia perché sono quelle più visibili.
Non sempre però questa percezione risponde alla realtà, e le piccole aziende non sono per forza più sicure rispetto alle grandi.
Un recente studio della National Cyber-Security Aliance ha mostrato come il 67% degli attacchi registrati nel corso del 2012 abbia in realtà riguardato realtà sotto i 100 dipendenti.
Come spiega David Gubiani, Technical Manager, di Check Point Software Technologies Italia, sono molti i motivi che possono spingere un hacker a dirottare le proprie attenzioni su realtà di dimensioni più contenute.
Livelli di difesa più bassi, innanzitutto.
Che possono dipendere da una disponibilità di budget minore o da una carenza di skill specifici.
La stessa ricerca ha evidenziato come il 90% delle Pmi non disponga di un It manager a tempo pieno, e come il 70% non offra ai propri dipendenti un training specifico per la sicurezza su Internet.
Si tratta di dati statunitensi, sottolinea Gubiani, che però trovano una conferma puntuale anche a casa nostra.
Idc ad esempio mette in luce come il 44% delle Pmi italiane non abbia un referente interno od esterno in materia di security, e come il 73% delle stesse aziende dedichi al tema della sicurezza It meno di un decimo del budget disponibile.
E non è detto che la semplice adozione delle contromisure di base sia sufficiente, se non viene affiancata da una comprensione più approfondita dei temi di base.
Un’altra ricerca, ricorda Gubiani, questa volta di Assintel e condotta sulle Pmi lombarde, ha mostrato quanto sia spesso superficiale l’approccio adottato da queste realtà.
Anche se il 99% delle aziende ha messo in campo le misure minime di sicurezza, solo il 58% le ha estese a tutte le macchine (server e client) presenti in azienda.
Senza contare che solo il 39% delle aziende dichiara di aggiornare regolarmente sistemi operativi e programmi, e che in totale risulta protetto solo il 21% degli accessi wi-fi.
Tutti motivi oggettivi che rendono particolarmente appetibili le Pmi agli hacker, che possono superare con una relativa facilità barriere spesso fragili e non per forza efficaci.
Gli asset custoditi da una piccola azienda non avranno lo stesso valore rispetto a quelli delle grandi corporation, ma restano sicuramente di grande interesse per gli hacker, lanciati come sempre alla ricerca di dati personali ed informazioni sensibili, da usare nelle loro successive attività criminali (di phishing e non solo), quando non direttamente di valori economici.
In questo scenario, per Gubiani l’unico modo in cui le Pmi si possono difendere in modo efficace è quello di alzare il proprio livello di consapevolezza, da un lato rispetto ai dati sensibili da difendere (quali sono, dove si trovano, quali sono le modalità d’accesso), dall’altro rispetto alla cultura della sicurezza in azienda, che in troppi casi deve essere elevata tramite un percorso di formazione, che deve riguardare sia i responsabili della security che i singoli utenti, chiamati a riconsiderare i propri comportamenti in un’ottica più ampia.
Parallelamente, devono dotarsi di tecnologie adeguate, possibilmente gestite e di facile utilizzo, che però devono essere fatte rientrare in un piano di sicurezza più ampio.
Oggi la sicurezza aziendale non può più essere limitata a un insieme di tecnologie, avanzate quanto si voglia, ma deve discendere da un quadro d’insieme, nel quale la visione dei responsabili aziendali e la consapevolezza degli utenti giocano un ruolo almeno altrettanto importante.
Indipendentemente da quanto grande sia la propria azienda e da quanto strategiche siano le informazioni che conserva.
