Le realtà piccole e medie hanno possono ottenere una protezione di livello enterprise. Lo spiega Rodolfo Falcone di Check Point.
Quando si parla di sicurezza It i numeri hanno un’importanza relativa. Un gruppo di hacker può contare su centinaia o migliaia di componenti distribuiti su tutto il mondo, come è il caso di anonymous, o solo su una manciata di individui altamente motivati, come quelli che hanno lanciato con successo l’attacco Eurograbber contro le banche nel 2012.
Lo stesso vale per le realtà colpite dai criminali: solo il fatto di essere piccoli e poco conosciuti non mette un’azienda al riparo dagli attacchi.
Con le tendenze attuali che vedono attacchi sempre più mirati e focalizzati grazie ad attività di spear-phishing e di profilazione sui social media per ottenere accesso alle reti, i criminali si concentrano sulle organizzazioni dotate di asset che hanno un particolare valore specifico.
Le Pmi possono essere prese di mira come punto di partenza per sferrare un attacco verso un’azienda partner, nell’ottica di sfruttare gli eventuali punti deboli nella catena del valore.
Chi attacca conta anche sul fatto che spesso le aziende più piccole dispongono di controlli meno accurati e di un numero inferiore di livelli di sicurezza.
In generale, spiega il country manager di Check Point, Rodolfo Falcone esiste una corrispondenza tra le dimensioni di un’azienda ed il tempo e le risorse che questa organizzazione può allocare alla sicurezza ed alla sua gestione. Le imprese tipicamente destinano il 6% della loro spesa complessiva in It alla sicurezza, il che significa che le aziende con i budget più ridotti devono allocare la parte dedicata alla sicurezza del proprio budget nel modo più saggio possibile.
Fare la lista della spesa della sicurezza
Quindi, su quali forme di sicurezza dovrebbero dirigere i loro investimenti le aziende?
Secondo Falcone a livello di protezione, valgono per le Pmi le stesse regole che guidano le organizzazioni più grandi: dovrebbero prima di tutto decidere quali tra i loro asset sono realmente critici per il business, poi definire delle policy ed adottare le soluzioni più adatte a proteggere questi asset ed a mitigare ogni forma di rischio legata a loro.
Fino a oggi questo approccio avrebbe comportato da parte delle aziende più piccole un investimento esageratamente elevato in sicurezza.
Ma due recenti sviluppi hanno messo le Pmi in condizione di garantire ai loro asset una protezione di livello enterprise.
Il cloud corre in aiuto
Innanzitutto, dice Falcone, il modello del cloud permette alle organizzazioni di implementare la sicurezza velocemente, di avere una gestione di questa sicurezza (con aggiornamenti sulle soluzioni e sulle minacce gestiti dal fornitore di sicurezza nel cloud), il tutto con un minimo investimento iniziale e con costi mensili ricorrenti e pianificabili.
Cosa ancor più importante, in questo modo possono anche essere anche erogati servizi avanzati ed integrati, da antivirus e firewall fino al controllo delle applicazioni web e dei social media.
Questo permette alle aziende di concentrarsi sul loro business e sulla relativa crescita, lasciando la protezione della rete ai professionisti.
Sono numerosi i servizi di sicurezza cloud disponibili da parte dei leader riconosciuti del mercato, cosa che li rende un’opzione attraente per le aziende che intendono minimizzare la spesa capitale.
Man mano che le minacce di sicurezza diventano più sofisticate e più frequenti, mantenersi al passo può diventare un problema anche per i team di sicurezza meglio organizzati, e la disponibilità di servizi cloud completamente gestiti può eliminare le preoccupazione legate alla gestione, soprattutto per le aziende più piccole.
E le appliance costano meno
La seconda opzione nasce dalla diminuzione drastica dei costi necessari per dotarsi di appliance di sicurezza on-premise, flessibili ed aggiornabili.
Questo offre la possibilità di accedere a funzionalità di sicurezza complete ed integrate, prima riservate solamente alle organizzazioni di dimensioni più elevate (come virtual private networking, intrusion prevention, anti-spam, application control e Url filtering), a costi nell’ordine delle centinaia, e non più delle migliaia di dollari.
Per molte aziende questo permette di raggiungere molto più semplicemente una sicurezza avanzata, senza dover per forza investire quel 6% della spesa It di cui sopra.
La formazione conta sempre
Come detto in precedenza, le dimensioni di un’organizzazione non hanno un’influenza diretta sulla sua capacità di mantenere la sicurezza. Fattore che gioca un ruolo fondamentale in questo è la consapevolezza delle problematiche di sicurezza da parte dei dipendenti.
Redigendo il 2013 Security Report, Check Point ha scoperto che il 54% delle quasi 900 aziende interpellate ha ammesso di aver subito almeno un potenziale incidente di perdita di dati, come risultato dell’invio per errore di email a destinatari esterni o del non corretto posting di informazioni online.
Si evidenzia come il 52% dei dipendenti corra il rischio di causare una falla di sicurezza adottando comportamenti errati o non accurati.
Si tratta spesso di piccoli errori umani che i criminali cercando di sfruttare a loro vantaggio: spingere un ignaro dipendente a cliccare su un link di un email di phishing che lo porterà ad infettare il suo pc, oppure a caricare informazioni sensibili su un sito non verificato.
Purtroppo, siamo tutti condizionati a fidarci di altri, e si tratta di un atteggiamento difficile da cambiare, perché i dipendenti cercano di rivelarsi utili e vogliono svolgere il loro lavoro con efficacia e cortesia.
È qui per Falcone che la formazione dei dipendenti può giocare un ruolo importante di stimolo alla sicurezza: rendere lo staff aziendale consapevole dei rischi e delle potenziali minacce di sicurezza, e di come il loro comportamento possa mitigare questi rischi evitando messaggi di phishing, siti web malevoli ed altro ancora.
Ed è qui che le piccole aziende hanno un vantaggio a disposizione: hanno meno dipendenti da formare. Spesso, sono questi semplici accorgimenti a poter fare la differenza tra un incidente di sicurezza ed una situazione assolutamente sotto controllo.