PMI & Cyber Security Web e Network

4 Consigli sulla Sicurezza Web e di Rete Aziendale (Network) per Piccole e Medie Imprese

Negli ultimi due anni le Piccole e Medie Imprese sono state l’obiettivo principale degli Hacker. Anche se gli attacchi da loro subiti hanno a livello mediatico una risonanza minore degli attacchi verso le grandi imprese.

Questo “silenzio” mediatico potrebbe portare a pensare erroneamente che le PMI godano di una maggiore sicurezza informatica rispetto alle grandi imprese.

Secondo lo studio The 2019 SMB Cyberthreat study condotto da Keeper Security e Ponemon Institute emerge che il 66% degli intervistati non crede di poter subire un attacco informatico da parte di hacker (aspettativa).

Ma lo studio precedente condotto dal Ponemon Institute for Keeper ha scoperto che il 67% delle aziende aveva subito un attacco nei 12 mesi precedenti (outcome).

Questa lacuna si riflette anche sul lungo tempo di reazione delle Piccole e Medie Imprese a seguito di un cyberattack.

Secondo lo studio The State of Cyber Resilience 2019 di Accenture, 4 aziende italiane su 10 richiedono più di 15 giorni per rimediare ad un attaccato subito.

Questi lentezza nel reagire ad un attacco e dovuto anche alla bassa percentuale di budget che le PMI investono in sicurezza informatica. Quindi, se stai pensando di essere un obiettivo troppo piccolo per attirare l’attenzione degli hacker, potresti sbagliarti.

Ecco 4 consigli sulla sicurezza web e delle reti aziendali per le PMI:

1- Creare e coltivare una Cultura Aziendale Sicura

Il primo passo è istruire te stesso e i tuoi dipendenti sui vari attacchi informatici che possono verificarsi e cosa puoi fare per impedire che accadano alla tua attività.

Creare una cultura aziendale sicura è fornire alla tua forza lavoro una formazione sulla sicurezza informatica, sulle vulnerabilità del web e della rete aziendale e sugli attacchi più comuni.

Uno degli attacchi più comuni e pericolosi è il Phishing. Il phishing è un attacco che di solito utilizza l’e-mail come arma. L’obiettivo è ingannare il destinatario dell’e-mail / messaggio facendogli credere che il messaggio e il mittente siano autentici e affidabili. Una volta fatto ciò, il messaggio chiederà alla vittima di fornire alcune informazioni sensibili come dati bancari, password, ecc. Gli attacchi di phishing sono molto comuni poiché sono abbastanza facili da eseguire e il loro tasso di successo è elevato.

Il modo migliore per evitare il phishing è condurre training e dimostrazioni sul phishing. Dopo l’allenamento, puoi persino fare una simulazione di un attacco di phishing internamente per vedere quanto ha avuto successo.

Un altro metodo da trasmettere come cultura aziendale di sicurezza è l’autenticazione a due fattori, per proteggere sia l’azienda che i clienti. Se hai una funzione di accesso sul tuo sito web attraverso la quale i clienti possono accedere ai loro account, potrebbe essere una buona idea abilitare l’autenticazione a due fattori. Oltre all’uso di una password complessa e unica (ad esempio: minimo 12 caratteri inclusi numeri e lettere), questa pratica consentirà agli utenti di utilizzare un metodo di autenticazione aggiuntivo, come One Time Passwords (OTP) generato da un’app di autenticazione o un messaggio sullo smartphone dell’utente. Ovviamente, ciò fornirà ai tuoi utenti un ulteriore livello di sicurezza e ridurrà le possibilità che qualcuno possa compromettere i dati sensibili dei tuoi clienti.

2. Utilizzare la Scansione Automatica delle Vulnerabilità Web

Se hai un sito Web, dovrai assicurarti che non possa essere utilizzato per danneggiare la tua attività da hacker malintenzionati. Ovvero, devi assicurarti che il tuo sito Web non presenti vulnerabilità.

E’ fondamentale controllare se il proprio sito web o i propri servizi web sono esposti ad attacchi a causa di vulnerabilità presenti e delle quali non sei a conoscenza, è il primo atto per garantire continuità al tuo business e proteggere i tuoi dati e quelli dei tuoi clienti.

Data Breach e Data Loss (rispettivamente la sottrazione e/o alterazione dei dati e la perdita dei dati) sono tra i principali rischi a cui si va incontro ne caso in cui un hacker decida di sfruttare le vulnerabilità non rilevate eventualmente presenti nelle vostre web app, seguiti dall’interruzione dei servizi e dall’irraggiungibilità del proprio sito.

In questo può aiutarti Cerbeyra, la nostra Piattaforma Cloud di Cyber Security che esegue test di sicurezza automatizzati sulle tue applicazioni web e sulle tue reti, scansionando tutte le risorse alla ricerca di possibili vulnerabilità.

Con il servizio di Web Application Vulnerability Scan potrai controllare se una applicazione web è affetta da vulnerabilità note che potrebbero essere sfruttate dagli hacker al fine di interrompere servizi e carpire informazioni.

Per evitare che il proprio sito e i propri servizi mettano a rischio i dati sensibili dei clienti o che il tuo business si interrompa, sono fondamentali due operazioni:

  • Effettuare una scansione immediata di tutte le tue applicazioni web presenti on line per avere un quadro della situazione attuale e poter intervenire tempestivamente su eventuali minacce gravi già presenti.
  • Effettuare scansioni periodiche per monitorare costantemente le tue web app, al fine di tenere sotto controllo il rischio nel tempo ed avere un riscontro immediato delle remediation applicate a seguito delle scansioni precedenti.

3. Utilizzare la Scansione Automatica delle Vulnerabilità Network (di rete aziendale)

Se fai azienda è indispensabile che tu abbia una rete di PC e sistemi aziendali per svolgere la tua attività. E’ importante infatti assicurarsi che le reti ed i sistemi aziendali e qualsiasi device associato ad un indirizzo IP, come ad esempio server, firewall, router, etc. non presentino vulnerabilità.

Ovvero, è importantissimo capire se esistono delle vulnerabilità di rete che gli hacker possano sfruttare per accedere ai computer aziendali, rubare dati sensibili e/o mettere fuori uso servizi e funzionalità.

Anche in questo può venirti in aiuto Cerbeyra con il suo servizio di Network Vulnerability Scan, il primo passo è provare il piano free.

Per evitare che i propri sistemi e i propri dati sensibili siano a rischio, sono fondamentali due operazioni:

  • Effettuare una scansione immediata di tutta la propria struttura per avere un quadro della situazione attuale e poter intervenire tempestivamente su eventuali minacce gravi già presenti.
  • Effettuare scansioni periodiche per monitorare costantemente i propri sistemi, al fine di tenere sotto controllo il rischio nel tempo ed avere un riscontro immediato delle remediation applicate a seguito delle scansioni precedenti.

4. L’importanza dei Backup!

Se i consigli precedenti sono una prevenzione agli attacchi Hacker per le PMI, i backup sono uno strumento fondamentale per ripristinare le funzionalità e la fruibilità ai documenti aziendali in caso si abbia subito un attacco.

E’ fondamentale e necessario eseguire il backup di tutti i dati necessari per fornire un servizio ai tuoi clienti. Se questi dati scompaiono improvvisamente e non si dispone di backup, la tua azienda scompare con esso.

È possibile utilizzare supporti diversi per archiviare i backup: dischi rigidi esterni, unità flash o soluzioni basate su cloud.

C’è una regola sui backup che ha superato la prova del tempo, la regola 3–2–1:

– Conservare tre (3) copie dei dati,
– Memorizzare due (2) copie di backup su diversi supporti di archiviazione,
– Con uno (1) di essi situato fuori sede