Uomo computer social media

La sicurezza informatica nelle PMI

/in , /da

Le tecnologie dell’informazione e della telecomunicazione, noto con la sigla inglese ICT (Information and Communication Technology),  sono e saranno sempre di più uno strumento fondamentale per l’Impresa, qualunque sia il settore in cui si opera e qualunque sia la dimensione dell’azienda. L’utilizzo più o meno estensivo dell’ICT richiede di pari passo che sia gestita ed amministrata la sicurezza informatica di tutta l’infrastruttura e dei dati ivi conservati.

Le PMI in particolare, qualunque sia il settore in cui operano, costituiscono un bersaglio molto invitante per i criminali, informatici e non solo. Rispetto alla aziende più grandi e strutturate, ove sono quasi sempre presenti responsabili IT e competenze specifiche, i dati informatici delle PMI spesso sono meno al sicuro e protetti, soprattutto per la scarsa consapevolezza dei rischi che si corrono e dei danni che si possono subire. È tuttora diffusa la falsa convinzione che le grandi aziende siano più appetibili ai pirati informatici, rispetto a quelle più piccole e, pertanto, non ci si considera a rischio. La realtà è purtroppo diversa. La sicurezza informatica è importante per tutti.

Un sondaggio realizzato nel 2014 da PriceWaterHouseCoopers indica che il 60% delle PMI ha subito un attacco o una violazione della sicurezza informatica.  Lo stesso Security Breaches Survey 2014 attesta poi in 7-10 giorni i tempi medi necessari all’azienda per ritornare pienamente operativa dopo l’evento.

Il caso CryptoLocker

La crescente diffusione di CryptoLocker e delle sue varianti, anche più insidiose, individuate negli ultimi mesi, ha destato molto allarme. Il virus, infatti, ha mietuto numerose vittime, in ambito aziendale e non solo. Basta fare una ricerca sul Web con le due parole cryptolocker e tribunale, per trovare decine di casi di infezione che hanno colpito i sistemi informatici di diversi palazzi di giustizia in tutta Italia. Basta aprire con leggerezza l’allegato ad un messaggio email, che risulta provenire, a seconda dei casi, da corrieri per le spedizioni, società telefoniche, banche, agenzie di riscossione tributi. Il messaggio è studiato e realizzato ad arte per essere quanto più verosimile ad uno vero, così da spingere il destinatario ad aprire l’allegata fattura, cartella esattoriale o bolla di spedizione che sia. Il malware, una volta innescato con l’apertura del file allegato alla mail, comincia a crittografare i file contenuti nel computer della vittima, rendendoli inutilizzabili, prendendo di mira in particolare documenti in formato office, pdf, immagini e video. Successivamente, arriva la richiesta di pagare una somma di denaro in moneta virtuale BitCoin, per avere in cambio la chiave di decifratura per riavere i propri file.

Il danno subito da un’azienda vittima di cryptovirus può essere ingente. Se non è stata adottata alcuna strategia di backup la perdita dei dati è irreversibile. A ciò si aggiunge l’ulteriore  ed inevitabile danno economico causato dal fermo delle macchine, bloccate per tutto il tempo necessario a ripulirle dal malware e ripristinarle.

Da dove partire

Le misure minime di sicurezza previste dall’allegato b) del Codice della Privacy (D.Lgs 196/2003 e successive modifiche), adottate e diffuse in larga misura in quasi tutte le PMI sulla spinta del vincolo normativo, possono costituire una base ed un punto di partenza per lo sviluppo di policy e misure di sicurezza più efficaci a garantire la disponibilità e l’inviolabilità della propria infrastruttura tecnologica.

Computer block notes caffè

Il Codice della Privacy, prevede infatti all’art. 34, che il trattamento di dati personali, effettuato con  strumenti elettronici, é consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico  contenuto nell’allegato B), una serie di misure minime di sicurezza. Tali misure sono volte, tra l’altro, a ridurre al minimo i rischi di una perdita o distruzione, anche accidentale, dei dati ed un accesso non autorizzato agli stessi. Tra le più importanti è bene menzionare:

  • la presenza di un sistema di autenticazione informatica: solo gli utenti dotati di credenziali (login e password) possono effettuare l’accesso alle risorse aziendali;
  • le credenziali di autenticazione devono rispettare una serie di requisiti per quanto riguarda la loro lunghezza e complessità;
  • la presenza di un sistema di autorizzazione, in modo che gli utenti accedano unicamente alle risorse specifiche in relazione alle proprie mansione ed attività;
  • la presenza di software (antivirus e firewall), da aggiornare almeno semestralmente, per proteggere i dati da rischio di intrusione e da danni provocati da virus e similari (art. 615 quinquies c.p.);
  • l’aggiornamento periodico dei software per prevenire le vulnerabilità (patch) con cadenza annuale o semestrale, in caso di trattamento di dati sensibili;
  • il salvataggio dei dati (backup) con cadenza almeno settimanale.

Tuttavia, l’adozione delle misure di sicurezza è spesso compromessa da una non corretta implementazione ed applicazione concreta della stesse. Qualche esempio esplicativo è d’obbligo. Viene adottato un sistema di autenticazione ed autorizzazione degli utenti, ma le password non rispettano i principi base di sicurezza (es. 8 caratteri alfanumerici, non riconducibili al titolare etc). E’ impostato un backup periodico dei dati, ma non viene fatto su tutti i computer e la cadenza con cui viene effettuato è eccessivamente lunga (se va bene una volta al mese o quando ci si ricorda). E’ installato un programma antivirus sulle postazioni ma non viene mantenuto aggiornato.

Oltre le misure minime di sicurezza informatica, una visione a 360 gradi

Come già detto, le misure minime di sicurezza informatica sono un punto di partenza. Non sono sicuramente sufficienti a garantire una protezione adeguata ai rischi presenti nella moderna società dell’informazione, sempre online e connessa. Basti pensare che le prescrizioni tecniche dell’allegato B, sopra menzionate, indicano come tempistica minima per l’aggiornamento di antivirus e firewall a protezione di sistemi ben 6 mesi, un’ eternità in termini informatici.

Inoltre, l’approccio al problema non deve più limitarsi alla verifica della sicurezza dei  computer (fissi e portatili) e dei server aziendali, ma deve comprendere anche dispositivi quali smartphone e tablet, spesso ignorati. In particolare, l’utilizzo di smartphone e tablet personali per l’accesso telematico alle risorse aziendali (es. gestionali, documenti su server), può costituire un ulteriore rischio di sicurezza. L’uso contemporaneo dello stesso strumento per accedere a siti personali, non legati al lavoro, l’installazione di applicazioni che potrebbero non essere sicure, può costituire infatti un pericoloso cavallo di troia, capace di compromettere l’intera infrastruttura informatica aziendale.

L’espansione del telelavoro, o smart working, come definito nel disegno di legge recente approvato dal Consiglio dei Ministri, comporterà poi per l’azienda lo sviluppo di nuove soluzioni che consentano, a chi lavora da remoto, di avere accesso alle risorse aziendali come se si operasse direttamente in sede. La comunicazione tra postazione remota e server, a meno di non utilizzare connessioni private dedicate, dai costi non alla portata di tutti, avviene in genere con la comune rete internet. Imprescindibile, quindi, una grande attenzione alla sicurezza informatica, sia della postazione remota, che del canale di comunicazione, utilizzando ad esempio l’autenticazione forte (smartcard) e le reti private virtuali (VPN).

La dichiarazione dei diritti in Internet 4 - Osservatorio digitale PMI

Un pensiero finale al Cloud ed alla sicurezza dei dati nella nuvola. Quando ci si affida ad un servizio di Cloud, si da essenzialmente in outsourcing la gestione dei propri dati aziendali, affidando ad un soggetto terzo tutte le problematiche tecniche e di sicurezza. I vantaggi sono diversi: la possibilità di accedere facilmente in mobilità ai propri dati, la flessibilità delle soluzioni, scalabili in base alle esigenze ed alle necessità, e per finire i costi, sicuramente più ridotti rispetto alle tradizionali soluzioni informatiche.  Ma non ci sono rose senza spine.

Se la gestione degli utenti che hanno accesso ai dati sulla nuvola resta in capo al cliente, non bisogna dimenticare che l’accesso a tutti i dati, a meno che non siano cifrati, è sempre possibile anche al personale del fornitore del servizio. La localizzazione fisica dei server, di proprietà del  fornitore che eroga il servizio cloud, è in genere sconosciuta al cliente e potrebbe sembrare irrilevante. Non è così. Dalla posizione fisica degli stessi server, che potrebbero essere ovunque nel mondo, si stabilisce poi quale normativa nazionale è applicata in materia di privacy e sicurezza dei dati. Infine, non meno importante, è la conoscenza delle pratiche e delle procedure di disaster recovery adottate dal fornitore per far fronte a possibili perdite di dati o violazioni della sicurezza.

La più importante difesa resta in ogni caso la consapevolezza e la conoscenza dei rischi che si possono correre nelle quotidiane attività online. La formazione degli utenti è la prima linea per la sicurezza informatica di una PMI, prima ancora delle soluzioni tecnologiche. Qualunque protezione, anche la più avanzata, perde di efficacia, se non accompagnata da regole e policy di uso degli strumenti, seguite con cognizione e non solo perché si è obbligati a farlo.

Dott. Luca Frabboni
Esperto in informatica giuridica e giudiziaria Maat Srl

Potrebbero interessarti
privacy computer La privacy in Europa: quali sono le novità?
Contratto (New Tech)… Tu quoque!?
E-Law: La privacy ai tempi di internet
Il digital per lo sviluppo delle PMI italiane
Controlli a distanza per l'online: un vademecum.
Piccole e Medie Imprese, microimprese e professionisti: chi sono?