Cybersecurity e micro, piccola e media impresa

Introduzione al tema

Nel 2021 ENISA ha pubblicato un report molto interessante e dettagliato (di una sessantina di pagine) riguardante la sicurezza informatica nel tessuto della micro, piccola e media impresa: un tema che, anche in Italia, è diventato centrale, vista la tipicità del nostro tessuto imprenditoriale.

Nel caso voleste approfondire, il titolo esatto del documento è “Cybersecurity for SMEs. Challenges and Recommendations”, è stato pubblicato nel giugno del 2021 ed è disponibile gratuitamente sul sito di ENISA nella sezione “studi e documenti”.

Dal report in questione gli studiosi dell’Agenzia hanno, poi, “estratto” dodici linee guida (o regole, o punti) che sono, a mio avviso, perfette per un primo approccio di sintesi “da zero” a questo tema, e sono anche d'immediata utilità per chiunque si volesse avvicinare all’argomento senza, però, possedere una base particolarmente approfondita dal punto di vista tecnico.

Vedrete, infatti, che le regole sono facilmente comprensibili da chiunque, indipendentemente dal suo background, esperienza o preparazione.

Il fine di ENISA è quello di cercare di far capire come si possa rendere sicura l’attività imprenditoriale mantenendo un’attenzione sempre presente al problema dei costi (caratteristico del mondo dei “piccoli”), al sempre minor tempo disponibile per occuparsi di questi temi in un business che "corre" sempre più velocemente, e alle (poche) risorse umane utilizzabili in periodo di crisi economica e di licenziamenti. Sono tre punti ormai critici, e di difficile gestione, per le piccole realtà, soprattutto in periodo post-Covid e in un momento di grande crisi economica.

Al contempo, proprio il periodo del Covid ha dimostrato quanto siano diventate importanti le tecnologie per le piccole e medie imprese.

Il digitale ha permesso, a molte piccole realtà, una continuità operativa durante il lockdown (la cosiddetta “business continuity”) e ha consentito, in molti casi, di superare indenni la crisi. O di limitare i danni.

Il cloud, il potenziamento delle connessioni a Internet e dei servizi connessi, una modernizzazione dei siti web e degli spazi di condivisione dei dati e l’uso di strumenti innovativi hanno consentito a molte piccole realtà di lavorare meglio da remoto.

Nel documento di ENISA si esplorano, vi anticipavo, dodici punti, e si forniscono dei veri e propri “livelli pratici” su come rendere più sicuri i sistemi e il business di queste aziende.

Li vediamo, e commentiamo, insieme.

Prima regola: è necessario sviluppare, anche nella micro, piccola e media impresa, una corretta cultura della cybersicurezza e della sua importanza

“Il problema è la cultura”, si sente spesso dire in diversi ambiti. Anche il mondo della cybersecurity non è immune a questa crisi generalizzata della cultura, della responsabilizzazione e di una conoscenza non superficiale di temi centrali.

Sviluppare una cultura della cybersecurity in un determinato contesto richiede dei passi, specifici, che arrivano poi ad operare in maniera trasversale.

Come prima cosa, il documento di ENISA raccomanda di assegnare specifiche responsabilità di management sul tema, dal momento che avere un solido quadro sin dal vertice della cybersecurity in azienda è ciò che garantisce il successo di ogni impresa.

Questo è il motivo per cui la responsabilità critica per questa funzione deve essere assegnata a un professionista, dentro la organizzazione, che deve assicurare la disponibilità di risorse appropriate, di sufficiente tempo per il personale per occuparsi del tema, deve coordinare gli acquisti di software per la cybersecurity, di servizi e di hardware, deve preparare il piano di training per lo staff e curare lo sviluppo di policy efficace. L'impegno in tal senso deve essere dedicato esplicitamente alla cybersecurity e non deve essere visto come un semplice e secondario corollario, spesso un po’ trascurato, di altre funzioni o profili.

Un secondo passaggio deve essere quello di sensibilizzare i dipendenti tramite una comunicazione efficace sulla cybersecurity che provenga dal vertice/management, di modo che il management si manifesti apertamente come il primo a supportare apertamente le iniziative di cybersecurity, sia il primo ad essere interessato a che sia erogato un percorso di training appropriato ai dipendenti e sia il primo a fornire ai dipendenti  regole chiare e specifiche che verranno poi meglio descritte o illustrate nelle policies approvate dal management stesso.

Successivamente, si devono condurre degli audit di cybersicurezza che siano non solo regolari, ma che siano condotti da soggetti con appropriata conoscenza, skills ed esperienza. Gli auditors devono essere indipendenti (come, ad esempio, un fornitore esterno e non legato alle operazioni quotidiane di IT).

La pubblicazione delle policy di cybersicurezza di cui parlavamo poco sopra serve a diffondere regole chiare e specifiche per i dipendenti, che devono essere evidenziate nelle istruzioni di cybersicurezza, al fine di spiegare loro, con precisione, come ci si aspetta che si comportino nell’ambiente ICT della società, utilizzando in maniera impeccabile gli strumenti e i servizi che vengono messi a loro disposizione.

Queste policies devono anche evidenziare le conseguenze cui il dipendente va incontro nel caso non segua le regole indicate; a tal fine, vanno regolarmente revisionate e aggiornate anche in base all'evoluzione normativa, e non solo a quella tecnologica.

ENISA si raccomanda poi di tenere sempre a mente anche le regole alla base della disciplina sulla data protection. Il GDPR prevede, infatti, che ogni singola impresa che tratti dati debba assicurare misure di sicurezza idonee e debba mettere in pratica specifici controlli per proteggere i dati che tratta, oltre a un generico obbligo di accountability per tutte le operazioni di trattamento effettuate. Lo stesso deve avvenire, vedremo meglio in seguito, per tutti i soggetti terzi che lavorano con quella realtà e trattano i suoi dati.

Seconda regola: è necessario fornire a tutti i dipendenti percorsi di formazione adeguati

La formazione dell’essere umano, una formazione che sia di sostanza e non di forma, è anch’essa una misura di sicurezza di primaria importanza. Avere un dipendente consapevole e sicuro alza tantissimo la sicurezza generale di tutta la realtà di cui ci occupiamo.

Occorre, allora, fornire consapevolezza adeguata circa la necessità di percorsi di training di cybersecurity per tutti i dipendenti, al fine di assicurare che gli stessi siano in grado di riconoscere tutte le varie minacce informatiche e di gestirle in maniera accurata, consapevole e corretta.

Questo training, secondo ENISA, dovrebbe avere due caratteristiche: i) dovrebbe essere personalizzato, con riferimento ai contenuti, per le piccole e medie imprese e la loro realtà, e ii) dovrebbe focalizzarsi su situazioni reali.

La formazione andrebbe anche fatta specializzata e specifica per tutti coloro che sono responsabili di gestire proprio la cybersecurity nell’azienda, per essere certi che abbiano le capacità e le competenze richieste da un lavoro così delicato. ci riferiamo, ovviamente, ad amministratori di sistema, staff degli informatici e dei sistemisti e a chi si occupa di cybersecurity nel dettaglio.

Terza Regola: è necessario che anche i rapporti con tutte le terze parti che accedono ai dati dell’impresa siano improntati al rispetto delle regole di cybersecurity

Esistono soggetti terzi che possono accedere, con varie modalità, ai dati dell’impresa. Anche loro sono coinvolti nel percorso/catena della cybersecurity, in quanto una loro vulnerabilità è in grado di mettere in pericolo i dati dell’impresa “titolare”.

Ciò comporta la necessità, nell'idea di ENISA, di assicurare una gestione effettiva della sicurezza nei rapporti con terze parti ogni volta che vi sia un trasferimento o uno scambio di dati.

Bisogna assicurarsi, in particolare, che tutti i venditori/fornitori, specialmente tutti coloro che hanno accesso ai dati sensibili e ai sistemi della piccola impresa, siano scelti e selezionati in base ad alti livelli/criteri/parametri di sicurezza e siano d’accordo, se del caso, di intraprendere processi di adeguamento per raggiungere il livello di sicurezza della azienda committente.

Si devono, poi, stipulare degli accordi contrattuali per regolamentare con cura le modalità attraverso le quali i vendor devono raggiungere i definiti livelli di sicurezza. Ciò non è utile solo ai fini del GDPR e della ben nota figura del “responsabile esterno” ma, anche e soprattutto, per creare una infrastruttura di cybersecurity seria.

Quarta regola: occorre progettare, sviluppare e mantenere un buon piano di risposta agli incidenti informatici che potrebbero occorrere in azienda

Un incidente informatico capita sempre più spesso. La capacità di reagire e di mitigare il danno diventa, allora, essenziale, anche per limitare eventuali responsabilità o sanzioni.

Ciò comporta, secondo lo studio di ENISA, la necessità di sviluppare un piano formale di risposta e di reazione agli incidenti che contenga linee guida chiare, una individuazione precisa di ruoli e responsabilità e che, soprattutto, sia documentato.

Una simile strategia assicura che tutti gli incidenti di sicurezza siano gestiti e trattati in tempi molto rapidi e in maniera professionale e appropriata, sia nella gestione, sia nella mitigazione del danno.

Per rispondere rapidamente a minacce di sicurezza, sono consigliati, nello studio, strumenti investigativi o di manutenzione della rete in grado di monitorare le minacce e di generare degli alert, compresi quegli strumenti o servizi che intervengano quando sono portate delle attività sospette all’interno della rete aziendale o quando ci sono dei security breaches o dei tentativi di intrusione.

Quinta regola: occorre rendere sicuro l’accesso ai sistemi dell’azienda

La fase di autenticazione, ossia di accesso ai sistemi operativi o ai servizi, è notoriamente critica.

In tal caso, ENISA invita tutti a usare una passphrase, vista come una "unione" di almeno tre parole poco note o poco usate che così risultano combinate in una frase che diventa facile da ricordare ma abbastanza lunga per resistere ad attacchi casuali.

Se uno, poi, volesse invece continuare a usare la tipica, cara e vecchia password, ENISA suggerisce di sceglierla lunga, con un insieme di caratteri maiuscoli, minuscoli e speciali, di evitare le password ovvie o sequenze banali di lettere, di  non inserire alcuna informazione personale sia nelle passphrase, sia nelle password.

È bene, poi, evitare di riutilizzare le password in più servizi, è sano non condividerle con i colleghi, è indispensabile, ormai, attivare i servizi di autenticazione a più fattori e può essere una buona idea anche usare un password manager dedicato e sicuro.

Sesta regola: occorre rendere sicuri tutti i dispositivi utilizzati da chicchessia in azienda

In tutte le aziende ci sono persone, e tutte le persone, ormai, utilizzano strumenti elettronici di tutti i tipi, personali o forniti dall’azienda.

Questo quadro, come potete immaginare, è già problematico in partenza per chi si occupa di cybersecurity. Il timore di perdere il controllo della situazione e di generare, quindi, delle vulnerabilità è sempre presente.

Ciò comporta la necessità di rendere sicuro tutto il parco strumenti che viene utilizzato da queste persone, che siano i desktop, i portatili, i tablet o gli smartphone. Siamo in presenza di un passaggio chiave in un programma serio di cybersecurity.

ENISA indica, allora, come tutto il software di tutti i dispositivi debba essere mantenuto "patchato" e aggiornato, magari utilizzando una piattaforma centralizzata per le operazioni di patching del software.

Le imprese, poi, devono regolarmente aggiornare tutti i loro software, attivare l’aggiornamento automatico dove possibile, identificare tutti quei device che, invece, hanno necessità dell’aggiornamento manuale di software e hardware e, ultimo ma non ultimo, non dimenticare mai di prendere in considerazione anche i dispositivi mobili e IoT.

La gestione degli antivirus, in un quadro come quello che stiamo descrivendo, è ovviamente centrale.

Una soluzione centralizzata di antivirus, suggerisce ENISA, deve essere implementata in tutti i tipi di device e tenuta aggiornata per assicurare la sua efficacia continua. Va sempre prestata, poi, attenzione ad evitare l'installazione di software di dubbia provenienza che potrebbero contenere dei virus.

Si devono sviluppare soluzioni per bloccare le e-mail di spam, per individuare e bloccare quelle e-mail che contengano link a siti web truffaldini, quelle e-mail che contengano attachment nocivi e tutte le e-mail di phishing.

Un passaggio essenziale, nei suggerimenti di ENISA, è il proteggere i dati cifrandoli. Le piccole imprese devono accertarsi che tutti i dati in qualche modo memorizzati (anche su dispositivi mobili) siano cifrati.

Per i dati che vengono trasmessi attraverso reti pubbliche, come reti Wi-Fi di hotel o di aeroporto, occorre accertarsi che siano cifrati, sia adottando una VPN sia accedendo ai siti web con connessioni cifrate usando il protocollo SSL/TLS.

Anche i propri siti web devono avere sempre implementati e aggiornati i protocolli di cifratura per proteggere i dati dei clienti, dei dipendenti e dei fornitori quando si trovano a viaggiare attraverso Internet.

Allo stesso modo, deve essere implementata la sicurezza nella gestione dei device mobili.

Come è noto, ricorda il documento di ENISA, nel facilitare lo staff nel lavoro da remoto molte aziende permettono di usare il laptop, tablet o smarthone personale. Questa scelta solleva molti problemi di sicurezza con rferimento ai dati "sensibili" che sono memorizzati su tali device, per cui uno dei modi per contenere quei rischi deve consistere nell’implementare una soluzione di gestione sicura di tutti i device mobili.

In tal caso, bisogna anche permettere alle imprese di i) controllare a quali dispositivi è consentito l'accesso a sistemi e servizi aziendali, ii) assicurarsi che i sistemi dei dipendenti, anche personali, abbiano antivirus aggiornati già installati, iii) poter verificare se il dispositivo del dipendente sia cifrato, iv) poter verificare che il dispositivo del dipendente abbia le patch di sicurezza installate, v) obbligare il dipendente a prevedere che il dispositivo sia protetto da un PIN e una password.

Infine, essenziale diventa la possibilità di poter cancellare da remoto i dati del device nel caso il dispositivo fosse rubato o smarrito o nel caso dovesse terminare il rapporto di lavoro tra il dipendente e l’impresa stessa.

Settima regola: occorre rendere il più possibile sicuro il network aziendale

Tutte le imprese, ormai, lavorano in rete. Anche le più piccole.

Il firewall è, da tempo, considerato uno dei sistemi più utili, in molti casi indispensabili, per garantire una buona sicurezza connessa alla rete e al suo perimetro: una implementazione intelligente di un firewall, quindi, è sicuramente una idea buona.

I firewall, ricorda ENISA, hanno la funzione di gestire il traffico che “entra” ed “esce” nella rete, e sono diventati uno strumento critico per proteggere i dati anche nelle piccole e medie imprese.

I firewall devono essere usati anche in maniera più specifica e mirata per proteggere sistemi critici, ad esempio per tutelare il network interno dell’azienda da possibili collegamenti provenienti da Internet.

In seconda battuta, la sicurezza del network si ottiene conducendo anche una revisione costante di tutte quelle soluzioni che consentono un accesso da remoto alla rete aziendale.

Tutti gli strumenti che consentono un accesso remoto alla rete devono essere vagliati e valutati, devono essere patchati e aggiornati, e bisogna impedire l’accesso remoto da zone geografiche sospette (o remote) o da determinati indirizzi IP. Essenziale è anche, secondo ENISA, restringere l’accesso da remoto soltanto ai sistemi e ai servizi di cui lo staff abbia realmente bisogno per le proprie mansioni o il proprio lavoro, abilitare password molto forti per il remote access e, ove possibile, attivare la autenticazione a più fattori.

Infine, importante è condurre un costante monitoraggio e prevedere degli alert per avvertire di possibili attacchi, o di attacchi in corso.

Ottava regola: occorre prestare grande attenzione, e migliorare, anche la sicurezza fisica in azienda

Spesso siamo concentrati esclusivamente sulla sicurezza logica e sui temi del digitale e ci dimentichiamo dell’analogico, della carta, di stanze, muri e serrature.

In realtà, anche il controllo degli accessi fisici ai locali diventa centrale in ogni piano di cybersecurity.

Occorre, allora, implementare una serie di controlli fisici appropriati legati alla costante consapevolezza di dove realmente risiedano le informazioni importanti.

Al contempo, secondo ENISA deve essere sempre illustrata l’importanza di comportamenti necessari per contenere “fisicamente” i dati: nel documento  si fanno alcuni esempi, del tipo i) il computer o il cellulare di una società non andrebbero mai lasciati nel sedile posteriore o nel baule di una autovettura, ii) ogni volta che qualcuno si allontana dal computer, lo dovrebbe bloccare, o portarlo sempre con sé (policy di sicurezza personale che ci porta ad avere sempre con noi il device e a non abbandonarlo mai), così come bisognerebbe impedire che siano connesse chiavette USB sospette e iii) si dovrebbe abilitare il blocco automatico di tutti i dispositivi che vengono usati per funzioni di business. Ma gli esempi in questo senso potrebbero essere molti altri.

Anche i documenti sensibili stampati non devono essere lasciati incustoditi e devono essere archiviati in luoghi sicuri, perché la vulnerabilità nella gestione dei processi documentali è ben idonea a generare enormi problemi di sicurezza e violazioni ingenti di dati.

Nona regola: occorre assicurare una perfetta gestione sicura dei backup

La centralità di un buon sistema, e politiche, di backup in un’ottica di cybersecurity dovrebbe essere nota a tutti da anni.

Un buon backup è in grado, in innumerevoli occasioni, di salvare la vita all’azienda, all’utente e al sistema.

In particolare, secondo ENISA i backup devono essere predisposti, e organizzati, per essere immediatamente utilizzabili in caso di incidente:  si pensi a un attacco ransomware, e al danno che può fare un simile malocious software in un’ottica di continuità del business (e non solo di possibile violazione dei dati).

Ciò comporta la necessità di fare un backup regolare e automatico (quando possibile), di tenere il sistema di backup separato dai sistemi informatici del ciclo produttivo e del sistema o network della impresa, di cifrare tutti i backup, specialmente se sono trasferiti fisicamente da una location all’altra, e di testare regolarmente la capacità di ripristinare il sistema anche con test completi di restore da zero dell’intera rete (simulando il peggiore evento negativo che possa capitare ai dati).

La ridondanza del dato, oggi, è vista giustamente come strumento indispensabile per raggiungere un livello di sicurezza accettabile.

Decima regola: occorre usare in maniera intelligente il cloud, e valutarne prima, con cura, i possibili rischi

Il cloud offre, come è noto, tantissimi vantaggi, ed è stato prezioso in periodo di Covid, su questo non si discute. È, però, una tecnologia che può presentare alcuni rischi specifici che la piccola impesa dovrebbe prendere in seria considerazione prima di attivare un contratto con un cloud provider.

In particolare, ENISA suggerisce una prima verifica normativa che dovrebbe comprendere la valutazione circa il rispetto o meno delle norme sul trasferimento dei dati previste dal GDPR, soprattutto per i dati personali.

Una seconda verifica, secondo gli Autori dello studio, dovrebbe riguardare, invece, gli aspetti più tecnici. Penso, ad esempio, alla cifratura dei dati e a servizi basati sul principio dello zero knowledge, a come vengono effettuati i backup del cloud stesso, a come sono impostati gli strumenti e i passaggi di autenticazione, ad eventuali vincoli contrattuali, all’esistenza di piani di reazione o mitigazione contro eventuali disastri, alla affidabilità e reputazione del fornitore, etc.

Undicesima regola: occorre rendere sicuri i siti web e i servizi che sono connessi online

Tutti i siti web collocati online, o esposti in rete che dir si voglia, devono essere configurati, e mantenuti, in una maniera sicura.

Sia che il sito web sia stato preparato “internamente” dai tecnici dell’azienda stessa sia, come è più comune, che la costruzione e gestione del sito web e degli archivi/database sia affidata a una ditta esterna, si tratta di un aspetto di cybersecurity che non si può in alcun modo trascurare.

Allo stesso tempo, tutti i dati personali e i dati finanziari presenti in questi siti web, come i numeri delle carte di credito o lo storico degli acquisti dei clienti, devono essere protetti in maniera appropriata.

Ciò comporta, molto spesso, la necessità di effettuare test di sicurezza a cadenza regolare, simulando attacchi, ad esempio, proprio a quegli stessi siti web per identificare ogni potenziale debolezza o insicurezza, e fare dei controlli costanti sullo stato di aggiornamento di quei siti.

Siamo ben consapevoli del fatto che tali attività di penetration test possano avere costi proibitivi per una piccola realtà, ma sono spesso l’unico modo per avere un quadro obiettivo, e portato da soggetti terzi, della reale resistenza del sistema e delle sue possibili vulnerabilità, presenti o future.

Questo è il motivo per cui tale attività è prevista espressamente anche nell’articolo 32 del GDPR.

Dodicesima regola: occorre costantemente cercare, e condividere, informazioni attendibili in tema di cybersecurity e di attacchi (meglio se informazioni condivise “tra pari”)

L’informazione, e la conoscenza, sono “potere”, anche nell’ambito della cybersecurity.

In questo caso, il potere (e la protezione dell’impresa) consiste nel saper riconoscere un tipo di attacco informatico, nell’insospettirsi per un comportamento non atteso del sistema, nel condividere con colleghi o amici (anche in sedi istituzionali o tavoli di incontro formali delle associazioni) problemi avuti, o problemi che si potrebbero prospettare in futuro.

Al contempo, occorre prestare attenzione alla qualità dell’informazione che si elabora, che si “digerisce” e che si veicola: il grande problema delle fake news è ben presente anche in questo ambito, e la cautela non è mai troppa (insieme a una sempre necessaria verifica accurata delle fonti).

Il condividere il più possibile informazioni è provato essere uno strumento efficace nel contrastare i crimini informatici, soprattutto se le informazioni che sono condivise riguardano esattamente quel comparto di business che ci interessa (più che, ad esempio, studiare report o bollettini generici) o se servono a contrastare i fenomeni di frodi e di attacco ai comportamenti (e alla fiducia) delle persone.

Interessante, nel documento di ENISA, il riferimento ai pari (“peer”).

È, infatti, noto come micro, piccola e media impresa possano soffrire di problemi (anche di sicurezza) estremamente specifici e correlati alle loro dimensioni e alla loro struttura.

Il mantenere una costante attenzione a ciò che capita “ai colleghi” o ai concorrenti commerciali è un ottimo modo per elaborare informazioni realmente correlate alla vita quotidiana dell’impresa stessa e al suo mercato (anche di dati) di riferimento.