Sicurezza digitale: 7 rischi informatici che ogni manager deve conoscere


Fai attenzione. La sicurezza digitale è un argomento delicato che coinvolge diverse tematiche e si lega con forza agli aspetti di personal branding e reputazione online, ma non solo. Influisce anche sul delicato e complesso ambiente aziendale.

Come manager o imprenditore sai bene che la protezione dei dati aziendali richiede dedizione e impegno, per comunicare professionalità e sicurezza. Tuttavia, forse non immagini come possa influire anche sul personal branding. Eppure, è tutto intrecciato: più di quanto si possa pensare.

Il cyber crimine aumenta pericolosamente, di anno in anno. Tecniche sempre più raffinate e subdole vengono elaborate per penetrare nelle aziende. Persino dipendenti e top manager vengono usati come “open doors”, senza esserne consapevoli. Conoscere i rischi informatici è cruciale per tutelare l’immagine e il futuro della tua impresa. Ecco cosa devi sapere.

Sicurezza digitale: qual è lo scopo degli attacchi informatici?

Secondo Cisco, oltre oltre il 92% delle PMI italiane hanno ammesso di aver subito un attacco informatico lo scorso anno. Una stima in difetto, se consideriamo che in molti casi le aziende non sanno di essere sotto attacco. Infatti, alcuni sofisticati virus vengono creati con lo scopo di rimanere ben nascosti, continuando indisturbati a sottrarre informazioni per mesi, a volte anni.

Eppure, continuiamo a non sentirci coinvolti. Quante volte hai pensato: “Se anche entrassero nel mio computer, cosa potranno mai rubare? Non ho nulla di così importante”. Questo pensiero è la madre di tutti gli errori, perché abbassa il livello di guardia.

Devi tener presente che qualunque azienda conserva dati e informazioni sensibili di clienti e fornitori. Senza considerare il patrimonio di unicità dato dalle strategie e tattiche messe a punto in anni, o decenni, di attività. Informazioni preziose, segreti professionali che hanno un enorme valore economico, e potrebbero essere rivendute nel mercato nero del web.

Non puoi affrontare il problema con superficialità, perché gli obiettivi che spingono a minare la tua sicurezza digitale possono essere di diversa natura e tali da sfuggire alla tua comprensione. Ecco quali sono i principali obiettivi di un attacco informatico:

  • furto d’identità e compromissione dell’immagine aziendale;
  • furto di dati e di informazioni riservate, spionaggio;
  • sottrazione di credenziali bancarie e/o di denaro;
  • sospensione temporanea dei servizi aziendali;
  • sabotaggio dei sistemi informatici;
  • sfruttamento del potere di calcolo dei computer aziendali, a scopo criminale.

Quali conseguenze ti attendono?

Nel 2018 in Italia, sempre secondo Cisco, il 62% degli attacchi informatici alle piccole e medie imprese ha causato oltre 80.000 euro di danni. La compromissione della sicurezza digitale genera inconvenienti mostruosi per la tua azienda:

  • danno reputazionale;
  • perdita di fatturato;
  • perdita di clienti e fornitori;
  • sanzioni e richieste di risarcimento;
  • chiusura dell’azienda, nei casi più gravi.

Il nuovo regolamento europeo per la protezione dei dati GDPR, entrato in vigore il 25 maggio 2018, mira alla tutela dei dati sensibili, attraverso l’implementazione di specifiche procedure. Ogni azienda è obbligata a rispettarle. Tuttavia, per quanto adeguarsi al regolamento sia ottima cosa, purtroppo non basta.

Il GDPR è stato un grande passo avanti per la tutela dei dati, ma in Italia gli investimenti in sicurezza informatica sono ancora esigui. Le PMI, che rappresentano il 92% delle imprese italiane, spesso sono ignare del problema, o non sanno a chi rivolgersi. È urgente il bisogno di una trasformazione digitale che parta dalla consapevolezza della protezione dei dati aziendali.

“Il web non collega solo le macchine, collega le persone.”

Tim Berners-Lee, inventore del World Wide Web

La situazione attuale della sicurezza digitale

Ogni giorno, mi rendo conto di quanto le persone, a tutti i livelli, siano estranee al concetto di sicurezza informatica. Un concetto di cui oggi tutti dovrebbero conoscerne almeno le basi.

Durante le serate GenitorinRete, posso toccare con mano questo problema. Ogni volta che accenno ai rischi informatici, decine di genitori cadono dalle nuvole. Sono ignari di quanto la sicurezza digitale sia importante per tutelare loro stessi e le loro famiglie.

Voi direte “Vabbè dai, sono normali genitori. Che cosa c’entra con la sicurezza in azienda?”. C’entra eccome, perché parlando scopro che tra loro ci sono imprenditori, dirigenti d’azienda, manager, ma anche semplici dipendenti completamente all’oscuro dell’esistenza di possibili rischi informatici, e che quindi possono mettere a repentaglio la sicurezza dell’azienda nella quale lavorano. Una mancanza che riscontro anche in numerose altre situazioni professionali, nelle quali mi accorgo con quanta superficialità venga affrontato, sarebbe meglio dire “non” affrontato, il tema della cyber sicurezza.

C’è da sapere che un utente ignaro e inconsapevole diventa un bersaglio facile e appetibile per un cyber criminale. Nelle nostre case e aziende abbiamo messo le sbarre alle finestre, serrature blindate, telecamere e antifurti. Eppure, i nostri dispositivi digitali rimangono spesso privi delle più elementari misure di sicurezza, atte a garantire una adeguata protezione, sia personale che aziendale.

Per dispositivi digitali non intendo solo i computer, ma anche i tablet e soprattutto gli smartphones, usati quotidianamente da tutti, anche per scopo professionale.

I nostri inseparabili “amici”, sempre in tasca, possono rivelarsi delle pericolose armi. Vediamo come.

sicurezza-dei-dati

I 7 principali rischi informatici per la sicurezza digitale

Le insidie informatiche sono numerosissime, e non basta certo un articolo per parlarne in modo approfondito. Vediamo, però, i metodi maggiormente usati dai cyber criminali, per penetrare le realtà aziendali attraverso il punto più fragile: l’essere umano.

Ransomware

È un tipo di virus che blocca i dispositivi infettati, impedendone l’accesso e l’utilizzo. Per sbloccare il sistema viene richiesto un riscatto in bitcoin. Non è detto però che, a seguito del pagamento, avvenga la “liberazione” della rete informatica e dei files. Può verificarsi una seconda richiesta di riscatto, e così via.

Talvolta le aziende vittime di questo attacco sono reticenti perfino a sporgere denuncia alle forze dell’ordine, per timore di subire un danno reputazionale. Il danno sarà indubbiamente avvenuto, ma rimarrà circoscritto se, preventivamente, si sarà provveduto a salvare adeguatamente le copie di backup.

Mancati aggiornamenti di app e software

Spesso non si fanno, o si fanno in ritardo, perché richiedono tempo, e non ne abbiamo mai molto. Ma tenere i software aggiornati è fondamentale, per evitare che vengano sfruttate le loro vulnerabilità per penetrare nel nostro sistema aziendale.

Sembra che 8 attacchi informatici su 10, andati a buon fine, abbiano sfruttato vulnerabilità note, per le quali quindi erano già state rilasciate le patch di sicurezza. Attacchi che potevano esser evitati semplicemente tenendo aggiornati i software.

Non vanno trascurati nemmeno gli aggiornamenti per stampanti e periferiche varie che, ricordiamolo, sono connesse alla rete aziendale e, pertanto, diventano potenziali porte di accesso.

Phishing

Paragonabile ad una “pesca a strascico”, è una truffa attraverso la quale il criminale finge di essere qualcuno che conosciamo, per esempio la nostra banca, la posta, un corriere, o altro. Gli attacchi di phishing solitamente contengono un link su cui cliccare, o un allegato, la cui apertura può veicolare un malware, cioè un’applicazione malevola (virus).

Questa tecnica, di facile accesso, e poco costosa per chi la utilizza, viene eseguita su larga scala: le email-truffa sono inviate contemporaneamente a diverse migliaia di indirizzi di posta elettronica. Sfortunatamente c’è sempre qualcuno che “abbocca”.

Spear phishing

Si tratta di un attacco di phishing mirato, rivolto cioè ad una specifica persona, di solito con un ruolo chiave all’interno dell’organizzazione. Tali persone hanno accesso a dati sensibili e informazioni riservate, che rappresentano un “piatto ghiotto” e redditizio sul mercato nero dello spionaggio.

Questa tecnica è una delle più pericolose per i top manager. Spesso, fa leva sul fatto che manager e imprenditori hanno poco tempo a disposizione, quindi è più facile che possano cliccare su link e allegati di e-mail (anche PEC), senza verificarne prima l’origine. Basta un click e il danno è fatto.

Lo spear phishing può essere veicolato anche dalle chat personali, magari attraverso il messaggio di una persona amica, che ne sarà del tutto ignara.

Social engineering

Tradotto significa “ingegneria sociale”: è un insieme di tecniche usate dai cyber criminali per sfruttare le debolezze umane. Il phishing e lo spear phishing rientrano tra queste.

La social engineering agisce utilizzando le informazioni presenti sui social network, rese pubbliche dalla vittima stessa, che scopre così il fianco a intrusioni informatiche di varia natura. Tali informazioni vengono sfruttate per manipolare e ingannare la vittima, che spesso è inconsapevole di aver spalancato le porte della sua vita, o magari dell’azienda dove lavora.

Oltre il 70% degli attacchi informatici avvengono a causa di un errore umano. Ecco perché la mancanza di consapevolezza e delle conoscenze base e oggi è molto pericolosa.

Smartphone e app

Sono tanto comodi che non viviamo più senza, ed è proprio questo il punto: gli smartphones sono diventati i nostri confidenti più intimi, conoscono tutti i nostri segreti. E non solo i nostri, dato che spesso, al loro interno, sono presenti dati riguardanti altre persone, e informazioni legate al nostro lavoro.

Quanti di noi si prendono la briga di inserire, ad esempio, il blocco dello schermo? Quanti di noi fanno attenzione alle app che scaricano?

Tutto ciò che è gratuito deve per forza ottenere un guadagno in altri modi. Infatti, le app che non chiedono un pagamento diretto, spesso traggono profitto dai dati che raccolgono su di noi. Anzi, che noi permettiamo loro di raccogliere, visto che abbiamo accettato le condizioni d’uso senza neanche leggerle.

Inoltre, anche gli smartphones possono essere infettati da spyware, virus spia che mirano a carpire informazioni.

Chiavette USB

Qualunque dispositivo tecnologico può essere infettato attraverso una “iniezione” diretta, magari con una chiavetta USB. È fondamentale quindi non lasciare incustoditi computer, tablet o cellulari.

Particolare attenzione va posta anche nei confronti delle chiavette di dubbia provenienza; meglio evitare di utilizzarle, se non siamo sicuri di che cosa contengano.

sicurezza-informatica

La prevenzione è la miglior strategia per la tua sicurezza digitale

Gli attacchi informatici avvengono su larga scala; pensare di essere immuni è come camminare sotto una pioggia di fuoco e sperare di non essere colpiti. I dati che leggiamo quotidianamente ci confermano che, se non abbiamo ancora subito attacchi, è stata solo fortuna.

Quando si parla di tecnologia, dobbiamo essere consapevoli che la sicurezza al 100% non esiste.

Riparare un disastro informatico non sempre è possibile, ma si può fare ciò che è in nostro potere per prevenirlo. In questo modo abbasseremo drasticamente le possibilità di intrusione da parte di malintenzionati.

Un primo passo può essere quello di verificare se la propria e-mail è stata compromessa. Per farlo è sufficiente digitarla nel sito Have i been pwned. Potresti scoprire se, e da dove, la tua e-mail è stata rubata. In caso di esito positivo, è consigliabile cambiare immediatamente la password.

Ma vediamo altri suggerimenti da mettere in atto subito, per mantenere in sicurezza la nostra privacy e la nostra azienda.

Password, la regina della sicurezza

Un discorso speciale va riservato alle password. Generare password forti è la prima misura di sicurezza, ed è un processo che va eseguito con attenzione. È assolutamente sconsigliato annotarle in file, foglietti o quadernini.

Le password non dovrebbero contenere indizi personali come date di nascita, di matrimonio, nome dei figli, nome del cane, ecc. Queste informazioni sono facilmente reperibili sui social, attraverso la tecnica già citata del social engineering.

Meglio anche non usare parole presenti sul dizionario, ma piuttosto una lunga sequenza, senza senso, di lettere maiuscole e minuscole, numeri e caratteri speciali.

Ogni password deve essere diversa dall’altra, perché questo? Perché i criminali utilizzano tecniche di “brute force”, cioè attacchi di “forza bruta” che, ad altissime velocità di calcolo, provano tutte le possibili combinazioni di lettere e numeri. Va da sé che una password debole, cioè troppo semplice, verrà individuata in breve tempo. E che cosa accadrà, secondo voi, se la stessa password è stata usata per più servizi?

Con l’iscrizione continua a piattaforme, app e social (ci servono davvero?), continuiamo ad aumentare la superficie d’attacco. Queste piattaforme possono, a loro volta, essere violate, e i nostri dati rubati. Meglio quindi evitare di disperdere i dati, e le password.

La soluzione al problema delle tante password da ricordare è il password manager: un software che le ricorderà al posto nostro, tenendole al sicuro.

Attenzione alla messaggistica

Non è prudente affidare alle chat le nostre comunicazioni più importanti e riservate, o addirittura password, dati sensibili, ecc.

Usa le app di messaggistica con consapevolezza e prudenza, ponendo particolare attenzione ai gruppi. Gli ambienti dove sono presenti altre persone sono sempre rischiosi perché, ovviamente, non puoi averne il controllo.

Backup, una roccaforte per i dati

Avere il backup aggiornato di tutti i nostri dispositivi personali e aziendali, garantisce un ripristino rapido a seguito dei vari incidenti che possono accadere: furti, smarrimenti e guasti, ma anche attacchi informatici. L’ideale è averne più copie, sia fisiche che in cloud, conservate in luoghi diversi.

Sicurezza digitale: la formazione come arma di difesa

Un passo fondamentale e necessario è formare i manager e il personale interno, renderli consapevoli delle minacce e di come evitarle. Questa digitalizzazione di base è necessaria e non più rimandabile, ogni giorno perso potrebbe essere quello fatale.

Chiunque all’interno dell’azienda potrebbe commettere un errore, che può essere decisivo per la sicurezza digitale. Ma se il personale è adeguatamente preparato, la soglia dell’attenzione sarà molto più alta, e il rischio si abbasserà di conseguenza.

“Un’azienda avrà una buona sicurezza se la sua cultura aziendale è corretta. Dipende tutto da una cosa: i vertici aziendali.”

William Malik

Spero che questo articolo sia servito a trasmettere l’importanza della sicurezza informatica, soprattutto per manager e imprenditori. Un argomento più che attuale, che dimostra quanto sia necessario un cambio di mentalità, nella direzione della sicurezza digitale.

Emerge quanto una strategia di personal branding debba includere come asset primario quello della sicurezza digitale. È chiaro ora come l’immagine e la consapevolezza di manager e imprenditori, siano strettamente legate alla reputazione e all’avvenire dell’azienda e delle persone al suo interno.

Se vuoi approfondire o preparare il tuo team, per arginare i rischi informatici che possono ledere l’immagine della tua azienda, contattami e organizziamo un incontro. Posso aiutarti a formare i tuoi collaboratori, a sviluppare tecniche efficaci e buone abitudini, per la sicurezza digitale.


Informazioni su Paloma Donadi

Amo il digitale quasi quanto la carta stampata. Vivo ogni giorno la magia di creare qualcosa che prima non c’era. Trasformo l'immagine di aziende e professionisti in comunicazione efficace, funzionale, etica e possibilmente "green".

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.