Crescono gli attacchi informatici provocati dalla disattenzione dei dipendenti. Il problema non riguarda più le grandi aziende. Ecco come difendersi.
Se il denaro è la chiave che apre tutte le porte, le chiavi usb aprono le porte agli hacker. Ed anche ai soldi che se ne vanno. Tanti soldi.
E ciò che è successo a fine settembre al gruppo Swatch. Un dirigente ha inserito la sua chiavetta usb in un computer aziendale ed è successo il finimondo. L’azienda ha dovuto spegnere il sistema IT per evitare il diffondersi di un attacco.
Questo ha provocato molti disagi, in particolare al marchio Omega (sempre del gruppo Swatch). Ma perché la Swatch è stata attaccata? Dall’azienda non trapela nulla, ma le ipotesi sono due: 1) È stato chiesto un riscatto oppure in ballo potrebbe esserci 2) il furto dei dati.
La prima ipotesi sembrerebbe riguardare Garmin. Secondo il Sole 24 Ore, pare abbia dovuto sborsare 10 milioni di dollari a degli hacker russi. Questa cifra sarebbe servita per riottenere il controllo dei suoi server.
Cronaca a parte, questi episodi spingono a delle riflessioni non rinviabili.
La volta scorsa ti ho parlato di principi e di regole. In questo caso il principio universale è che il risk management non è un optional, ma deve essere parte integrante di tutti i processi aziendali.
Le PMI sempre più indifese
Il secondo principio universale è che questi attacchi non capitano solo ai colossi internazionali. Anzi, sempre più attacchi colpiscono piccole e medie aziende. Per quale motivo? Perché sono in molti a sottovalutare entrambi i principi universali appena citati. E quindi sono tante le aziende a non disporre di alcuna protezione. E spesso non si tratta di mancanza di fondi, ma di mentalità: «Figurati, tanto a me non capita».
Il dato certo è che capita e continuerà a capitare proprio perché le piccole aziende sono le più indifese. E sono anche le più deboli nel ripartire. Devono fare i conti con i costi del ripristino della propria infrastruttura e con eventuali sanzioni e ripercussioni legali, pensiamo ad esempio al Gdpr.
Sono costi di gran lunga superiori di quelli che richiede la prevenzione.
LEGGI ANCHE Sicurezza dati: la minaccia è interna all’azienda
Il ruolo della ISO 27001
Se questi, quindi, sono i principi, la regola da seguire ha un nome: ISO 27001, la norma sui sistemi di gestione della sicurezza delle informazioni.
Cosa fa questa norma? Ti aiuta. Ti aiuta a risparmiare soldi, a proteggere i tuoi dati e quelli dei tuoi clienti. Ma soprattutto ti aiuta a seguire un metodo per la gestione e protezione dei dati. È un metodo che poi, indirettamente, coinvolge in modo positivo anche gli altri settori aziendali. Ci riesce perché seguendo il criterio del miglioramento continuo, dai e dai cominci a cambiare mentalità e ad avere il giusto approccio verso il raggiungimento degli obiettivi aziendali.
L’assenza di regole blocca le imprese
Certo, qualcuno vedrà questa norma come il solito strumento burocratico che rallenta le dinamiche aziendali. I dati, però, dicono il contrario. È il non dotarsi di alcun metodo di protezione a frenare le aziende e a fargli perdere un sacco di soldi. La questione deve far riflettere anche perché, una buona percentuale di attacchi, dipende da scorretti comportamenti all’interno di un’azienda.
Si tratta di comportamento voluti, ma il più delle volte sono comportamenti inconsapevoli, proprio come quello del manager della Swatch, il quale ha inserito la sua pennetta, infetta, nella porta usb di un computer aziendale.
La rete che ti protegge
La sicurezza in genere, ma soprattutto quella delle informazioni, dipende dalla rete. Uso questo vocabolo nella sua accezione più ampia. Quindi non solo come rete internet o intranet, ma rete nel senso di alleanze. La prima alleanza deve nascere all’interno dei luoghi di lavoro. Poi si fa rete anche all’esterno. Si chiede aiuto. Chiamami. Costruiremo insieme una forte rete difensiva. Che ci consentirà di giocare poi all’attacco.
