Le statistiche sulla criminalità informatica, le frodi online e il furto di dati sono una lettura inquietante. La Federazione delle piccole imprese (FSB) afferma che il 45% dei suoi membri è stato vittima di crimini online come infezioni da malware, attacchi di hacking o violazioni di dati complete nel 2016-2017. Il costo medio per azienda era di £ 1.400.
Vedi correlati
Soprattutto per i proprietari di piccole e medie imprese (PMI), l'impatto di tali attacchi va oltre l'immediato perdita finanziaria e interruzione del programma di lavoro quotidiano: c'è da considerare la perdita di reputazione e la fiducia dei clienti anche dentro. Nonostante ciò, sono le PMI che hanno maggiori difficoltà a trovare misure di sicurezza convenienti e fattibili. Ciò può portare a una protezione inferiore agli standard o, peggio ancora, a nessuna sicurezza a
Per aiutare a risolvere il problema, ecco dieci semplici modi per rendere la tua azienda più sicura.
Per ulteriori informazioni sulla creazione di una politica di sicurezza IT, visitare Come scrivere la politica di sicurezza informatica della tua azienda.
1. Conosci i tuoi dati
Non tutti i dati sono uguali. Il punto di partenza per qualsiasi azienda deve essere la comprensione di quali dati sono business-critical o sensibili. Devi identificare come viene utilizzato e dove viene memorizzato. Il più basilare degli audit può essere eseguito solo considerando cosa potrebbe accadere se si verificasse una violazione e i dati, come i dati finanziari o le registrazioni di dipendenti o clienti, venissero compromessi.
Una volta compreso il probabile effetto sulla tua attività, e ci possono essere più "e se" scenari, a seconda della natura dell'incidente, avrai un progetto per il tuo impatto aziendale livelli.
I dati ad alto rischio devono essere adeguatamente protetti e puoi dedicare più risorse per assicurarti che lo sia. Tieni presente che il tuo lavoro non si ferma qui: non puoi ignorare i dati che hai classificato come meno rischiosi; piuttosto, devi dare la priorità ai tuoi sforzi di sicurezza di conseguenza.
2. Gestisci le tue password in modo semplice
Le password sono al centro di ogni politica di sicurezza, ma garantire che siano protette e applicate non è facile. I consumatori dispongono di servizi come LastPass per generare e gestire le proprie password, ma un'azienda dovrebbe utilizzare i gestori di password?
LastPass e altri servizi simili hanno versioni aziendali disponibili a un basso costo per utente. Questi offrono tutte le opzioni di generazione di password sicure di base che ti aspetteresti, con una varietà di extra orientati al business: ad esempio, puoi impostare standard minimi di password a livello aziendale per soddisfare i requisiti dei criteri o applicare criteri personalizzati per limitare l'accesso a dispositivi, gruppi o posizioni.
Poi c'è l'integrazione di Active Directory (AD)/Lightweight Directory Access Protocol (LDAP). Questo può importare profili AD esistenti, automatizzare gli strumenti di reporting per evidenziare i punti deboli nella sicurezza della password catena e offre la sincronizzazione in tempo reale tra i dispositivi per aiutare con l'ascesa del Bring Your Own Device (BYOD) cultura. Può essere protetto da una password principale, che può essere reimpostata o revocata dall'amministratore.
3. Formazione scolastica
Tutti nella tua azienda devono comprendere la politica di sicurezza aziendale e sapere perché è importante. L'istruzione non deve essere costosa: può essere facilmente integrata nel processo di inserimento del personale e potresti prenderla in considerazione aggiornamenti semestrali per aggiornare i dipendenti esistenti su eventuali cambiamenti, comprese le minacce di cui dovrebbero essere consapevole.
Di tanto in tanto è necessaria solo un'ora per sedersi con un dipendente per spiegare come la sicurezza si applica al suo particolare ruolo e per rispondere a qualsiasi domanda. Ricorda, l'istruzione e la comunicazione sono importanti tanto quanto gli strumenti contro il crimine informatico quanto la tecnologia informatica che utilizzi per difendere i tuoi dati.
Tuttavia, per essere efficace, deve essere implementato dal basso verso l'alto e dall'alto verso il basso – cioè, tutti, dall'amministratore delegato al temporaneo estivo, devono essere a bordo se una politica di sicurezza deve farlo lavoro. Ciò non significa che la stessa formazione debba essere impartita a tutti; la migliore formazione è adattata al ruolo specifico del dipendente e alle minacce che potrebbe incontrare.
4. Crittografare o non crittografare?
Di tutti i suggerimenti presentati qui, la crittografia è probabilmente il più controverso. Ma è anche il più prezioso in termini di protezione dei dati. È controverso perché la crittografia è sempre stata vista come il regno dei nerd e quindi al di là della comprensione dei normali imprenditori; inoltre c'è la piccola questione di convenienza da considerare.
Entrambi gli argomenti stanno diventando più deboli man mano che le tecnologie di crittografia diventano più facili da implementare e utilizzare. Se un laptop/dispositivo di archiviazione viene smarrito o rubato e i dati su di esso sono crittografati, è molto meno probabile che rappresenti un rischio per la sicurezza della tua azienda. Tuttavia, ogni azienda deve valutare il rapporto protezione/convenienza prima di lanciarsi.
Lo stesso vale per i dati in transito. Nonostante la recente paura dell'hacking Heartbleed, è molto più sicuro assicurarsi che tutte le transazioni online vengano eseguite utilizzando Secure Sockets Layer (SSL) piuttosto che tramite una connessione non sicura. Il consiglio di best practice è quello di esaminare quali opzioni di crittografia sono disponibili per adattarsi ai dati, ai dispositivi e all'utilizzo aziendale.
Ma la linea di fondo è che, da SSL e contenitori USB crittografati a un'estremità della scala alla crittografia al volo dall'altra, i dati crittografati sono più sicuri dei dati che non lo sono. Vuoi rischiare le conseguenze di ignorarlo?
5. Essere preparato
Una parte integrante di qualsiasi strategia di sicurezza IT per le piccole imprese è un documento formale che entra nei minimi dettagli e viene quindi mantenuto aggiornato, piuttosto che infilato in un cassetto e dimenticato. Può sembrare noioso, ma devi pianificare non solo come proteggere i tuoi dati e le tue risorse, ma anche cosa fare nel caso in cui le cose vadano male.
Sebbene molte piccole imprese presumano che una tale politica di sicurezza IT sia qualcosa che solo le grandi imprese richiedono, si sbagliano: ogni azienda, inclusa la più piccola PMI, può trarre vantaggio dall'implementazione di una sicurezza politica. Il trucco è capire che è più di un semplice documento formale da archiviare a prendere polvere; dovrebbe essere visto come un dispositivo dinamico per aiutarti a capire cosa significa la sicurezza dei dati per l'azienda. È quindi possibile creare una risposta strutturata in base alle proprie esigenze. Consideralo come un impegno a proteggere tutti i dati che crei e utilizzi e una parte assolutamente integrante dei tuoi processi aziendali.
La migliore politica di sicurezza IT descriverà in dettaglio non solo come proteggere i tuoi dati, ma anche come reagire quando le cose vanno male. Stabilire una strategia di risposta agli incidenti quando hai la testa calma è molto meglio che cercare di sistemare le cose nella foga del momento.
6. Aggiornamento, patch, aggiornamento, patch...
Se vuoi che la tua attività sia sicura, devi rimanere aggiornato. Nello specifico, devi aggiornare tutti i software che usi quotidianamente nella tua attività: i sistemi operativi di tutti i dispositivi, dagli smartphone ai server, oltre al software che gira sui sistemi di sicurezza che li proteggono Tutto.
È un gioco da ragazzi che mantenere aggiornato il tuo software antivirus assicurerà che offra la migliore protezione possibile, ma per molte piccole imprese questo è in basso nell'elenco delle cose da fare. Il software di sicurezza, in genere, verifica e installa automaticamente gli aggiornamenti. Sebbene si possa dire lo stesso per gli aggiornamenti del sistema operativo, gli aggiornamenti automatici vengono generalmente disattivati a causa del consumo di risorse e dell'interruzione che possono causare.
Le aziende più grandi dispongono di politiche di patching e sistemi di gestione delle patch automatizzati, ma questi sono al di là della portata finanziaria e di implementazione della maggior parte delle PMI. Utile le alternative includono l'implementazione di scanner per eseguire regolari controlli di sistema per software privo di patch o vulnerabile e quindi la pianificazione di tali aggiornamenti durante l'attività aziendale orari non di punta. Non fare nulla non è un'opzione, soprattutto se è già stata resa disponibile una patch. Pensaci: se la patch è disponibile, gli aspiranti aggressori saranno a conoscenza del problema e troveranno il modo di sfruttarlo. L'applicazione di patch ha un costo relativamente basso, specialmente all'estremità più piccola della scala aziendale, ma investire il proprio tempo in essa porterà ricompense inestimabili quando si tratta di sicurezza.
7. Disarmare la bomba BYOD
Bloccare i dati in movimento è sempre stato importante, soprattutto da quando sono stati introdotti i laptop. Tuttavia, non è mai stato un imperativo di sicurezza come lo è ora, grazie all'esplosione del BYOD (Bring Your Own Device).
È molto più probabile che la bomba BYOD esploda all'interno delle piccole imprese, dove i risparmi sui costi di consentire al personale di utilizzare i propri smartphone, tablet e laptop sembra superare di gran lunga qualsiasi sicurezza rischio. La verità è che i dati mobili devono essere protetti con lo stesso rigore di quelli sulla propria rete. La combinazione di dati personali e aziendali sui dispositivi mobili, insieme alla mancanza di sicurezza aziendale controlli al di fuori del posto di lavoro (quando connesso alla rete domestica, per esempio) è una ricetta per disastro.
Fermare il BYOD non è un'opzione per la maggior parte delle aziende, ma questo non significa che non puoi ridurre il rischio per la sicurezza. Le soluzioni di sicurezza potrebbero includere la suddivisione di un dispositivo in parti di lavoro e di gioco sicure o l'implementazione di controlli basati su criteri che richiedono agli utenti di avere dispositivi bloccati. Anche i dati di lavoro crittografati e le strutture di cancellazione remota aiutano.
Sebbene le soluzioni di gestione dei dispositivi mobili vadano oltre il budget della maggior parte delle PMI, una combinazione di educare gli utenti sui rischi, il software di sicurezza sul dispositivo e i controlli di rete correttamente implementati possono offrire una ragionevole protezione a tutto tondo a un prezzo relativamente basso costo.
8. Usa la nuvola
Mentre l'idea di crittografare tutto può essere controversa, l'idea di abbracciare il cloud per scopi di lavoro professionale è vista da alcuni come positivamente scandalosa. Tuttavia, il cloud può essere una scelta veramente sicura per la maggior parte delle piccole imprese.
In particolare, ha senso se la tua azienda non ha il tempo o le conoscenze per essere in cima a tutto problemi di sicurezza e gli aggiornamenti e le implementazioni di cui ha bisogno, perché un buon fornitore di servizi cloud (CSP) lo fa avere tempo.
Non aver paura del cloud per l'archiviazione dei dati o l'utilizzo del servizio delle applicazioni, poiché un CSP affidabile sarà più proattivo di te nella manutenzione delle patch software e nell'implementazione della sicurezza: per sopravvivere, i CSP devono occuparsi della sicurezza sul serio. Inoltre, possono farlo a un costo inferiore per i tuoi profitti rispetto a te.
La natura sempre e ovunque dell'accesso al cloud fornisce anche un buon percorso di ripristino di emergenza per le piccole imprese. Ovviamente, il cloud non è sicuro al 100% e devi pensare a dove si trovano i tuoi dati e chi può accedervi. Qui, tuttavia, la crittografia è tua amica (vedi il suggerimento 4), così come gli strumenti di single sign-on per l'utilizzo del cloud, che i gestori di password aziendali (vedi il suggerimento 2) possono spesso fornire.
9. È ora di diventare fisici
Una buona sicurezza dei dati non riguarda solo bit e byte, ma anche bit e bob, dal PC della reception al telefono in tasca. È necessario proteggere l'hardware e proteggere l'accesso ai propri locali. La politica di sicurezza di ogni PMI dovrebbe abbracciare il fisico, o potrebbe contare il costo quando qualcuno entra e ruba un laptop, e così facendo potenzialmente ruba l'accesso alla rete e anche i dati.
Le cose semplici possono ridurre il rischio di perdita di dati, come tenere porte e finestre chiuse ogni volta che l'ufficio è chiuso, installare allarmi, utilizzare i lucchetti Kensington desktop e laptop, richiedendo agli utenti di attivare le schermate di blocco ogni volta che sono lontani dalle loro scrivanie, oltre a fare attenzione a chi lasci entrare nella tua locali.
Distruggi i documenti per evitare tracce cartacee che potrebbero essere utili ai criminali informatici e conserva i tuoi file cartacei in armadi chiusi a chiave. Infine, anche chiedere consiglio a un funzionario locale per la prevenzione del crimine non è mai una cattiva idea.
10. Agisci oggi
Il consiglio di sicurezza più importante per qualsiasi azienda è assumersi la responsabilità dei propri dati e farlo ora.
Anche quando hai una politica di sicurezza scritta e implementata, il personale istruito, i dati crittografati e i dispositivi sotto controllo, non puoi permetterti di riposare sugli allori e presumere di esserlo ora sicuro. La sicurezza IT è un panorama dinamico e in continua evoluzione e proteggere i tuoi dati è una tua responsabilità.
I cattivi non se ne staranno seduti: si terranno aggiornati sulle ultime vulnerabilità e debolezze, quindi sta a te stare al passo con loro.
