Desio (MB)
www.andrearussi.it
info@andrearussi.it

La cybersecurity nel mondo SMB

Don't just learn, experience.

Hobby, Lavoro

La sicurezza informatica è grande anche nelle piccole imprese. Se sei titolare o lavori per una piccola o media impresa, di certo avrai già dovuto superare sfide importanti (gestire il capitale iniziale, assumere personale, gestire i costi operativi e studiare strategie di crescita). Ciò non è semplice, soprattutto dopo questo periodo di pandemia passato, durante la quale la vita delle persone ha subito un ulteriore spostamento verso la sfera digitale. E parallelamente si è registrato un aumento delle violazioni della sicurezza nelle aziende.
Quali aspetti privilegiare, dunque, per rimanere al sicuro? Come difendere l’azienda dagli attacchi informatici?

Possiamo dire che la cybersecurity gioca un ruolo cruciale nell’offrire alle piccole e medie imprese la possibilità non solo di sopravvivere, ma anche di prosperare e dare impulso al proprio successo.

PHYSICAL SECURITY

La sicurezza informatica inizia con una forte sicurezza “fisica”.
Le carenze nella sicurezza fisica possono esporre i dati sensibili aziendali a furti di identità, con conseguenze potenzialmente gravi.

Per esempio:
Un dipendente lascia accidentalmente una chiavetta USB su un tavolino alla macchinetta del caffè durante la sua pausa. Quando torna diversi minuti o ore dopo, la chiavetta USB – con centinaia di numeri di previdenza sociale salvati su di esso – è sparita.
Oppure, un altro dipendente getta pile di vecchi documenti bancari aziendali in un bidone della spazzatura, dove un “criminale” li trova dopo l’orario di lavoro.
O ancora, un ladro ruba documenti (e magari anche computer) dal tuo ufficio dopo essere entrato da una finestra non bloccata/chiusa correttamente.

COME PROTEGGERE APPARECCHIATURE E DOCUMENTI CARTACEI

Ecco alcuni suggerimenti per proteggere le informazioni in documenti cartacei, ma anche informazioni memorizzate su dischi rigidi, unità flash, laptop e altre apparecchiature.

Conservare in modo sicuro

Quando file cartacei o dispositivi elettronici contengono informazioni sensibili, conservali in un armadietto o in una stanza chiusa a chiave.

Limitare l’accesso fisico

Quando i dispositivi contengono dati sensibili, consenti l’accesso solo a chi ne ha bisogno.

Tieni le scorte

Ricorda ai dipendenti di mettere i file cartacei in schedari chiusi a chiave, di disconnettersi dalla rete e dalle applicazioni e non lasciare mai incustoditi file o dispositivi con dati sensibili.

Conserva intelligentemente

Tieni traccia e proteggi tutti i dispositivi che raccolgono informazioni sensibili sui clienti. Conserva solo i file e i dati di cui hai bisogno e conosci chi può accedervi.

COME PROTEGGERE I DATI SUI TUOI DISPOSITIVI

Si può smarrire un laptop, o si può essere vittima di un furto ad uno smartphone, o smarrire una chiavetta USB: tutto può accadere a causa di mancanza di “sicurezza fisica”. Meno probabile avere una violazione dei dati se le informazioni su tali dispositivi sono protette.

Cosa fare quindi?

Richiedi password complesse

Richiedi password lunghe, complesse e univoche. E assicurati che queste password siano archiviate in modo sicuro. Prendi in considerazione l’utilizzo di un Password Manager.

Usa la Multi-factor Authentication

Richiedi l’autenticazione a più fattori per accedere alle aree della tua rete dove risiedono informazioni e dati sensibili. Ciò richiede passaggi aggiuntivi oltre all’accesso con una password, il quale può essere un codice OTP (one-time password) su uno smartphone o una chiavetta USB inserita nel computer.

Limita i tentativi di accesso

Limita il numero di tentativi di accesso errati consentiti per sbloccare i dispositivi. Ciò contribuirà a proteggersi dalle intrusioni.

Cifratura

Crifra i supporti portatili, inclusi laptop e chiavette USB, che contengono informazioni riservate. Cifra tutti i dati sensibili che invii all’esterno dell’azienda, ad esempio a un contabile o a un servizio di spedizione.

FARE DELLA FORMAZIONE AI TUOI DIPENDENTI

Includere la sicurezza fisica nei corsi di formazione e nelle regolari comunicazioni dei dipendenti. Ricordare ai dipendenti di:

Distruggi i documenti

Distruggi sempre i documenti con informazioni sensibili prima di buttarli via.

Cancella i dati correttamente

Utilizzare software di cancellazione dati sicura e certificata prima di vendere o eliminare vecchi computer, dispositivi mobili, fotocopiatrici digitali e varie unità. Non fare affidamento solo sull’azione “cancella”. Ciò non rimuove effettivamente il file dal computer.

Promuovere pratiche di sicurezza in tutte le sedi

Mantieni le pratiche di sicurezza anche se lavori in remoto da casa o in viaggio d’affari.

Conoscere il piano di risposta

Tutto il personale dovrebbe sapere cosa fare in caso di smarrimento o furto di strumenti o documenti cartacei, compreso chi notificare e cosa fare dopo.

RANSOMWARE

Qualcuno nella tua azienda riceve un’e-mail.

Sembra legittima, ma con un clic su un collegamento o un download di un allegato, tutti vengono bloccati dalla tua rete. Quel link ha scaricato il software che tiene in “ostaggio” i tuoi dati. Questo è un attacco ransomware.

I cybercriminali chiedono del denaro o criptovaluta. E anche se paghi, non sai mai se i criminali informatici “sbloccheranno” i tuoi dati o distruggeranno i tuoi file. Nel frattempo, le informazioni di cui hai bisogno per gestire ed andare avanti nella tua attività e le informazioni sensibili sui tuoi clienti, dipendenti e della società sono ora in mani criminali. Il ransomware può mettere a dura prova la tua attività.

COME ACCADE

I criminali possono lanciare un attacco ransomware in vari modi:

Email truffa

Con link e allegati che mettono a rischio i tuoi dati e la tua rete. Queste e-mail di phishing costituiscono la maggior parte degli attacchi ransomware.

Siti web infetti

Che scaricano automaticamente il software dannoso sul tuo computer.

Vulnerabilità del server

Che possono essere sfruttati dagli hacker.

Annunci/pubblicità online

Che contengono codice dannoso, anche su siti Web che conosci e di cui ti fidi.

COME PROTEGGERE LA TUA ATTIVITÀ

Avere un piano

In che modo la tua azienda potrebbe rimanere in piedi e attiva dopo un attacco ransomware? Metti questo piano per iscritto e condividilo con tutti coloro che hanno bisogno di saperlo.

Eseguire il backup dei dati

Salva regolarmente i file importanti su un’unità o un server non connesso alla tua rete. Rendi il backup dei dati parte delle tue operazioni aziendali di routine.

Mantieni aggiornata la tua sicurezza

Installa sempre le patch e gli aggiornamenti più recenti. Cerca ulteriori mezzi di protezione, come l’autenticazione e-mail e il software di intrusion prevention, su computer e possibimente anche su dispositivi mobile.

Allerta il tuo personale

Insegna loro come evitare di cascarci nelle truffe di phishing e mostra loro alcuni dei modi comuni in cui computer e dispositivi vengono infettati. Includi suggerimenti per individuare e proteggersi dal ransomware nei normale incontri di formazione.

COSA FARE SE SEI STATO ATTACCATO

Limita i danni

Disconnettere immediatamente i computer o i dispositivi infetti dalla rete. Se i tuoi dati sono stati rubati, adotta misure per proteggere la tua azienda e informa coloro che potrebbero essere interessati.

Contatta le autorità

Segnala subito l’attacco all’uffici competenti.

Mantieni in piedi la tua attività

Ora è il momento di attuare quel piano. Avere il backup dei dati ti aiuterà.

Devo pagare il riscatto?

Le forze dell’ordine (e i vendor di security) non lo raccomandano, ma spetta a te determinare se i rischi e i costi del pagamento valgono la pena di recuperare i tuoi file. Tuttavia, il pagamento del riscatto potrebbe non garantire il recupero dei dati.

Avvisare i clienti

Se i tuoi dati o informazioni personali sono stati compromessi, assicurati di avvisare le parti interessate: potrebbero essere a rischio di furto di identità.

PHISHING

Ricevi un’email che sembra provenire da qualcuno che conosci.

Sembra provenire da uno dei fornitori della tua azienda e ti chiede di fare click su un link per aggiornare il tuo account aziendale. Dovresti cliccare?

Forse sembra che provenga dal tuo capo e ti chieda la password di rete. Dovresti rispondere?

COME FUNZIONA IL PHISHING

Ricevi un’e-mail o un SMS

Sembra provenire da qualcuno che conosci e ti chiede di fare clic su un collegamento o di fornire la tua password, conto bancario aziendale o altre informazioni sensibili.

Sembra reale

È facile falsificare i loghi e creare indirizzi e-mail falsi. I truffatori usano nomi di società familiari o fingono di essere qualcuno che conosci.

È urgente

Il messaggio ti spinge ad agire subito, altrimenti accadrà qualcosa di spiacevole.

Cosa succede dopo

Se fai clic su un collegamento, i truffatori possono installare ransomware o altri programmi che possono bloccare i tuoi dati e diffondersi nell’intera rete aziendale. Se condividi le password, i truffatori ora hanno accesso a tutti quegli account.

COSA PUOI FARE

In entrambi i casi, probabilmente no. Questi potrebbero essere tentativi di phishing.

Prima di fare click su un collegamento o condividere informazioni aziendali riservate:

Controlla

Cerca il sito Web o il numero di telefono dell’azienda o della persona dietro il testo scritto o l’e-mail. Assicurati di intraprendere una “conversazione” con la persona giusta e di non scaricare malware o di parlare con un truffatore.

Parlare con qualcuno

Parlare con un collega potrebbe aiutarti a capire se la richiesta è reale o un tentativo di phishing.

Fai una chiamata se non sei sicuro

Alza il telefono e chiama quel fornitore, collega o cliente che ha inviato l’e-mail. Conferma che hanno davvero bisogno di informazioni da te. Usa un numero che sai essere corretto, non il numero nell’e-mail o nel testo.

COME PROTEGGERE IL TUO BUSINESS

Eseguire il backup dei dati

Eseguire regolarmente il backup dei dati e assicurarsi che tali backup non siano connessi alla rete. In questo modo, se si verifica un attacco di phishing e gli hacker raggiungono la tua rete, puoi ripristinare i tuoi dati. Rendi il backup dei dati parte delle tue operazioni aziendali di routine.

Mantieni aggiornata la tua sicurezza

Installa sempre le patch e gli aggiornamenti più recenti. Cerca ulteriori mezzi di protezione, come l’autenticazione della posta elettronica e il software di prevenzione delle intrusioni, e impostali in modo che si aggiornino automaticamente sui tuoi computer. Sui dispositivi mobili, potrebbe essere necessario farlo manualmente.

Allerta il tuo personale

Condividi con loro queste informazioni. Tieni presente che i truffatori di phishing cambiano spesso le loro tattiche, quindi assicurati di includere suggerimenti per individuare gli ultimi schemi di phishing nella tua formazione regolare.

Distribuisci una rete di sicurezza

Utilizza la tecnologia di autenticazione e-mail per impedire in primo luogo che le e-mail di phishing raggiungano le caselle di posta della tua azienda.

E SE CADI VITTIMA DI PHISHING

Allertare gli altri

Parla con i tuoi colleghi e condividi la tua esperienza. Gli attacchi di phishing spesso colpiscono più di una persona in un’azienda.

Limita i danni

Modifica immediatamente eventuali password compromesse e disconnetti dalla rete qualsiasi computer o dispositivo infetto da malware.

Segui le procedure della tua azienda

Questi possono includere la notifica a persone specifiche della tua organizzazione o appaltatori che ti aiutano con l’IT.

Avvisare i clienti

Se i tuoi dati o informazioni personali sono stati compromessi, assicurati di avvisare le parti interessate: potrebbero essere a rischio di furto di identità. 

Segnalalo

Fai sapere all’azienda o alla persona che è stata impersonata dello schema di phishing. E segnalalo alle autorità competenti.

Andrea

Loading

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.

Don't just learn, experience. Learn moments. Experience can do!

Hey, CIAO
Piacere di conoscerti!

ISCRIVITI PER RICEVERE CONTENUTI FANTASTICI NELLA TUA CASELLA DI POSTA.

Non invio spam! E puoi cancellarti in qualsiasi momento.

0

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Iscriviti alla Newsletter

Menù

Iscriviti alla Newsletter

© 2025 Andrea Russi.

error: Contenuto protetto!