Attenzione: Stai utilizzando un browser obsoleto. Per favore passa ad un browser più moderno come Chrome, Firefox o Microsoft Edge.

 

Come proteggere la vostra azienda. Tre consigli per migliorare la sicurezza informatica.

  • Il vero punto debole nei sistemi di sicurezza informatici è il fattore umano.
  • Uno studio condotto da Allianz e dall’Università di Scienze Applicate di Zurigo (ZHAW) spiega cosa possono fare le Pmi per migliorare la propria capacità di resistenza agli attacchi informatici.
Gli attacchi informatici ai danni delle imprese aumentano in modo vertiginoso. Il più grande punto debole e allo stesso tempo la più efficace arma di difesa sono i dipendenti. Le Pmi in particolare sono quindi chiamate a rafforzare la propria capacità di resistenza informatica. Uno studio di Allianz e della ZHAW spiega come.

Numerosi esempi di attacchi informatici sferrati di recente a note imprese svizzere dimostrano quanto sia grande il rischio a cui sono esposte in particolare le Pmi. Secondo nuove analisi di mercato una Pmi su quattro ha già subito un attacco informatico, in alcuni casi con conseguenze fatali. A essere aumentati sono soprattutto gli attacchi ransomware, che consistono nel criptare i dati di un sistema informatico per poi chiedere un riscatto in cambio del loro rilascio.

Per l’estorsione digitale i cybercriminali sfruttano generalmente il punto di accesso più facile ed efficiente: i dipendenti aziendali. Iniziano con l’inviare un’e-mail di phishing con l’invito, ad esempio, ad aprire un allegato o a cliccare su un link. Se l’utente abbocca, viene installato sul suo computer un software dannoso senza che nessuno se ne accorga. «Le migliori misure di sicurezza informatica sono inutili se vengono aggirate passando per i dipendenti», osserva Carlos Casián, Cyber Risk Specialist di Allianz Suisse e co-autore dello studio: «Se si apre la porta a un ladro, il sistema di allarme o la serratura a chiusure multiple possono fare ben poco». Con le misure anti-Covid il numero delle persone che lavorano da casa è fortemente aumentato facilitando ulteriormente i tentativi di inganno, dato che per i dipendenti in telelavoro è più difficile confrontarsi con i colleghi su eventuali e-mail sospette.

Per individuare il livello di sicurezza informatica delle Pmi svizzere, a settembre 2020 l’Università di Scienze Applicate di Zurigo (ZHAW) e Allianz hanno condotto insieme uno studio nel quale i dipendenti di tre Pmi selezionate del settore del riscaldamento e della manifattura sono stati intervistati utilizzando «metafore profonde». Anticipiamo il risultato principale dello studio: l’atteggiamento dei dipendenti nei confronti degli attacchi informatici influisce direttamente sulla sicurezza informatica delle Pmi.

Un aspetto positivo emerso dall’analisi è costituito dal fatto che i dipendenti conoscono bene i rischi informatici e le loro conseguenze e sanno di essere vulnerabili. Un presupposto importante, questo, per riconoscere di avere un ruolo decisivo nella difesa dagli attacchi informatici. Lo studio ha inoltre evidenziato la disponibilità dei dipendenti a contribuire alla sicurezza informatica. «Gli intervistati hanno dichiarato di ritenere importante risolvere rapidamente il problema per poter riprendere a lavorare il prima possibile dopo un attacco informatico», spiega il dott. Carlo Pugnetti, autore dello studio e docente presso la ZHAW.

Al contempo hanno riferito di ritenersi troppo poco importanti o di considerare la loro azienda troppo piccola per poter essere il bersaglio di un attacco informatico. Inoltre, non essendo molto ferrati in ambito informatico, hanno mostrato la tendenza a delegare la responsabilità per la sicurezza informatica ad altri, ad esempio al fornitore dei servizi IT. «Questo problema sistematico deve essere affrontato», consiglia il dott. Carlo Pugnetti.

Sulla base delle informazioni e dei dati raccolti è stato possibile delineare tre raccomandazioni pratiche per le Pmi. La cosa essenziale da fare è attivare i dipendenti e affrontare attivamente il tema dei rischi informatici. Se il personale è attento e consapevole, l’azienda è meglio preparata a parare i tentativi di attacco. E nel caso gli aggressori dovessero riuscire nel loro intento, dipendenti preparati e piani di ripristino collaudati consentono di contenere il più possibile i danni.

 

1. Accrescere la consapevolezza

  • Comunicate regolarmente e direttamente ai dipendenti statistiche (ad esempio del Centro nazionale per la cibersicurezza, ex MELANI) e casi di attacchi informatici tratti dai media.
  • Informate regolarmente i dipendenti circa il numero dei tentativi di attacco al sistema informatico della vostra azienda che sono andati falliti.
  • Comunicate anche le misure che sono state adottate per proteggere l’azienda (ad es. installazione di nuovi programmi antivirus, upgrade del firewall).
  • Ricordate costantemente ai dipendenti quello che possono fare per difendersi dai tentativi di phishing (ad es. come riconoscere le e-mail di phishing) in modo che si abituino a seguire alcune semplici regole.
  • Testate i meccanismi di difesa dei vostri sistemi informatici e la vulnerabilità dei dipendenti (ad es. simulando attacchi di phishing) e comunicate i risultati del test.

 

2. Preparare i dipendenti

  • Incoraggiate i dipendenti a scoprire e segnalare i casi di attacchi informatici, rafforzando così la loro consapevolezza per il ruolo che svolgono nella difesa dell’azienda.
  • Invitate i fornitori esterni di servizi (ad es. provider IT) a istruire, informare e coinvolgere attivamente i propri dipendenti e clienti.
  • Verificate con i fornitori esterni di servizi se è possibile installare strumenti utili (ad es. un semplice processo di segnalazione delle e-mail sospette).
  • Coinvolgete i dipendenti nello sviluppo di soluzioni (v. prossimo punto).

 

3. Pianificare le modalità di intervento in caso di emergenza

  • Sviluppate insieme ai dipendenti processi e strumenti per far fronte a un eventuale blocco dell’infrastruttura informatica. Questo è un esercizio che favorisce anche lo spirito di squadra e offre ai dipendenti la possibilità di mettere in campo le proprie competenze.
  • Individuate i dati di importanza fondamentale per la vostra azienda (ad es. i dati dei clienti o i dati tecnici dei prodotti) che devono essere disponibili anche tramite sistemi offline, le attività che possono essere svolte su dispositivi privati e le informazioni che devono essere archiviate in forma cartacea.
  • Definite trigger precisi per i processi di emergenza a seconda del sistema colpito e della durata del blocco.
  • Testate e ottimizzate regolarmente le procedure e gli strumenti adottati simulando condizioni di emergenza reali (questa attività richiede uno o due giorni all’anno).

 

Questi consigli integrano le misure di sicurezza generali. Per tutelarsi ulteriormente è utile avere un’assicurazione contro i rischi informatici.

a cura di Carlos Casián e Carlo Pugnetti

La procedura seguita dal gruppo di ricerca ha adottato il principio delle «metafore profonde»

  1. Innanzitutto è stato chiesto agli intervistati di cercare su Internet da tre a cinque immagini che rispecchiassero la loro reazione emotiva alla domanda «A cosa pensa quando sente parlare di un attacco informatico?».
  2. Le immagini sono state analizzate con gli intervistati per comprendere il motivo della scelta. L’analisi ha fatto emergere fattori emotivi e inconsci che influenzano comportamento e decisioni.
  3. Sulla base dei dati aggregati del sondaggio, i ricercatori hanno individuato gli aspetti principali e ricorrenti per trarne consigli utili.

I risultati derivano dall’analisi condotta dal gruppo di ricerca sulle correlazioni esistenti tra le informazioni raccolte nelle singole interviste. Non hanno pretesa di essere rappresentativi ma consentono di comprendere meglio la problematica.

Adam, Senior Segmentmanager Unternehmen, Allianz Suisse
Adam
Senior segment manager Aziende
Adam lavora nel settore assicurativo da oltre 10 anni ed è specializzato nel comparto Aziende – in particolare Vita e Non vita. Quando non pratica arti marziali, studia per il Master in Insurance Management. 
L’assicurazione perfetta per voi?
La troviamo con una consulenza individuale.
POTREBBE INTERESSARVI ANCHE

Assicurazione Cyber Risk
La digitalizzazione nasconde anche dei rischi, come attacchi di hacker, frodi, furto di dati o denunce per violazione delle norme sulla protezione dei dati. Vi aiutiamo noi a difendervi.
I ransomware rappresentano una delle peggiori minacce informatiche per le imprese. Per tutelarsi, le piccole e medie imprese hanno bisogno di affidarsi a operatori competenti.
Nonostante un'azienda su tre sia già stata colpita da virus, le Pmi svizzere sembrano sottovalutare i rischi informatici.
Seguiteci